Ransomware in der Fertigung: 3,8 Milliarden Euro Schaden

Warum verursacht Ransomware so hohe Schäden?

Zwischen Januar und September 2025 summierten sich potenzielle Lohnkosten infolge von Ransomware-Angriffen auf Fertigungsunternehmen in Europa auf rund 3,8 Milliarden Euro. Diese Zahl basiert auf den durch Produktionsstillstand nicht genutzten Arbeitszeiten von Mitarbeiterinnen und Mitarbeitern, so die Analyse von Kaspersky und VDC Research. Die weltweiten Kosten belaufen sich auf über 18 Milliarden US-Dollar. Dabei handelt es sich lediglich um die Lohnkosten – tatsächliche Geschäftsverluste dürften deutlich höher ausfallen.

Die Fertigungsindustrie bleibt ein bevorzugtes Ziel für Cyberkriminelle. Das Kaspersky Security Network ermittelte zwischen Januar und September 2025 eine Ransomware-Erkennungsrate von knapp 4 Prozent in europäischen Fertigungsunternehmen. Damit steht Europa zwar im internationalen Vergleich relativ gut da, doch auch dieser Wert deutet auf eine ernstzunehmende Bedrohung hin. Im Nahen Osten lag die Erkennungsrate bei 7 Prozent, in Lateinamerika bei 6,5 Prozent, in der Region Asien-Pazifik sowie in Afrika bei jeweils 6 Prozent und in den GUS-Staaten bei 5 Prozent.

Welche Folgen hat ein erfolgreicher Angriff?

Wenn Ransomware erfolgreich eingeschleust wird, kommt es zum Stillstand. Produktionslinien stoppen, Mitarbeitende können ihrer Tätigkeit nicht nachgehen, Lieferketten geraten unter Druck. Durchschnittlich 13 Tage dauert ein solcher Angriff laut Kaspersky-Analysen. Während dieser Zeit entstehen nicht nur direkte Umsatzverluste, sondern auch mittel- bis langfristige Einbußen durch geringere Ausbringung. Besonders deutlich werden die wirtschaftlichen Auswirkungen in den folgenden Zahlen:

• Europa: 3,8 Milliarden Euro (4,4 Mrd. USD)

• Asien-Pazifik: 9,9 Milliarden Euro (11,5 Mrd. USD)

• Lateinamerika: 613 Millionen Euro (711 Mio. USD)

• Naher Osten: 591 Millionen Euro (685 Mio. USD)

• GUS: 437 Millionen Euro (507 Mio. USD)

• Afrika: 385 Millionen Euro (446 Mio. USD)

Diese Schätzungen basieren auf der Annahme, dass alle identifizierten Angriffe erfolgreich gewesen wären – realistische Verluste dürften in erfolgreichen Fällen jedoch ähnlich hoch ausfallen. Hinzu kommen Wiederanlaufkosten, Maßnahmen zur Wiederherstellung der Systeme sowie ein erheblicher Kommunikationsaufwand entlang der Lieferkette. Auch Reputationsverluste sind häufige Begleiterscheinungen.

Wie reagiert die Industrie auf die Bedrohung?

Laut Jared Weiner, Research Director bei VDC Research, stellt die zunehmende Komplexität industrieller Umgebungen eine besondere Herausforderung dar. „Die zunehmende Komplexität industrieller Umgebungen, wachsende Qualifikationslücken und anhaltende Personalengpässe erschweren ein wirksames Sicherheitsmanagement“, so Weiner. Konsequente Maßnahmen seien notwendig, um finanzielle Schäden und Imageschäden zu verhindern. Die Zusammenarbeit mit erfahrenen Cybersicherheitsanbietern spiele dabei eine zentrale Rolle.

Dmitry Galov, Sicherheitsforscher bei Kaspersky, warnt zudem vor einer trügerischen Sicherheit mittelgroßer Unternehmen. „Auch mittelgroße Hersteller, die von Angreifern in der Vergangenheit möglicherweise übersehen wurden, gehören zu den Zielen“, erklärt Galov. Geringere Sicherheitsbudgets und anfälligere Lieferketten erhöhen das Risiko für diese Gruppe erheblich.

Notfall- und Krisenmanagement in der Produktion

Zunehmende Risiken durch technische Störungen, Versorgungsausfälle und Naturereignisse verlangen ein ganzheitliches Sicherheitskonzept von Produktionsbetrieben. Ungeplante Stillstände bilden für sie ein erhebliches Risiko.

Welche Schutzmaßnahmen werden empfohlen?

• Aktuelles Patch‑ und Schwachstellenmanagement – Laut einer Untersuchung der Fertigungsindustrie wurden 76 % der untersuchten Einbrüche über nur zehn bereits bekannte Sicherheitslücken durchgeführt; für alle waren Updates verfügbar. Fertigungsunternehmen sollten deshalb Sicherheits‑Updates für Windows‑Server, SCADA‑Software und Firmware zeitnah einspielen und ein automatisiertes Schwachstellen‑Management einrichten. Dies gilt auch für Remote‑Access‑Tools und andere öffentlich erreichbare Dienste, die häufig als Einstiegstor dienen.

• Netzwerk‑ und Mikrosegmentierung – Es wird empfohlen, das Firmennetz in Zonen (z. B. VLANs oder ZTNA‑Segmente) zu unterteilen, damit sich Ransomware nicht im gesamten Netz ausbreitet; dazu gehört auch die Trennung von Gäste‑ und Mitarbeiter‑Netzen. In industriellen Umgebungen sollten IT‑ und OT‑Netze zudem mittels Mikrosegmentierung voneinander isoliert werden. Ein Zero‑Trust‑Remote‑Access‑Ansatz mit MFA‑Proxy, Jump‑Hosts und Mikrosegmentierung hindert kompromittierte Konten daran, sich seitwärts zu bewegen.

• Sichere Zugänge und Zero‑Trust‑Remote‑Access – Online‑Konten und Fernwartungszugänge sind beliebte Angriffsvektoren. Experten raten, Konten und Remote‑Zugriffe mindestens mit Zwei‑Faktor‑Authentifizierung abzusichern und den Zugriff auf registrierte Geräte zu beschränken. In der Produktion sollte der klassische Wartungs‑VPN durch einen Zero‑Trust‑Remote‑Access ersetzt werden; ein MFA‑Proxy autorisiert Wartungsfenster sekundengenau, Jump‑Hosts zeichnen Wartungssitzungen auf und Mikrosegmentierung verhindert laterale Bewegungen.

• Security‑Operations‑Center und kontinuierliche Überwachung – Bereits der Ausfall einzelner Maschinen kann enorme Schäden verursachen. Daher sollte ein Security Operations Center (SOC) als zentrale Leitstelle für IT‑ und OT‑Sicherheit aufgebaut werden. In einem SOC überwachen qualifizierte Cyber‑Security‑Analysten rund um die Uhr Netzwerke, vernetzte Sensoren, Maschinen und Anlagen, analysieren Anomalien und leiten Schutzmaßnahmen ein. Unternehmen ohne interne Ressourcen können diesen Dienst auch über erfahrene Cyber‑Security‑Partner abdecken.

• Antiviren‑, Endpoint‑ und Firewall‑Lösungen einsetzen – Moderne Ransomware nutzt häufig bekannte Schadsoftware. Sicherheitsexperten weisen darauf hin, dass Antiviren‑Software und die Ransomware‑Schutzfunktion von Windows („überwachter Ordnerzugriff“) zum Grundschutz gehören und stets aktuell gehalten werden müssen. Ergänzend sollten Fertiger Next‑Generation‑Firewalls und Endpoint‑Detection‑and‑Response‑Lösungen einsetzen und den Netzwerkverkehr – auch an OT‑Grenzen – kontinuierlich auf verdächtige Aktivitäten untersuchen.

• Regelmäßige, offline geschützte Backups und versionierte Cloud‑Speicher – Falls trotz Schutzmaßnahmen eine Infektion auftritt, hilft nur eine saubere Datensicherung. Profis raten, sowohl lokale Server als auch Cloud‑Speicher regelmäßig zu sichern und die Sicherungen selbst vor Ransomware zu schützen – etwa durch Schreib‑/Zugriffsschutz oder indem Backup‑Medien nach der Sicherung vom Netzwerk getrennt werden. Versionierte Cloud‑Speicher (Snapshots) ermöglichen es, Dateien auf den Zustand vor der Verschlüsselung „zurückzuspulen“.

• Sensibilisierung und Schulung der Mitarbeitenden – Viele erfolgreiche Ransomware‑Angriffe beginnen mit einer Phishing‑Mail oder Social‑Engineering‑Attacke. Daher ist die Sensibilisierung der Mitarbeitenden zentral: Schulungen helfen, verdächtige Links und Anhänge zu erkennen und nicht anzuklicken. Experten unterstreichen ebenfalls, dass gut geschulte Beschäftigte ein wichtiges Glied in der Sicherheitskette sind und regelmäßige Awareness‑Schulungen erforderlich sind.

So sieht effektiver Ransomware-Schutz in der Praxis aus

Global vernetzt – lokal verwundbar

Die zunehmende Vernetzung von Produktionsanlagen über IT-, OT- und IIoT-Systeme eröffnet Angreifern neue Einfallstore. Selbst kleinere Lücken in der IT-Sicherheitsarchitektur können zu flächendeckenden Produktionsstopps führen. Unternehmen, die in hochautomatisierte Anlagen investiert haben, müssen ihre Sicherheitsstrategie anpassen, um Angriffsflächen zu minimieren.

Aufwand steigt – auch für die Wiederherstellung

Ein erfolgreicher Ransomware-Angriff endet nicht mit der Wiederaufnahme der Produktion. Kommunikationsmaßnahmen entlang der Lieferkette, technische Systemprüfungen, Wiederanlauf und Datenwiederherstellung kosten zusätzliche Zeit und Geld. Diese indirekten Aufwände sollten in jeder Sicherheitsstrategie einkalkuliert werden.

Was jetzt zählt: Drei Empfehlungen im Überblick

1. Risiko ernst nehmen: Die Zahlen belegen, dass auch europäische Hersteller zunehmend ins Visier geraten.

2. Lösungen integrieren: Kostenfreie Tools und professionelle Sicherheitslösungen sind kombinierbar.

3. Personal weiterbilden: Nur wer seine Belegschaft vorbereitet, kann langfristig Risiken minimieren.

Mit Material der  Kaspersky Labs