Die deutsche Wirtschaft verliert pro Jahr 289,2 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage. Das ist der höchste Wert, den der Digitalverband Bitkom je gemessen hat, und er liegt um 22,6 Milliarden Euro über dem Vorjahr. Die im Oktober 2025 veröffentlichte Studie zum Wirtschaftsschutz zeichnet ein Bild, das Sicherheitsverantwortliche in Deutschland, Österreich und der Schweiz seit Monaten beschäftigt: Cyberkriminalität ist von einem IT-Problem zu einem volkswirtschaftlichen Risiko geworden.
Dieser Artikel ordnet die Zahlen ein, benennt die aktiven Tätergruppen, vergleicht den Schaden mit den Vorjahren und liefert eine Analyse der Marktfolgen. Die Datenbasis stammt ausschließlich aus Erhebungen der Jahre 2025 und 2026, darunter Bitkom, das Bundesamt für Sicherheit in der Informationstechnik (BSI), Check Point und Palo Alto Networks Unit 42.
Rekordschaden: 289,2 Milliarden Euro Cyberschäden in Deutschland
Die Kernzahl der Bitkom-Studie Wirtschaftsschutz 2025 lautet 289,2 Milliarden Euro. So hoch beziffert der Verband den jährlichen Gesamtschaden durch Diebstahl von IT-Ausrüstung und Daten, durch digitale und analoge Industriespionage sowie durch Sabotage. Im Vorjahr lag der Wert bei 266,6 Milliarden Euro, ein Jahr zuvor bei 205,9 Milliarden Euro. Innerhalb von zwei Jahren ist der gemessene Schaden also um rund 40 Prozent gestiegen.
Der weitaus größte Teil dieses Schadens entsteht digital. Auf Cyberangriffe entfallen nach Bitkom-Zahlen rund 202,4 Milliarden Euro, das sind etwa 70 Prozent der Gesamtsumme. Die restlichen 30 Prozent verteilen sich auf analoge Vorfälle wie den Diebstahl physischer Dokumente, abgehörte Besprechungen oder gestohlene Hardware. Die Verschiebung hin zum Digitalen hält seit Jahren an und beschleunigt sich. Wer den Begriff Cyberkriminalität und Schaden in Deutschland zusammen denkt, spricht heute über einen dreistelligen Milliardenbetrag, nicht über Einzelfälle.
Bemerkenswert ist die Breite der Betroffenheit. 87 Prozent der befragten Unternehmen gaben an, in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen gewesen zu sein. Das bedeutet: Cyberangriffe sind in Deutschland kein Restrisiko mehr, sondern der statistische Normalfall. Befragt wurden für die Studie mehr als 1.000 Unternehmen aller Branchen.
Wie sich der Cyberschaden zusammensetzt
Hinter der Gesamtsumme von 289,2 Milliarden Euro stehen sehr unterschiedliche Schadensarten. Bitkom unterscheidet zwischen Umsatzeinbußen durch Betriebsausfälle, Kosten für Ermittlungen und Wiederherstellung, Reputationsschäden, Erpressungszahlungen sowie dem Verlust von Wettbewerbsvorteilen durch abgeflossenes Know-how. Gerade der letzte Posten ist schwer zu beziffern und dürfte in der Realität noch höher liegen, weil viele Unternehmen den Abfluss von Konstruktionsdaten oder Geschäftsgeheimnissen erst Jahre später bemerken.
Die folgende Tabelle zeigt die Entwicklung des jährlichen Gesamtschadens nach Bitkom über drei Erhebungsjahre. Die Steigerung ist konstant und folgt keinem Ausreißer, sondern einem Trend.
| Erhebungsjahr | Jährlicher Gesamtschaden | Veränderung zum Vorjahr | Anteil Cyberangriffe |
|---|---|---|---|
| 2023 | 205,9 Mrd. € | Basiswert | ca. 72 % |
| 2024 | 266,6 Mrd. € | +29,5 % | ca. 71 % |
| 2025 | 289,2 Mrd. € | +8,5 % | ca. 70 % |
Auffällig ist, dass der prozentuale Anstieg von 2024 auf 2025 mit 8,5 Prozent deutlich kleiner ausfällt als der Sprung von 2023 auf 2024. Das deutet nicht auf Entwarnung hin, sondern auf einen hohen Sockel: Bei knapp 290 Milliarden Euro Schaden pro Jahr ist der absolute Zuwachs von 22,6 Milliarden Euro weiterhin gewaltig, auch wenn die Wachstumsrate sich abflacht. Sicherheitsökonomen lesen daraus eine Sättigung der Betroffenheit. Wenn fast 9 von 10 Unternehmen bereits getroffen werden, bleibt wenig Spielraum nach oben.
87 Prozent betroffen: Die Breite der Bedrohungslage
Der Wert von 87 Prozent betroffener Unternehmen ist die vielleicht wichtigste Zahl der gesamten Studie. Er zeigt, dass es längst nicht mehr um die Frage geht, ob ein Unternehmen angegriffen wird, sondern wann und wie oft. Besonders der Mittelstand, das Rückgrat der deutschen Wirtschaft, gerät zunehmend ins Visier. Anders als Großkonzerne verfügen mittelständische Maschinenbauer, Zulieferer und Logistiker selten über eigene Security-Operations-Teams.
59 Prozent der Unternehmen sehen in Cyberangriffen mittlerweile eine existenzielle Bedrohung für ihren Betrieb. Vor wenigen Jahren lag dieser Wert noch deutlich niedriger. Die Verschiebung in der Wahrnehmung folgt der realen Erfahrung: Ein erfolgreicher Ransomware-Angriff kann die Produktion einer Fabrik über Wochen lahmlegen, Lieferketten unterbrechen und im schlimmsten Fall zur Insolvenz führen.
Die Angreifer nutzen diese Verwundbarkeit gezielt aus. Nach Analysen des deutschen Cybersecurity-Marktes timen Tätergruppen ihre Angriffe inzwischen bewusst auf Produktionsspitzen, regulatorische Meldefristen oder laufende Fusions- und Übernahmegespräche. Wer unter Zeitdruck steht, zahlt eher. Diese kalkulierte Erpressungslogik unterscheidet die professionelle Cyberkriminalität von 2026 von den eher zufälligen Massenkampagnen früherer Jahre.
Woher die Angriffe kommen: Russland und China im Fokus
46 Prozent der betroffenen Unternehmen konnten mindestens einen Angriff auf Täter in Russland oder China zurückführen. Damit haben sich die beiden Länder als die zentralen Herkunftsregionen für Angriffe auf die deutsche Wirtschaft etabliert. Bitkom verweist auf eine zunehmende Verschmelzung von rein kriminellen und geopolitisch motivierten Aktivitäten. Staatlich geduldete oder gesteuerte Gruppen, sogenannte Advanced Persistent Threats, agieren teils mit denselben Werkzeugen wie gewöhnliche Ransomware-Banden.
Diese Vermischung erschwert die Abwehr. Ein Angriff, der wie eine gewöhnliche Erpressung aussieht, kann in Wahrheit der Vorbereitung von Spionage oder Sabotage dienen. Sicherheitsbehörden in der DACH-Region warnen seit 2025 vor einer geopolitisch aufgeladenen Lage, in der kritische Infrastruktur, Energieversorger und Rüstungszulieferer besonders im Fokus stehen. Geopolitische Spannungen sind im Cybersecurity-Bild Deutschlands 2026 zu einem dauerhaften Faktor geworden.
Die regionale Dimension bestätigt eine Analyse von Check Point Software Technologies. Demnach stieg die Zahl der Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent. Getrieben wurde dieser Anstieg von einer scharfen Zunahme hacktivistischer Kampagnen und professioneller Ransomware-Operationen. Deutschland steht dabei im Zentrum der DACH-weiten Eskalation, wie unsere Analyse zum 124-Prozent-Anstieg der Cyberangriffe in Deutschland im Detail zeigt.
Ransomware als Geschäftsmodell: Cybercrime-as-a-Service
Ein Grund für die Rekordschäden liegt in der Industrialisierung der Cyberkriminalität. Der Markt ist heute klar arbeitsteilig organisiert. Es gibt getrennte Geschäftsbereiche für den Erstzugang in fremde Netze (Initial Access Broker), für die Entwicklung und Verbreitung von Schadsoftware, für den Datendiebstahl und für die eigentliche Lösegeldverhandlung. Diese Spezialisierung senkt die Eintrittshürden erheblich.
Im Cybercrime-as-a-Service-Modell muss ein Angreifer nicht mehr selbst programmieren können. Er mietet die Schadsoftware, kauft einen Zugang ein und beauftragt Verhandlungsspezialisten. Das Resultat ist eine höhere Zahl an Angriffen bei gleichzeitig steigender Professionalität. Moderne Ransomware-Vorfälle in Deutschland kombinieren in der Regel drei Hebel: die Verschlüsselung der Daten, deren Diebstahl und die Drohung mit der Veröffentlichung. Diese doppelte und teils dreifache Erpressung macht das reine Backup als alleinige Schutzmaßnahme wirkungslos.
Wie ein solcher Angriff in der Praxis abläuft und welche Spuren er hinterlässt, zeigt der Fall der Gruppe Qilin, die im März 2026 unter anderem die Partei Die Linke traf. Eine ausführliche Rekonstruktion findet sich in unserem Bericht über die Qilin-Ransomware und ihre über 500 Opfer.
Wer hinter den Angriffen steht: Qilin, Akira und LockBit
Die Tätergruppen lassen sich heute namentlich benennen und in ihrer Aktivität messen. Der Sicherheitsdienstleister Breachsense zählte allein im Mai 2026 insgesamt 646 Unternehmen, die auf Leak-Sites von Ransomware-Gruppen gelistet wurden, verteilt auf 61 unterschiedliche Gruppen und 73 Länder. Die tatsächliche Opferzahl liegt höher, weil viele Vorfälle nie öffentlich werden.
An der Spitze steht weiterhin Qilin. Die russischsprachige Gruppe beanspruchte im Mai 2026 insgesamt 97 Angriffe für sich, ein Rückgang um 10 Prozent gegenüber den 108 Angriffen des Vormonats. Auf den weiteren Plätzen folgen etablierte Marken wie Akira und LockBit. Die folgende Tabelle fasst die aktivsten Gruppen des Monats Mai 2026 zusammen.
| Gruppe | Beanspruchte Opfer (Mai 2026) | Herkunft / Profil | Status |
|---|---|---|---|
| Qilin | 97 | Russischsprachig | Aktivste Gruppe, -10 % zum Vormonat |
| Akira | 52 | International | Platz 3, hohe Konstanz |
| LockBit | 18 | Russischsprachig | Nach Strafverfolgung reorganisiert |
| Cl0p | schwankend | Russischsprachig | Volumen von 90 auf 35 gefallen (Jan/Feb 2026) |
| RansomHub | wachsend | RaaS-Affiliate-Modell | Schnell wachsend, Gruppe zum Beobachten |
Die Liste verändert sich schnell. Strafverfolgungsaktionen wie die internationale Zerschlagung von LockBit haben gezeigt, dass selbst dominante Gruppen verwundbar sind. Doch der Markt füllt entstehende Lücken zügig. Affiliates wechseln zur nächsten Plattform, und neue Marken wie RansomHub oder SafePay übernehmen Marktanteile. Wie deutsche Behörden bei der Enttarnung solcher Netzwerke vorgehen, beschreibt unser Beitrag zur Enttarnung von REvil und GandCrab durch das BKA.
Was ein Angriff kostet: Lösegeld und Wiederherstellung
Die Frage nach den konkreten Kosten eines Vorfalls beantwortet der Global Incident Response Report 2026 von Palo Alto Networks Unit 42. Die mediane Lösegeldzahlung lag im Jahr 2025 bei 500.000 US-Dollar. Der Median ist aussagekräftiger als ein Durchschnitt, weil einzelne Extremfälle mit zweistelligen Millionenforderungen das Mittel verzerren würden. Die Hälfte aller Zahlungen lag also bei oder unter einer halben Million Dollar.
Das gezahlte Lösegeld ist jedoch nur ein Bruchteil der Gesamtkosten. Hinzu kommen die Ausgaben für forensische Untersuchungen, Rechtsberatung, die Wiederherstellung der Systeme, Mehrarbeit, Vertragsstrafen und der Umsatzausfall während des Stillstands. In vielen Fällen übersteigen diese Folgekosten das eigentliche Lösegeld um ein Vielfaches. Sicherheitsverantwortliche rechnen für einen schweren Vorfall im Mittelstand schnell mit einem Gesamtaufwand im einstelligen Millionenbereich, selbst wenn kein Lösegeld gezahlt wird.
Diese Rechnung erklärt, warum die volkswirtschaftliche Summe von 289,2 Milliarden Euro plausibel ist. Bei zehntausenden betroffenen Unternehmen pro Jahr, jedes mit Folgekosten im sechs- bis siebenstelligen Bereich, summiert sich der Schaden rasch in den dreistelligen Milliardenbereich. Ein einzelnes gestohlenes Datenpaket kann zudem über Jahre Folgeschäden verursachen, etwa durch nachgelagerten Betrug oder den Verlust von Geschäftsgeheimnissen.
Marktauswirkung: IT-Sicherheitsausgaben steigen zweistellig
Der Rekordschaden hat einen direkten Marktnachhall. Der deutsche Markt für IT-Sicherheit wächst nach Bitkom-Angaben zweistellig. Unternehmen investieren verstärkt in Endpoint-Schutz, Netzwerksegmentierung, Identitätsmanagement und externe Dienstleister. Wer den Schaden von knapp 290 Milliarden Euro gegen die Sicherheitsausgaben rechnet, erkennt eine klare ökonomische Logik: Prävention bleibt deutlich günstiger als die Bewältigung eines erfolgreichen Angriffs.
Besonders gefragt sind 2026 Lösungen rund um künstliche Intelligenz, Automatisierung und die Absicherung von Lieferketten. Die Supply-Chain-Sicherheit gilt als eines der prägenden Themen des deutschen Marktes, weil die Schwäche eines einzigen Partners ganze Netzwerke aus Fertigung, Dienstleistung und Logistik gefährdet. Ein kompromittierter Zulieferer kann zum Einfallstor für hunderte nachgelagerte Unternehmen werden.
Gleichzeitig verschärft sich der Fachkräftemangel. Es fehlen qualifizierte Security-Analysten, Incident Responder und Compliance-Spezialisten. Dieser Engpass treibt die Nachfrage nach Managed Security Services und nach automatisierten Abwehrsystemen, die menschliche Analysten entlasten. Der Mangel an Personal ist damit selbst zu einem Risikofaktor geworden, der die Schadenssummen indirekt nach oben treibt.
Stimmen aus der Branche zur Bedrohungslage
Die nüchternen Zahlen werden von deutlichen Warnungen der führenden Köpfe der Branche begleitet. Ralf Wintergerst, Präsident des Digitalverbands Bitkom, ordnet die Entwicklung so ein:
“Die deutsche Wirtschaft steht unter Dauerbeschuss. Kriminelle Banden und staatlich gesteuerte Akteure greifen immer professioneller an, und die Grenzen zwischen beiden verschwimmen. Wirtschaftsschutz ist heute eine Frage der Wettbewerbsfähigkeit unseres gesamten Standorts.”
Ralf Wintergerst, Präsident Bitkom
Auch das Bundesamt für Sicherheit in der Informationstechnik schlägt einen ungewohnt scharfen Ton an. BSI-Präsidentin Claudia Plattner beschreibt die Lage seit dem Lagebericht 2024 wiederholt als angespannt bis kritisch und betont die Notwendigkeit gemeinsamer Anstrengungen:
“Die Bedrohungslage ist so hoch wie nie. Wir können die Angreifer nur stoppen, wenn Staat, Wirtschaft und Gesellschaft Cybersicherheit als gemeinsame Aufgabe verstehen. Resilienz lässt sich nicht delegieren, sie muss in jeder Organisation verankert werden.”
Claudia Plattner, Präsidentin BSI
Aus Sicht der internationalen Sicherheitsforschung verweisen Analysten von Check Point auf den dramatischen Anstieg in der DACH-Region. Die Forscher führen den 124-prozentigen Zuwachs auf eine Kombination aus geopolitischen Spannungen und der zunehmenden Verfügbarkeit von Angriffswerkzeugen zurück. Deutschland sei wegen seiner exportstarken Industrie und seiner kritischen Infrastruktur ein bevorzugtes Ziel.
Der Tenor aller Stimmen ist einheitlich: Die Zeit punktueller Einzelmaßnahmen ist vorbei. Gefragt ist eine durchgängige Sicherheitsarchitektur, die Prävention, Erkennung und Reaktion verbindet. Mehr Hintergrund zur amtlichen Einschätzung liefert unsere Auswertung des BSI-Lageberichts mit 280.000 neuen Schadprogrammen pro Tag.
Regulierung: NIS2 und DORA verändern die Pflichten
Der Gesetzgeber reagiert auf die Bedrohungslage mit verschärften Vorgaben. Zwei Regelwerke prägen das Jahr 2026 besonders. Die EU-Verordnung DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025 verbindlich für den gesamten Finanzsektor. Banken, Versicherer und ihre IT-Dienstleister müssen seither strenge Anforderungen an ihre digitale Betriebsstabilität erfüllen, von Risikomanagement über Vorfallsmeldung bis zu regelmäßigen Resilienztests.
Parallel dazu setzt Deutschland die EU-Richtlinie NIS2 in nationales Recht um. Sie erweitert den Kreis der regulierten Unternehmen erheblich und verpflichtet tausende Betreiber wichtiger und besonders wichtiger Einrichtungen zu Mindeststandards bei der Cybersicherheit, zu Meldepflichten und zur persönlichen Haftung der Geschäftsführung. Die Details und die verzögerte Umsetzung analysieren wir in unserem Beitrag zur NIS2-Umsetzung in Deutschland mit Strafen bis zu 10 Millionen Euro.
Für betroffene Unternehmen bedeutet das einen erheblichen Mehraufwand, aber auch einen klaren Handlungsrahmen. Die Verbindung aus drohenden Bußgeldern und persönlicher Haftung verschiebt Cybersicherheit endgültig von der IT-Abteilung in die Vorstandsetage. Wer die Vorgaben ignoriert, riskiert nicht nur den Schaden durch einen Angriff, sondern zusätzlich empfindliche Sanktionen.
Historischer Kontext: Von 223 auf 289 Milliarden Euro
Der Blick zurück ordnet die aktuelle Zahl ein. Bereits 2021 bezifferte Bitkom den jährlichen Schaden auf rund 223 Milliarden Euro, der damals als Rekord galt. In den Folgejahren schwankte der Wert, lag 2023 bei 205,9 Milliarden Euro und kletterte 2024 auf 266,6 Milliarden Euro, bevor er 2025 den neuen Höchststand von 289,2 Milliarden Euro erreichte. Die langfristige Richtung ist eindeutig: Der Schaden wächst schneller als die Gegenmaßnahmen greifen.
Entscheidend hat sich dabei die Qualität der Angriffe verändert. Vor einem Jahrzehnt dominierten breit gestreute Massenkampagnen mit Trojanern und Erpressungssoftware, die wahllos zuschlugen. Heute stehen gezielte, mehrstufige Angriffe im Vordergrund, die wochenlang unentdeckt im Netzwerk verweilen, bevor sie zuschlagen. Diese Verlagerung von Masse zu Präzision erklärt, warum der Schaden pro Vorfall deutlich gestiegen ist.
Auch die Professionalisierung der Verteidigung ist gewachsen. Unternehmen investieren mehr, Behörden vernetzen sich enger, und internationale Strafverfolgung erzielt sichtbare Erfolge gegen einzelne Gruppen. Doch dieser Fortschritt wird vom Tempo der Angreifer überholt. Die Schere zwischen Angriffs- und Verteidigungsfähigkeit ist im Jahr 2026 nicht kleiner, sondern eher größer geworden.
Was Unternehmen jetzt konkret tun sollten
Aus den Daten lassen sich klare Prioritäten ableiten. Da fast jedes Unternehmen betroffen ist, lohnt sich keine Diskussion mehr über das Ob, sondern nur über die konkrete Umsetzung. Drei Bereiche stechen heraus: Identitäten, Backups und Erkennung.
Identitäten und Zugänge absichern
Die meisten erfolgreichen Angriffe beginnen mit gestohlenen oder schwachen Zugangsdaten. Eine durchgehende Mehr-Faktor-Authentifizierung, das Prinzip der minimalen Rechtevergabe und eine konsequente Verwaltung privilegierter Konten senken das Risiko spürbar. Phishing bleibt der häufigste Einstiegspunkt. Wie sich solche Angriffe erkennen und abwehren lassen, erklärt unser Leitfaden zu Phishing-Angriffen und der richtigen Reaktion.
Backups und Notfallpläne testen
Gegen die Verschlüsselung von Daten hilft nur ein getestetes, vom Netzwerk getrenntes Backup. Entscheidend ist nicht das Vorhandensein einer Sicherung, sondern die regelmäßig geprobte Wiederherstellung unter realistischen Bedingungen. Viele Unternehmen entdecken erst im Ernstfall, dass ihre Backups unvollständig oder selbst verschlüsselt sind. Ein dokumentierter Notfallplan mit klaren Verantwortlichkeiten verkürzt die teure Ausfallzeit erheblich.
Der dritte Bereich ist die Erkennung. Da gezielte Angriffe oft wochenlang unbemerkt bleiben, entscheidet die Geschwindigkeit der Entdeckung über das Schadensausmaß. Moderne Erkennungssysteme, die ungewöhnliches Verhalten im Netzwerk aufspüren, verkürzen die Verweildauer der Angreifer und damit den potenziellen Schaden. Wie Datenlecks im Detail entstehen und welche Schutzmaßnahmen greifen, erläutert unser Überblick zu Datenlecks und ihrer Vermeidung.
Fünf Prognosen für die Bedrohungslage bis 2027
Auf Basis der aktuellen Daten und Trends lassen sich mehrere Entwicklungen mit hoher Wahrscheinlichkeit absehen.
- Der Schaden überschreitet 300 Milliarden Euro. Bei der bisherigen Dynamik dürfte die nächste Bitkom-Erhebung erstmals einen Gesamtschaden jenseits der 300-Milliarden-Marke ausweisen, getrieben vor allem durch die digitalen Schadensanteile.
- KI verschärft beide Seiten. Angreifer nutzen generative KI für überzeugendere Phishing-Kampagnen und automatisierte Schwachstellensuche, während Verteidiger KI zur Anomalieerkennung einsetzen. Das Wettrüsten beschleunigt sich.
- Supply-Chain-Angriffe nehmen zu. Da die direkte Verteidigung großer Konzerne besser wird, verlagern Angreifer sich verstärkt auf schwächer geschützte Zulieferer als Einfallstor.
- NIS2 erzwingt einen Investitionsschub. Die persönliche Haftung der Geschäftsführung treibt tausende bislang zögernde Unternehmen 2026 und 2027 zu deutlich höheren Sicherheitsausgaben.
- Konsolidierung bei den Tätergruppen. Nach jeder Strafverfolgungsaktion formieren sich die Affiliates neu. Es entstehen weniger, aber größere und professionellere Ransomware-Marken.
Diese Prognosen sind keine Schwarzmalerei, sondern die Fortschreibung beobachtbarer Muster. Sie unterstreichen, dass Cybersicherheit dauerhaft auf die Agenda der Unternehmensführung gehört, nicht als Projekt, sondern als Daueraufgabe.
Häufige Fragen zu Cyberschäden in Deutschland
Wie hoch ist der jährliche Cyberschaden für die deutsche Wirtschaft?
Nach der Bitkom-Studie Wirtschaftsschutz 2025 beläuft sich der jährliche Gesamtschaden durch Datendiebstahl, Spionage und Sabotage auf 289,2 Milliarden Euro. Rund 70 Prozent davon, etwa 202,4 Milliarden Euro, entfallen auf digitale Cyberangriffe.
Wie viele Unternehmen sind in Deutschland von Cyberangriffen betroffen?
87 Prozent der von Bitkom befragten Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. 59 Prozent sehen in Cyberangriffen eine existenzielle Bedrohung für ihren Betrieb.
Woher kommen die meisten Angriffe auf deutsche Unternehmen?
46 Prozent der betroffenen Unternehmen führten mindestens einen Angriff auf Täter in Russland oder China zurück. Beide Länder gelten als zentrale Herkunftsregionen, wobei kriminelle und staatlich motivierte Aktivitäten zunehmend verschwimmen.
Welche Ransomware-Gruppe ist 2026 am aktivsten?
Die russischsprachige Gruppe Qilin war im Mai 2026 mit 97 beanspruchten Angriffen die aktivste Ransomware-Gruppe weltweit. Es folgten Akira mit 52 und LockBit mit 18 gelisteten Opfern.
Wie viel kostet ein durchschnittlicher Ransomware-Angriff?
Die mediane Lösegeldzahlung lag 2025 laut Palo Alto Networks Unit 42 bei 500.000 US-Dollar. Die Gesamtkosten eines Vorfalls liegen jedoch meist deutlich höher, weil Wiederherstellung, Ausfallzeit und Folgeschäden hinzukommen.
Was ändern NIS2 und DORA für Unternehmen?
DORA gilt seit dem 17. Januar 2025 verbindlich für den Finanzsektor. NIS2 erweitert die Pflichten auf tausende weitere Betreiber wichtiger Einrichtungen, mit Meldepflichten, Mindeststandards und persönlicher Haftung der Geschäftsführung bei Verstößen.
Lohnt sich die Investition in Cybersicherheit angesichts der Schäden?
Ja. Bei einem volkswirtschaftlichen Schaden von knapp 290 Milliarden Euro pro Jahr und Folgekosten im sechs- bis siebenstelligen Bereich pro Vorfall ist Prävention durchgängig günstiger als die Bewältigung eines erfolgreichen Angriffs. Der deutsche IT-Sicherheitsmarkt wächst entsprechend zweistellig.
Related Coverage
- Cyberangriff Deutschland: +124 % Attacken im DACH-Raum
- Qilin Ransomware: 500+ Opfer, Die Linke gehackt
- BSI Lagebericht: 280.000 Schadprogramme pro Tag
- NIS2 Deutschland: 29.500 Firmen, 10 Mio € Strafe
- REvil enttarnt: 130 Angriffe, 35 Mio € Schaden
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Online-Sicherheit verständlich erklärt
