Cyberangriffe auf Unternehmen, Behörden und Infrastruktur in Deutschland, Österreich und der Schweiz haben 2025 einen Rekordwert erreicht. Laut einer aktuellen Analyse von Check Point Software Technologies stiegen die Attacken im DACH-Raum um 124 Prozent gegenüber dem Vorjahr. Deutschland trägt dabei die Hauptlast: 82 Prozent aller registrierten Vorfälle in der Region treffen deutsche Organisationen. Die Kombination aus geopolitischer Eskalation, professionalisierter Ransomware-Kriminalität und KI-gestützten Angriffswerkzeugen macht die Bedrohungslage für 2026 noch komplexer.
Deutschland absorbiert 82 Prozent aller DACH-Cyberangriffe
Die Check Point-Analyse, veröffentlicht im Mai 2026, erfasst alle dokumentierten Cyberangriffe auf DACH-Organisationen aus dem Jahr 2025. Das Ergebnis ist eindeutig: Deutschland ist mit weitem Abstand das meistangegriffene Land der Region. Von den insgesamt im DACH-Raum protokollierten Vorfällen entfielen 82 Prozent auf Deutschland, zwölf Prozent auf die Schweiz und acht Prozent auf Österreich.
Die Forscher führen Deutschlands exponierte Position auf zwei Hauptfaktoren zurück. Erstens macht die wirtschaftliche Bedeutung als größte Volkswirtschaft Europas das Land zu einem attraktiven Ziel für finanziell motivierte Angreifer. Zweitens spielt die geopolitische Sichtbarkeit eine entscheidende Rolle: Deutschlands umfangreiche Ukraine-Unterstützung hat es zum bevorzugten Ziel pro-russischer Hacktivisten-Kollektive gemacht, die gezielt westeuropäische Regierungen und Infrastruktur angreifen.
Innerhalb Europas positioniert sich der DACH-Raum als bedeutendstes Angriffsziel: Die Region absorbiert 18 Prozent aller erfassten europäischen Cyberangriffe und übertrifft damit Frankreich, Spanien und Italien jeweils als Einzelländer. Ein Wert, der die strategische Bedeutung des deutschsprachigen Raums für Angreifer unterstreicht.
Die Anatomie des 124-Prozent-Anstiegs
Der Sprung von 124 Prozent ist nicht auf einen einzelnen Angriffstyp zurückzuführen, sondern auf das parallele Wachstum zweier unterschiedlicher Bedrohungskategorien: Hacktivismus und Ransomware. Beide haben 2025 in der DACH-Region gleichzeitig stark zugenommen, was den kombinierten Effekt erklärt.
Die globale Perspektive bestätigt den Trend: Check Point ermittelte für das zweite Quartal 2025 weltweit 1.984 wöchentliche Cyberangriffe pro Organisation, ein Anstieg von 21 Prozent gegenüber dem gleichen Zeitraum 2024 und 58 Prozent mehr als noch zwei Jahre zuvor. Europäische Organisationen verzeichneten dabei das stärkste regionale Wachstum aller Weltregionen.
„Cyberangriffe sind 2026 kein punktuelles Risiko mehr, sondern ein permanentes Element der Betriebsrealität für jedes deutsche Unternehmen”, analysiert der Chambers-Länderbericht zur deutschen Cybersicherheitslage 2026. Die wachsende Professionalisierung der Angreifer, kombiniert mit dem Einsatz von KI, mache klassische Schutzmaßnahmen zunehmend unzureichend.
| Region | Anteil DACH-Vorfälle 2025 | Charakteristik |
|---|---|---|
| Deutschland | 82 % | Wirtschafts- und Geopolitik-Ziel Nr. 1 |
| Schweiz | 12 % | Finanzsektor und internationale Organisationen |
| Österreich | 8 % | Regierung und kritische Infrastruktur |
| DACH gesamt (Europa-Anteil) | 18 % aller EU-Angriffe | Führende Zielregion Europas |
| Anstieg DACH vs. Vorjahr | +124 % | Stärkster Zuwachs aller europäischen Subregionen |
Website-Defacements: 66 Prozent aller Vorfälle
Wer nur die Schlagzeilen verfolgt, könnte annehmen, Ransomware sei der dominante Angriffstyp in Deutschland. Die Daten zeichnen ein anderes Bild: Website-Defacements machen 66 Prozent aller erfassten DACH-Vorfälle aus. Diese Angriffe, bei denen Hacktivist-Kollektive die Webauftritte von Behörden, Unternehmen und Medien manipulieren, sind primär politisch motiviert und auf Öffentlichkeitswirkung ausgerichtet.
Hauptakteure sind pro-russische Hacktivist-Gruppen, allen voran NoName057(16), das in früheren Analysen als treibende Kraft hinter DDoS-Wellen gegen Deutschland identifiziert wurde. Daneben operieren Dark Storm Team und die Gruppe Mr Hamza, die koordinierte Kampagnen gegen westeuropäische Regierungsziele fahren. Diese Gruppen agieren öffentlichkeitswirksam, dokumentieren ihre Angriffe in Telegram-Kanälen und rekrutieren aktiv neue Mitglieder über soziale Netzwerke.
Die Defacement-Angriffe richten selten dauerhaften technischen Schaden an, verursachen aber erhebliche Reputationsschäden und binden Ressourcen in der Schadensbeseitigung. Für staatliche Einrichtungen, die Ziel koordinierter Desinformationskampagnen sind, kommt die psychologische Wirkung hinzu: Öffentliche Aufmerksamkeit für vermeintliche Sicherheitslücken untergräbt das Vertrauen in digitale Verwaltungsinfrastruktur.
Ransomware-Gruppen Qilin, Akira und LockBit im DACH-Raum
Während Defacements volumenmäßig dominieren, stellt Ransomware die finanziell gefährlichste Bedrohung dar. Rund 30 Prozent aller DACH-Vorfälle sind Ransomware-Attacken zuzurechnen, und drei Gruppen stechen besonders hervor: Qilin, Akira und LockBit. Alle drei nutzen bevorzugt Organisationen mit schwacher Authentifizierungsinfrastruktur und exponierte internet-zugängliche Systeme als Einstiegspunkte.
Qilin, eine seit 2022 aktive Ransomware-as-a-Service-Gruppe, hat sich 2025 auf kritische Infrastruktur spezialisiert und nutzt dabei vermehrt kompromittierte VPN-Zugangsdaten als Initialvektor. Akira, bekannt für doppelte Erpressungsstrategien, richtet sich bevorzugt gegen mittelständische Unternehmen, die oft weniger robuste Sicherheitsarchitekturen betreiben als Großkonzerne. LockBit operiert trotz der Takedown-Operation internationaler Strafverfolgungsbehörden im Jahr 2024 weiterhin aktiv, unter neuer Infrastruktur und mit überarbeiteten Taktiken.
„Ransomware-Gruppen operieren heute mit der Agilität und Ressourcenausstattung legitimer Technologieunternehmen”, beschreibt das IBM X-Force-Analyseteam die aktuelle Lage in seinem Bedrohungsbericht 2025. „Sie haben spezialisierte Rollen, definierte Umsatzmodelle und sogar HR-ähnliche Rekrutierungsprozesse.” Für deutsche Unternehmen bedeutet das: Die Zeiten, in denen Ransomware primär opportunistische Kleinkriminalität war, sind vorbei.
Die finanziellen Konsequenzen sind erheblich. Verizon ermittelte im Data Breach Investigations Report 2025, dass Ransomware mittlerweile in 44 Prozent aller dokumentierten Sicherheitsverletzungen involviert ist, ein Anstieg gegenüber 32 Prozent im Vorjahr. IBM beziffert den durchschnittlichen Schaden eines Ransomware-Angriffs, einschließlich Erpressungszahlung, Wiederherstellungskosten und Betriebsausfall, auf 5,08 Millionen US-Dollar.
Geopolitik als Treiber: Ukraine-Unterstützung macht Deutschland zum Ziel
Der Anstieg der Cyberangriffe gegen Deutschland lässt sich ohne geopolitischen Kontext nicht verstehen. Als größter europäischer Unterstützer der Ukraine steht Deutschland seit Beginn des russischen Angriffskriegs konsistent an der Spitze der Angriffsziele pro-russischer Hacktivisten. Die Muster dieser Angriffe folgen politischen Ereignissen: Ankündigungen neuer Rüstungslieferungen, Parlamentsdebatten zur Ukraine-Hilfe oder Berichte über diplomatische Spannungen lösen regelmäßig koordinierte Angriffswellen aus.
Im April 2026 warnten deutsche und amerikanische Behörden gemeinsam vor einer Gruppe mit Verbindungen zum russischen Militärgeheimdienst GRU, die aktiv verwundbare Systeme in westeuropäischen NATO-Ländern ausnutzt. Deutschland stand dabei explizit im Fokus der Warnung. Eine koordinierte Strafverfolgungsoperation, an der die USA, Deutschland und Kanada beteiligt waren, zerschlug zeitgleich die Infrastruktur hinter vier großen Botnets, die mehr als 3 Millionen Geräte weltweit infiziert hatten.
„Deutschland ist in einer konfliktgeprägteren Welt ein Hauptziel für Cyberangriffe”, kommentierte die Deutsche Welle im April 2026 die Lage. Die Kombination aus wirtschaftlicher Bedeutung, politischer Sichtbarkeit und Ukraine-Unterstützung mache das Land zu einem bevorzugten Ziel staatlich gesteuerter und staatlich tolerierter Cyberoperationen, die sich von klassischer Kriminalität zunehmend schwerer abgrenzen lassen.
KI verändert das Angriffsbild grundlegend
Künstliche Intelligenz hat in den vergangenen zwölf Monaten die Angriffslandschaft für Deutschland nachhaltig verändert. Der Chambers-Länderbericht Deutschland 2026 fasst die Entwicklung prägnant zusammen: „KI senkt die Kosten und den Aufwand für anspruchsvolle Angriffe erheblich.” Was früher nur nationalen Geheimdiensten oder hochspezialisierten Kriminellen möglich war, ist heute mit kommerziell verfügbaren KI-Tools für ein breiteres Täterfeld zugänglich.
KI-gestützte Phishing-Kampagnen kaum noch erkennbar
Die praktische Auswirkung zeigt sich am deutlichsten bei Social-Engineering-Attacken. KI-generierte Phishing-E-Mails, Sprachimitationen und videobasiertes Social Engineering sind 2026 „selbst für erfahrene Nutzer kaum noch von legitimen Kommunikationen zu unterscheiden”, so der Chambers-Bericht. Für Unternehmen in Deutschland bedeutet das: Technische Erkennungssysteme allein reichen nicht mehr aus. Mitarbeiterschulungen müssen sich an eine Bedrohungslage anpassen, in der die Qualität gefälschter Nachrichten mit professionellen Originalvorlagen gleichzieht.
Software-Lieferketten-Angriffe haben ebenfalls von KI profitiert. Die Zahl solcher Angriffe stieg von durchschnittlich 13 pro Monat Anfang 2024 auf 41 pro Monat im Oktober 2025, ein Anstieg von mehr als 200 Prozent innerhalb von 18 Monaten. Automatisierte Tools ermöglichen es Angreifern, Tausende von Open-Source-Paketen simultan auf Schwachstellen zu prüfen und gezielt zu kompromittieren.
Branchenanalyse: Produktion trägt die Hauptlast
Nicht alle Sektoren sind gleichermaßen betroffen. Global betrachtet war die Fertigungsindustrie 2025 das meistangegriffene Segment überhaupt: IBM X-Force beziffert ihren Anteil an allen dokumentierten Cyberangriffen auf 27,7 Prozent, den höchsten Wert aller untersuchten Branchen. Die Exploitation öffentlich zugänglicher Anwendungen war dabei der häufigste Initialvektor und machte 32 Prozent aller beobachteten Einbrüche aus.
Für Deutschland ist die Relevanz dieser Zahlen besonders hoch: Als exportorientierte Industrienation mit starkem Mittelstand im Maschinenbau, Automobilsektor und in der Chemie ist die deutsche Fertigungsindustrie ein bevorzugtes Ziel für Wirtschaftsspionage und Ransomware-Angreifer. Intellectual Property, Produktionspläne und Lieferkettendaten haben einen hohen Wiederverkaufswert auf kriminellen Marktplätzen.
Im Gesundheitssektor erwartet ScienceSoft für 2026, dass 40 Prozent aller Gesundheitsorganisationen weltweit einen Ransomware-Angriff erleben werden. In Deutschland, wo Krankenhäuser und Gesundheitsdienstleister bereits in der Vergangenheit schwere Angriffe erlebt haben, bleibt dieser Sektor besonders exponiert. Behörden und Verwaltung sind mit einem globalen Anteil von 19 Prozent aller Vorfälle das meistattackierte Segment, eine direkte Warnung auch für deutsche Kommunalverwaltungen und Bundesbehörden.
| Angriffstyp / Metrik | Wert 2025/2026 | Quelle |
|---|---|---|
| DACH-Anstieg Cyberangriffe | +124 % | Check Point Research |
| Website-Defacements (DACH-Anteil) | 66 % | Check Point Research |
| Ransomware (DACH-Anteil) | ~30 % | Check Point Research |
| Ransomware in globalen Sicherheitsverletzungen | 44 % | Verizon DBIR 2025 |
| Durchschnittlicher Ransomware-Schaden | 5,08 Mio. USD | IBM X-Force 2025 |
| Globale Angriffe pro Organisation/Woche (Q2 2025) | 1.984 (+21 % YoY) | Check Point Research |
| Fertigungssektor-Anteil (global) | 27,7 % | IBM X-Force 2025 |
| Software-Lieferketten-Angriffe (Oktober 2025) | 41/Monat (+215 % vs. 2024) | Cyble 2025 |
| Cybersicherheitsausgaben global 2026 | 240 Mrd. USD (+12,5 %) | Gartner |
Finanzielle Dimension: Was Cyberangriffe DACH-Unternehmen kosten
Die direkten und indirekten Kosten von Cyberangriffen auf deutsche Organisationen lassen sich nur schwer vollständig beziffern, aber die verfügbaren globalen Benchmarks geben einen Eindruck der finanziellen Dimension. Das FBI Internet Crime Complaint Center ermittelte für das Jahr 2024 Gesamtschäden durch Cyberkriminalität von 16,6 Milliarden US-Dollar in den USA allein, ein Anstieg von 33 Prozent gegenüber 12,5 Milliarden im Vorjahr.
Für Deutschland liegen keine offiziellen Gesamtschadenszahlen für 2025 vor. Die BSI veröffentlicht ihre umfassenden Lageberichte üblicherweise im Herbst des Folgejahres. Branchenbeobachter schätzen, dass Deutschland angesichts seiner Größe und des 82-Prozent-Anteils an DACH-Vorfällen einen überproportionalen Anteil am europäischen Cyberschaden trägt.
Gartner prognostiziert, dass die globalen Cybersicherheitsausgaben 2026 um 12,5 Prozent auf 240 Milliarden US-Dollar steigen werden. Das ist ein Indikator dafür, dass Unternehmen und Behörden weltweit die Ernsthaftigkeit der Bedrohung anerkennen. Für deutsche Unternehmen, die gleichzeitig NIS2-Compliance und DORA-Anforderungen erfüllen müssen, entsteht ein erheblicher Investitionsdruck, der über reine Compliance hinausgeht.
NIS2 und DORA: Regulatorischer Druck erhöht den Anpassungsbedarf
Parallel zur wachsenden Bedrohungslage hat EU-Regulierung für deutsche Unternehmen neue Pflichten geschaffen. Die NIS2-Richtlinie erweitert den Kreis der verpflichteten Einrichtungen erheblich und verschärft die Anforderungen an Risikomanagement, Meldepflichten und technische Schutzmaßnahmen. DORA, der Digital Operational Resilience Act, richtet sich spezifisch an Finanzdienstleister und legt strenge Anforderungen an das Management von IKT-Risiken und die Reaktionsfähigkeit bei Cyberangriffe fest.
„Die gleichzeitige Umsetzung von NIS2 und DORA stellt viele mittelständische Unternehmen vor erhebliche Kapazitäts- und Kompetenzherausforderungen”, so der Chambers-Länderbericht 2026. Unternehmen, die bisher keine formalen Cybersicherheitsprogramme hatten, müssen in kurzer Zeit Strukturen aufbauen, die regulatorischen Anforderungen genügen und gleichzeitig echten Schutz bieten. Verstöße gegen NIS2 können mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes geahndet werden.
Die DACHsec Cyber Security Summit 2026, die in Frankfurt stattfand, stellte Cyber-Resilienz, KI-Sicherheit, NIS2 und DORA explizit in den Mittelpunkt des Programms. Führende CISOs aus Deutschland, Österreich und der Schweiz berichteten übereinstimmend, dass Regulierungskonformität und echte Sicherheitswirksamkeit nicht immer deckungsgleich seien. Die Warnung ist klar: Papier-Compliance schützt nicht vor Angriffen.
Vertrauenskrise: Weniger als 45 Prozent der CEOs zuversichtlich
Das World Economic Forum veröffentlichte Anfang 2026 seinen Global Cybersecurity Outlook, der ein ernüchterndes Bild der Entscheidungsträger-Perspektive zeigt: Weniger als 45 Prozent der CEOs aus dem Privatsektor vertrauen darauf, dass ihr Land auf einen schwerwiegenden Cyberangriff angemessen reagieren kann. Für ein Land wie Deutschland, das als digitales Rückgrat der europäischen Wirtschaft gilt, ist das ein alarmierendes Signal.
Als die größten Einzelrisiken für 2026 identifiziert der WEF-Bericht KI-assoziierte Datenlecks (34 Prozent der Befragten) und die Weiterentwicklung feindlicher Kapazitäten durch KI-Einsatz (29 Prozent). Beide Risiken sind direkt mit der DACH-Bedrohungslage verknüpft: KI-generierte Desinformation und KI-optimierte Phishing-Kampagnen sind bereits Realität, kein Zukunftsszenario.
„Das Vertrauen der Unternehmensführungen in staatliche Reaktionsfähigkeit ist gering, und das hat Konsequenzen für die private Investitionsbereitschaft in Cybersicherheit”, kommentiert der WEF-Ausblick 2026 den Befund. Organisationen, die staatlichem Schutz nicht vertrauen, müssen in eigene Kapazitäten investieren, was den Ressourcendruck besonders für mittelständische Unternehmen verschärft.
5 Prognosen für die zweite Jahreshälfte 2026
Auf Basis der aktuellen Daten lassen sich fünf zentrale Entwicklungen für das restliche Jahr 2026 im DACH-Raum ableiten:
- Ransomware-Intensivierung im Gesundheits- und Bildungssektor: Beide Branchen verbinden hohen Datenwert mit oft unzureichender Sicherheitsinfrastruktur. Ransomware-Gruppen, die bereits 40 Prozent der Gesundheitsorganisationen weltweit als Jahresziel haben, werden Deutschland als wichtigen Markt weiter priorisieren.
- Eskalation KI-gestützter Social-Engineering-Angriffe: Der Einsatz von Voice Cloning und Deepfake-Video für CEO-Fraud-Varianten nimmt zu. Erste dokumentierte Fälle in Deutschland zeigen bereits die Wirksamkeit dieser Methoden gegen gut geschulte Mitarbeiter.
- Zunahme staatlich gesteuerter Angriffe im geopolitischen Kontext: Solange der Ukraine-Konflikt anhält, bleiben Deutschland und andere NATO-Unterstützer Hauptziele pro-russischer staatlicher und halbstaatlicher Operationen. Europäische Wahlen könnten zusätzliche Motivation für Desinformationskampagnen schaffen.
- Lieferketten-Angriffe als bevorzugter Initialvektor: Die Verdreifachung der Software-Lieferketten-Angriffe seit 2024 setzt sich fort. Angriffe auf deutsche Softwareentwickler und Technologiedienstleister, die dann als Sprungbrett für deren Kunden dienen, werden häufiger.
- NIS2-Compliance-Lücken als Angriffsfläche: Unternehmen, die NIS2-Anforderungen hektisch umsetzen, ohne die zugrundeliegenden Sicherheitskonzepte zu verstehen, schaffen Scheinkonformität ohne echten Schutz. Angreifer werden diese Lücken gezielt ausnutzen.
Schutzmaßnahmen für DACH-Organisationen: Was jetzt zählt
Angesichts der dokumentierten Bedrohungslage empfehlen Cybersicherheitsexperten für DACH-Organisationen ein mehrschichtiges Schutzkonzept. Die zentralen Maßnahmen sind nicht neu, werden aber in ihrer Umsetzungstiefe oft unterschätzt.
Zero Trust als Architekturprinzip für 2026
Multi-Faktor-Authentifizierung (MFA) ist für alle externen Zugangssysteme obligatorisch. Check Points Analyse zeigt, dass Qilin, Akira und LockBit bevorzugt Organisationen ohne robuste MFA-Implementierung angreifen. Bestehende VPN-Zugänge ohne MFA sind 2026 ein inakzeptables Risiko.
Netzwerksegmentierung begrenzt den Lateral-Movement-Spielraum von Angreifern, die eine initiale Kompromittierung erzielen. Produktionssysteme, Administrationsnetzwerke und Nutzerdaten sollten in isolierten Segmenten mit strikten Zugriffskontrollen betrieben werden.
Backup-Strategie und Recovery-Tests: Aktuelle, segmentierte Backups und regelmäßige Wiederherstellungstests sind die effektivste Absicherung gegen Ransomware. Backups, die im Angriffsfall nicht innerhalb von Stunden wiederhergestellt werden können, haben in der Praxis nur geringen Wert.
Threat Intelligence: Organisationen, die aktuelle Bedrohungsinformationen systematisch auswerten, können Angriffsmuster früh erkennen. Check Point, BSI und ENISA veröffentlichen regelmäßig aktualisierte Lageberichte, die als Grundlage für konkrete Schutzanpassungen dienen können.
Deutschland im globalen Vergleich: Wo steht die DACH-Region?
Ein Blick auf die globale Einordnung zeigt: Die DACH-Region ist kein Sonderfall, sondern Teil eines weltweiten Musters eskalierender Cyberangriffe. Der 124-Prozent-Anstieg in der Region liegt deutlich über dem globalen Durchschnitt von 21 Prozent (Q2 2025 Jahr-über-Jahr), was die besondere Exponierung des deutschsprachigen Raums unterstreicht.
Verglichen mit anderen führenden Wirtschaftsnationen zeigt Deutschland ein spezifisches Risikoprofil: Die Kombination aus hoher industrieller Dichte, fortgeschrittener Digitalisierung, politischer Sichtbarkeit und geopolitischer Position macht es zu einem Ziel, das finanziell motivierte wie auch staatlich gesteuerte Angreifer anzieht. In dieser Kombination ist Deutschland europaweit ohne direktes Äquivalent.
Das globale Cybersicherheitsbudget wächst 2026 auf 240 Milliarden US-Dollar. Für Deutschland bedeutet das sowohl eine Chance als auch einen Handlungsauftrag: Unternehmen und Behörden, die jetzt in resiliente Sicherheitsarchitekturen investieren, schaffen eine Grundlage, die auch für zukünftige Angriffsszenarien trägt.
Verwandte Berichte
Weiterführende Analysen auf shattered.io
- Ransomware: 81 % aller EU-Cyberangriffe – ENISA-Lagebericht 2026
- NoName057(16): 14 DDoS-Wellen gegen Deutschland – Analyse der Hacktivisten-Gruppe
- Cl0p hackt Oracle: 29 Opfer, CVSS 9.8 – Was Unternehmen jetzt wissen müssen
- DORA-Verordnung: 22.000 Firmen betroffen, bis zu 1 % Jahresumsatz Strafe
- RPKI: 58 % BGP-Schutz und wie Deutschland die Routing-Sicherheit stärkt
Externe Quellen und Forschung
- Industrial Cyber: Germany becomes focal point of escalating DACH cyber campaign (Mai 2026)
- Chambers Practice Guides: Cybersecurity 2026 – Germany Trends and Developments
- Cobalt: Top Cybersecurity Statistics for 2026
- Manufacturing Dive: Manufacturing saw the most cyberattacks of any industry in 2025 (IBM X-Force)
- Horizon3.ai: DACHsec Cyber Security Summit 2026 Frankfurt
FAQ: Häufige Fragen zu Cyberangriffen in Deutschland 2026
Warum ist Deutschland das meistangegriffene Land im DACH-Raum?
Deutschland trägt 82 Prozent aller DACH-Cyberangriffe, weil es die größte Volkswirtschaft der Region ist und durch seine Ukraine-Unterstützung zum bevorzugten Ziel pro-russischer Hacktivist-Gruppen geworden ist. Wirtschaftliche Attraktivität und geopolitische Sichtbarkeit verstärken sich dabei gegenseitig.
Welche Ransomware-Gruppen greifen DACH-Organisationen an?
Check Point Research identifiziert Qilin, Akira und LockBit als die aktivsten Ransomware-Gruppen im DACH-Raum 2025. Alle drei nutzen bevorzugt schwache Authentifizierungsinfrastruktur und exponierte internet-zugängliche Systeme als Einstiegspunkte.
Was kostet ein Ransomware-Angriff ein deutsches Unternehmen im Durchschnitt?
IBM X-Force beziffert den globalen Durchschnittschaden eines Ransomware-Angriffs auf 5,08 Millionen US-Dollar, einschließlich Lösegeld, Wiederherstellungskosten und Betriebsausfallschäden. Für deutsche Unternehmen kommen je nach Branche zusätzliche Regulierungsstrafen nach NIS2 hinzu.
Welche Branchen sind in Deutschland besonders gefährdet?
Fertigungsindustrie, Gesundheitswesen und öffentliche Verwaltung stehen im Fokus. Global ist die Fertigung mit 27,7 Prozent aller Angriffe die meistattackierte Branche (IBM X-Force 2025). Im Gesundheitssektor erwarten Experten für 2026, dass 40 Prozent aller Einrichtungen einen Ransomware-Angriff erleben werden.
Was sind Website-Defacements und warum dominieren sie die DACH-Statistik?
Website-Defacements sind Angriffe, bei denen Hacktivist-Gruppen die Webauftritte von Unternehmen und Behörden manipulieren, um politische Botschaften zu verbreiten. Sie machen 66 Prozent der DACH-Vorfälle aus, weil pro-russische Gruppen wie NoName057(16) sie als niedrigschwelliges, öffentlichkeitswirksames Mittel nutzen, ohne technisch anspruchsvolle Einbrüche durchführen zu müssen.
Wie reagiert der Gesetzgeber auf die Bedrohungslage?
NIS2 und DORA erweitern die Pflichten für deutsche Unternehmen in kritischen Sektoren erheblich. NIS2 verlangt Risikomanagement, Meldepflichten und technische Schutzmaßnahmen. DORA richtet sich speziell an Finanzdienstleister mit strikten IKT-Resilienzanforderungen. Verstöße gegen NIS2 können mit Strafen von bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes geahndet werden.
Welche Schutzmaßnahme ist für deutsche Unternehmen am dringendsten?
Multi-Faktor-Authentifizierung für alle externen Zugangssysteme ist die prioritäre Einzelmaßnahme. Check Points Analyse zeigt, dass die aktivsten Ransomware-Gruppen im DACH-Raum systematisch Organisationen ohne robuste MFA-Implementierung bevorzugen. Kein anderes einzelnes Sicherheits-Upgrade hat ein günstigeres Aufwand-Wirkung-Verhältnis.
