Die Zahlen sprechen eine klare Sprache: Cyberangriffe auf Unternehmen und Behörden in Deutschland, Österreich und der Schweiz stiegen im Jahr 2025 um 124 Prozent. Das geht aus dem DACH-Bedrohungsbericht von Check Point Software Technologies hervor, der im Mai 2026 veröffentlicht wurde. Deutschland trägt dabei mit 82 Prozent aller registrierten Vorfälle die mit Abstand größte Last in der gesamten DACH-Region. Was hinter diesen Zahlen steckt, welche Gruppen dahinterstehen und was Unternehmen jetzt konkret tun müssen, zeigt diese Analyse.
Das Check-Point-Lagebild: 124 Prozent Anstieg ist kein Ausreißer
Check Point Software Technologies analysierte im Mai 2026 die gesamte Angriffslage des Jahres 2025 für die DACH-Region auf Basis öffentlicher Web- und Darknet-Daten. Das Ergebnis ist alarmierend: Hacktivismus-Kampagnen und Ransomware-Operationen gegen Organisationen in Deutschland, Österreich und der Schweiz wuchsen um 124 Prozent gegenüber dem Vorjahreszeitraum. Der Bericht erfasst veröffentlichte Angriffe, die auf bekannten Hacktivisten-Kanälen, im Darknet und auf öffentlichen Leak-Seiten dokumentiert wurden.
Diese Methode liefert keine Vollständigkeit, spiegelt aber das sichtbare Angriffsvolumen realistisch wider. Besonders auffällig: Der Anstieg ist kein kurzfristiger Spike, sondern setzt einen Trend fort, der sich seit dem russischen Angriff auf die Ukraine im Februar 2022 kontinuierlich beschleunigt hat.
Laut Bericht steht Deutschland nicht zufällig im Mittelpunkt. Die wirtschaftliche Bedeutung des Landes, seine Rolle als größte Volkswirtschaft der EU und die politische Unterstützung für die Ukraine machen Deutschland zu einem bevorzugten Ziel pro-russischer Hacktivistengruppen. “Geopolitische Spannungen prägen die Cybersicherheitslage in Deutschland grundlegend”, heißt es im Länderprofil Deutschland der Chambers Practice Guides 2026. “Cyberoperationen sind zu einem permanenten Element des Umfelds geworden.”
Für Unternehmenssicherheitsverantwortliche ist der 124-Prozent-Anstieg ein deutliches Signal: Die bisherigen Sicherheitsarchitekturen reichen nicht mehr aus. Die Bedrohungslandschaft hat sich nicht graduell, sondern sprunghaft verändert, und traditionelle Perimeter-basierte Abwehrstrategien versagen gegen die aktuellen Angriffsmuster.
Deutschland trägt 82 Prozent der DACH-Angriffslast
Innerhalb der DACH-Region ist die Verteilung der Angriffe extrem ungleich. Deutschland vereint 82 Prozent aller dokumentierten Cybervorfälle auf sich. Die Schweiz folgt mit 12 Prozent, Österreich trägt 8 Prozent der registrierten Angriffe. Diese Konzentration erklärt sich aus mehreren Faktoren:
- Wirtschaftliche Attraktivität: Deutschland ist die größte Volkswirtschaft der DACH-Region und bietet damit die meisten lukrativen Ziele für Ransomware-Gruppen. Je höher der Umsatz eines Unternehmens, desto höher die potenzielle Lösegeldforderung.
- Geopolitisches Profil: Die Bundesregierung hat klare pro-ukrainische Positionen bezogen und umfangreiche Militär- sowie Wirtschaftshilfe bereitgestellt, was Deutschland zum symbolischen Hauptziel für pro-russische Hacktivisten macht.
- Infrastrukturelle Größe: Die schiere Größe der deutschen IT-Infrastruktur bedeutet mehr angreifbare Fläche: mehr Unternehmen, mehr Bundesbehörden, mehr vernetzte Systeme.
- Strategische Ziele: Deutschland ist mit seinen Rüstungsunternehmen, Energieversorgern und kritischen Infrastrukturen ein strategisch attraktives Ziel für staatlich unterstützte Akteure aus Russland und China.
BSI-Präsidentin Claudia Plattner fasste die Lage im BSI-Lagebericht 2025 klar zusammen: Es gebe “keine Entwarnung” für die IT-Sicherheitslage in Deutschland. Die Situation bleibe “sehr angespannt” und zeige keinerlei Anzeichen einer nachhaltigen Entspannung. Laut BSI wurden im Jahr 2025 rund 334.000 Cyberkriminalitätsfälle in Deutschland registriert, wobei zwei Drittel der Täter aus dem Ausland oder von unbekannten Standorten operierten.
Diese Zahlen unterstreichen eine strukturelle Verschiebung: Cyberangriffe sind nicht mehr die Domäne vereinzelter Krimineller, sondern ein organisiertes, teilweise staatlich koordiniertes Phänomen, das Deutschland als Frontlinie einer digitalen Auseinandersetzung sieht.
Das Angriffsmuster: Website-Defacement dominiert mit 66 Prozent
Besonders aufschlussreich ist die Analyse der Angriffstypen. Website-Defacement-Kampagnen, also das unerlaubte Verunstalten von Webseiten mit politischen Botschaften, machten laut Check Point 66 Prozent aller dokumentierten DACH-Vorfälle aus. Dieser hohe Anteil erklärt sich durch die Dominanz hacktivistischer Gruppen, die primär auf maximale öffentliche Sichtbarkeit zielen, nicht auf finanzielle Gewinne.
Ransomware und Datenverschlüsselungsangriffe stellen dennoch den schädlicheren Teil dar. Obwohl sie einen kleineren prozentualen Anteil ausmachen, verursachen sie erheblich größere wirtschaftliche Schäden. Das BSI dokumentierte für Q1 2026 rund 950 gemeldete Ransomware-Angriffe allein in Deutschland, was einer Hochrechnung von nahezu 3.800 Angriffen für das Gesamtjahr 2026 entspräche.
Dr. Daniel Erdsiek, Ökonom am ZEW Leibniz-Zentrum für Europäische Wirtschaftsforschung in Mannheim, kommentierte die Ergebnisse einer zwischen Dezember 2025 und Januar 2026 durchgeführten Unternehmensbefragung mit rund 1.100 Firmen: “Cyberangriffe treffen größere Unternehmen häufiger und mit schwereren Folgen. Bei Firmen ab 100 Beschäftigten in der Informationswirtschaft berichten 20 Prozent von einem Schaden durch Cyberangriffe.” Im verarbeitenden Gewerbe lag dieser Anteil bei 17 Prozent.
Ein drittes Angriffsmuster, das an Bedeutung gewinnt, sind DDoS-Angriffe (Distributed Denial of Service), bei denen Server durch massiven künstlichen Traffic überlastet werden. Pro-russische Gruppen setzen DDoS gezielt gegen Regierungswebseiten, Medienportale und Infrastruktur-Betreiber ein, wenn politische Ereignisse wie NATO-Gipfel oder Waffenlieferungsentscheidungen anstehen.
NoName057(16): Russlands digitale Vorhut trifft Deutschland 14-mal
Die pro-russische Hacktivistengruppe NoName057(16) steht im Zentrum der eskalierenden Angriffswelle auf Deutschland. Seit November 2023 hat die Gruppe mindestens 14 Angriffswellen gegen deutsche Ziele durchgeführt und dabei rund 250 Unternehmen und Institutionen getroffen. Zu den Zielen zählen Rüstungsunternehmen, Stromversorger, Verkehrsbetreiber, öffentliche Einrichtungen und Bundesbehörden.
Besonders aufsehenerregend waren die Angriffe von Februar bis April 2023 auf das Auswärtige Amt, den Deutschen Bundestag und die Plattform für den Wiederaufbau der Ukraine. Diese Angriffe wurden zwar als “nicht erfolgreich im Sinne dauerhafter Kompromittierungen” eingestuft, zeigten aber die Bereitschaft der Gruppe, höchste staatliche Stellen ins Visier zu nehmen. Im Februar 2026 griff NoName057(16) die Buchungsdienste der Deutschen Bahn an und verursachte kurzfristige Störungen im Onlinevertrieb des Unternehmens.
Neben NoName057(16) wurden im Check-Point-Bericht weitere Gruppen identifiziert, die aktiv gegen DACH-Ziele operieren:
- Dark Storm Team: Eine international operierende Gruppe mit pro-russischer Ausrichtung und Fokus auf europäische Infrastruktur und Regierungswebsites.
- Mr Hamza: Eine Gruppe, die verstärkt auf deutsche und österreichische Behördenwebsites zielt und Angriffe über Telegram dokumentiert und koordiniert.
- GRU-assoziierte Akteure: Im April 2026 warnten deutsche Behörden gemeinsam mit dem FBI und der CISA, dass eine Gruppe, die mit dem russischen Militärgeheimdienst GRU in Verbindung steht, gezielt verwundbare Internetrouter in Deutschland ausnutzt, um dauerhaften Zugang zu deutschen Netzwerken zu erlangen und als Relaisstationen für weitere Angriffe zu dienen.
Das Muster hinter diesen Aktivitäten ist klar: Deutschland wird nicht zufällig, sondern gezielt und systematisch angegriffen. Die Angriffe folgen geopolitischen Eskalationszyklen und nehmen bei NATO-Entscheidungen, deutschen Waffenlieferungen oder diplomatischen Ereignissen messbar zu.
Operation Eastwood: Der internationale Gegenschlag im Juli 2025
Die internationale Strafverfolgungsgemeinschaft reagierte im Sommer 2025 mit einer koordinierten Operation. Vom 14. bis 17. Juli 2025 führten Ermittlungsbehörden aus mehreren Ländern unter Koordination von Eurojust die Operation Eastwood durch, die direkt gegen die Infrastruktur von NoName057(16) gerichtet war. Die Operation führte zur Störung wesentlicher Teile der Gruppeninfrastruktur und zur Beschlagnahmung von Daten.
Eurojust bestätigte, dass die Gruppe in Deutschland mindestens 14 Angriffe verübt hatte, von denen einige mehrere Tage andauerten und rund 230 Organisationen betrafen. Der Einsatz zeigte, dass internationale Koordination bei der Bekämpfung staatlich geförderter Cyberkriminalität unverzichtbar ist. Rein nationale Maßnahmen können gegen Gruppen, die über mehrere Jurisdiktionen operieren, keine dauerhafte Wirkung erzielen.
Wenige Monate später, im April 2026, schlossen sich die USA, Deutschland und Kanada zu einer weiteren koordinierten Aktion zusammen: Die Behörden demontierten die Infrastruktur hinter vier großen Botnetzen, die weltweit mehr als 3 Millionen Geräte infiziert hatten. Deutsche Polizeibehörden führten dabei Durchsuchungen auf deutschem Staatsgebiet durch, beschlagnahmten Daten und identifizierten zwei verdächtige Administratoren. Die Operation zeigt, wie stark Deutschland inzwischen als aktiver Partner in globalen Cyberabwehr-Operationen eingebunden ist.
Für weiterführende Informationen zu ähnlichen internationalen Operationen empfiehlt sich die Analyse der Operation Endgame mit 1.425 beschlagnahmten Servern und 21 Millionen Euro sichergestellten Mitteln.
KMU im Dauerbeschuss: 80 Prozent aller Vorfälle treffen den Mittelstand
Während Großunternehmen häufiger zum Ziel werden und höhere absolute Schäden erleiden, tragen kleine und mittlere Unternehmen (KMU) den Großteil der Gesamtlast: Laut BSI-Lagebericht 2025 ereignen sich rund 80 Prozent aller gemeldeten Sicherheitsvorfälle in KMU. Das BSI beschrieb die Lage für Cybersicherheit in der “großen Mehrheit der KMU” als “besorgniserregend”.
Die ZEW-Umfrage mit rund 1.100 Unternehmen liefert dazu konkrete Zahlen aus dem deutschen Markt:
- Jedes siebte Unternehmen in der Informationswirtschaft meldete im Untersuchungszeitraum einen durch Cyberangriffe verursachten Schaden.
- Jedes achte Unternehmen im verarbeitenden Gewerbe war betroffen.
- 9 Prozent der Informationswirtschafts-Unternehmen berichteten von Ausfallzeiten durch Angriffe.
- 7 Prozent des verarbeitenden Gewerbes meldeten messbare Betriebsunterbrechungen.
- 4 bis 5 Prozent der Unternehmen berichteten von direkten finanziellen Verlusten.
- 1 bis 2 Prozent zahlten direkte Lösegelder.
- 3 Prozent berichteten vom Verlust oder der ungewollten Offenlegung sensibler Daten.
Die Zahlen zeigen: Ransomware-Gruppen kalkulieren bei KMU bewusst mit begrenzten Sicherheitsressourcen. Viele Mittelstandsunternehmen setzen noch auf veraltete Systeme, haben keine dedizierten IT-Sicherheitsteams und können Angriffe oft erst Stunden oder Tage nach dem ersten Einbruch erkennen. Diese Erkennungslücke macht sie zu attraktiven Opfern, auch wenn das einzelne Lösegeld geringer ausfällt als bei Konzernen.
Eine umfassende Übersicht zur Gesamtentwicklung bei Ransomware-Gruppen und ihren Opferzahlen liefert die Analyse zu Ransomware-Gruppen auf dem Vormarsch: 8.159 Opfer in 2025.
Wirtschaftsschaden: Cyberangriffe dominieren Deutschlands Verluststatistik
Der wirtschaftliche Schaden durch Cyberangriffe in Deutschland hat eine neue Dimension erreicht. Laut einer 2026 veröffentlichten Branchenanalyse sind Cyberangriffe für 70 Prozent des gesamten wirtschaftlichen Schadens durch kriminelle Handlungen in Deutschland verantwortlich. Es sei “noch nie so wahrscheinlich und teuer gewesen, erfolgreich angegriffen zu werden”, wie ein führender Branchenverband zusammenfasst.
Der Bitkom-Verband bezifferte bereits für 2024 den jährlichen Schaden durch Cyberangriffe auf deutsche Unternehmen auf über 266 Milliarden Euro, wobei Datendiebstahl, Sabotage und Industriespionage die größten Anteile ausmachen. Für 2025 und 2026 ist angesichts des 124-prozentigen Anstiegs der dokumentierten Vorfälle von einem weiteren Anstieg dieser Schadenssumme auszugehen.
Die psychologische Dimension kommt dabei in der öffentlichen Debatte häufig zu kurz: Der Druck auf Management und Führungskräfte durch Erpressungsszenarien, drohende öffentliche Datenlecks und Betriebsunterbrechungen ist ein eigenständiger Schadensfaktor. Untersuchungen zeigen, dass die psychologische Belastung von Management-Teams durch Ransomware-Vorfälle zu Fehlentscheidungen führen kann, die den Gesamtschaden weiter erhöhen.
DACH-Angriffsdaten 2025 im Überblick
| Kennzahl | Wert | Quelle / Zeitraum |
|---|---|---|
| Anstieg Cyberangriffe DACH 2025 | +124 % | Check Point, Mai 2026 |
| Anteil Deutschland an DACH-Vorfällen | 82 % | Check Point, Mai 2026 |
| Anteil Schweiz an DACH-Vorfällen | 12 % | Check Point, Mai 2026 |
| Anteil Österreich an DACH-Vorfällen | 8 % | Check Point, Mai 2026 |
| Website-Defacement-Anteil aller Angriffe | 66 % | Check Point, Mai 2026 |
| Cyberkriminalitätsfälle Deutschland 2025 | 334.000 | BSI Lagebericht 2025 |
| Ransomware-Angriffe Deutschland Q1 2026 | 950 | BSI |
| Anteil Sicherheitsvorfälle bei KMU | 80 % | BSI Lagebericht 2025 |
| NoName057(16) Angriffswellen auf Deutschland | 14 | Eurojust / Operation Eastwood, Juli 2025 |
| Betroffene Org. durch NoName057(16) | ca. 250 | Eurojust, Juli 2025 |
| Globale Botnetz-Operation (April 2026) | 4 Botnetze, 3 Mio. Geräte | US-/DE-/CA-Behörden |
| Jährlicher Gesamtschaden deutsche Wirtschaft | über 266 Mrd. Euro | Bitkom 2024 |
KI als Angriffsmultiplikator: Phishing auf neuem Niveau
Ein wachsender Treiber der steigenden Angriffszahlen ist der Einsatz von Künstlicher Intelligenz auf der Angreiferseite. Laut dem Länderprofil Deutschland der Chambers Practice Guides 2026 sind KI-generierte Phishing-E-Mails, Sprachnachrichten und videobasierte Social-Engineering-Angriffe “zunehmend schwer von legitimer Kommunikation zu unterscheiden, selbst für erfahrene Nutzer”.
Das bedeutet konkret: Ein Angreifer kann heute mit vergleichsweise geringem Aufwand perfekt formulierte deutsche E-Mails im Stil des Vorstands oder der IT-Abteilung generieren, Sprachnachrichten mit geklonten Stimmen versenden und in Einzelfällen sogar Video-Deepfakes für Videoanrufe einsetzen. Die Abwehr solcher Angriffe erfordert technische Lösungen (E-Mail-Authentifizierung mit DMARC, DKIM und SPF, Multi-Faktor-Authentifizierung), aber auch intensive und regelmäßige Mitarbeiterschulungen.
Besonders problematisch ist die Kombination aus KI-generierten Phishing-Nachrichten und Social-Engineering-Taktiken wie ClickFix, bei der Nutzer durch gefälschte Fehlermeldungen dazu gebracht werden, Schadsoftware selbst auszuführen. Eine detaillierte Analyse der ClickFix-Angriffsmethode, die in der ersten Jahreshälfte 2026 für 47 Prozent aller Cyberangriffe verantwortlich war und innerhalb von sechs Monaten um 631 Prozent zunahm, findet sich in der Analyse zu ClickFix: 47% aller Cyberangriffe, 631% Anstieg.
Für die Zukunft bedeutet der KI-Einsatz auf der Angreiferseite: Sicherheitsteams müssen ebenfalls KI-gestützte Erkennungstools einsetzen, da manuelle Analyse bei der zu erwartenden Angriffsfrequenz nicht mehr skalierbar ist. Threat-Intelligence-Plattformen, die KI-Bedrohungen in Echtzeit erkennen, werden zur Pflichtausstattung für Unternehmen mit kritischen Assets.
DACH-Länder im Sicherheitsvergleich 2026
| Kriterium | Deutschland | Schweiz | Österreich |
|---|---|---|---|
| Anteil DACH-Vorfälle 2025 | 82 % | 12 % | 8 % |
| Nationale Cyberbehörde | BSI | NCSC | GovCERT Austria |
| Kritische-Infrastruktur-Gesetz | KRITIS-Dachgesetz (Deadline 17. Juli 2026) | ISG (2023) | NIS2-Umsetzung laufend |
| Gemeldete Cyberfälle 2025 | 334.000 | nicht veröffentlicht | nicht veröffentlicht |
| NIS2-Umsetzungsstand | Umsetzungsgesetz in Kraft | Eigenständige Regelung (ISG) | Umsetzung in Bearbeitung |
| KMU-Betroffenheitsquote | 80 % aller Vorfälle | hoch | hoch |
| Dominanter Angriffsvektor 2025 | Hacktivismus, Ransomware | Ransomware, Phishing | Hacktivismus, DDoS |
Regulierung als Antwort: NIS2 und KRITIS-Dachgesetz stoßen an Grenzen
Die Bundesregierung hat auf den wachsenden Angriffsdruck mit einem Bündel regulatorischer Maßnahmen reagiert. Im Mittelpunkt stehen zwei Gesetze, die zusammen den rechtlichen Rahmen für Deutschlands Cybersicherheitsarchitektur neu definieren.
NIS2-Umsetzungsgesetz Deutschland
Das NIS-2-Umsetzungsgesetz verpflichtet rund 29.500 Unternehmen aus kritischen Sektoren zu erhöhten Sicherheitsstandards und verbindlichen Meldepflichten. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Das Gesetz erweitert den Kreis der Betroffenen erheblich gegenüber der Vorgängerregulierung NIS1 und umfasst nun auch Branchen wie Lebensmittelproduktion, Abfallwirtschaft und Post- und Kurierdienste.
Die ZEW-Umfrage zeigt jedoch, dass Unternehmen NIS2 gegenüber vielfach skeptisch sind. Viele sehen die Compliance-Anforderungen als bürokratische Last, nicht als sicherheitssteigernde Maßnahme. Diese Einstellung dürfte sich in den kommenden Monaten ändern, wenn erste Bußgelder verhängt werden und das BSI seine Aufsichtsfunktion aktiv wahrnimmt.
KRITIS-Dachgesetz: Deadline 17. Juli 2026
Das KRITIS-Dachgesetz mit seiner Deadline am 17. Juli 2026 richtet sich speziell an Betreiber kritischer Infrastrukturen: Energieversorger, Wasserwerke, Krankenhäuser und Finanzdienstleister. Es sieht Bußgelder von bis zu 1 Million Euro für Verstöße vor und verlangt die Implementierung spezifischer physischer und logischer Sicherheitsmaßnahmen, die über rein digitale Schutzmaßnahmen hinausgehen.
Kritisch anzumerken ist: Regulierung schützt nur so gut, wie sie implementiert wird. Angesichts des 124-prozentigen Anstiegs der Angriffszahlen hat die bisherige Regulierungsarchitektur die Angreifer nicht abgeschreckt. NIS2 und das KRITIS-Dachgesetz sind notwendige Maßnahmen, reichen allein aber nicht aus. Sie müssen durch proaktive Bedrohungsaufklärung, automatisierte Erkennung und internationale Strafverfolgungskooperation ergänzt werden.
Geopolitik und Cyberkriminalität: Wenn Staaten Hacktivisten nutzen
Ein zentrales Merkmal der aktuellen Bedrohungslage ist die Verwischung der Grenzen zwischen staatlich gesteuerter Cyberspionage und scheinbar autonomen Hacktivistengruppen. NoName057(16) agiert formal als autonome Gruppe, ist aber nach Einschätzung westlicher Nachrichtendienste eng mit russischen staatlichen Interessen verknüpft. Die Gruppe nutzt Telegram für Koordination und Angriffsdokumentation, was Strafverfolgern die Attribution erheblich erschwert.
Die Warnung vom April 2026, die deutsche Behörden gemeinsam mit FBI und CISA herausgaben, beschreibt, wie eine mit dem GRU assoziierte Gruppe systematisch Schwachstellen in Consumer-Routern in Deutschland ausnutzt. Diese kompromittierten Router dienen als Relaisstationen für weitere Angriffe auf sensiblere Ziele, da die Angriffe dadurch aus deutschen IP-Adressen zu stammen scheinen.
Für deutsche Unternehmen und Behörden bedeutet das konkret: Selbst Angriffe aus deutschen IP-Adressen sind kein Zeichen dafür, dass die Täter in Deutschland ansässig sind. Die Bedrohungsaufklärung muss weit über IP-basierte Attribution hinausgehen und verhaltensbasierte Erkennungsmethoden einsetzen. Den Zusammenhang mit der globalen Angriffsbeschleunigung und dem Thema “Angriff in 27 Sekunden” beleuchtet der CrowdStrike Global Threat Report 2026.
Fünf Prognosen für das zweite Halbjahr 2026
Auf Basis der aktuellen Datenlage und Trendentwicklungen ergeben sich für das zweite Halbjahr 2026 fünf konkrete Prognosen:
- Hacktivismus-Intensivierung durch geopolitische Ereignisse: NATO-Gipfeltreffen, weitere Waffenlieferungen an die Ukraine oder Sanktionspakete werden mit hoher Wahrscheinlichkeit zu koordinierten Defacement- und DDoS-Wellen gegen deutsche Regierungswebsites führen. Pro-russische Gruppen haben wiederholt bewiesen, dass sie politische Ereignisse als Trigger für Angriffskampagnen nutzen.
- Erste NIS2-Bußgelder in Deutschland bis Ende 2026: Das BSI wird als Aufsichtsbehörde im zweiten Halbjahr 2026 mit aktiver Durchsetzung beginnen. Erste Bußgelder gegen Unternehmen, die Meldepflichten verletzt haben, sind bis Ende 2026 zu erwarten und werden die Compliance-Bereitschaft im deutschen Markt signifikant erhöhen.
- KI-gestützte Angriffe verdoppeln die Effizienz: Der Einsatz von KI-Tools zur Phishing-Generierung, Sprachklonierung und automatisierten Schwachstellensuche wird sich weiter beschleunigen. Angreifer nutzen Open-Source-KI-Modelle ohne Verwendungsrestriktionen, was die Einstiegsbarrieren für technisch weniger versierte Gruppen dramatisch senkt.
- KRITIS-Deadline treibt Sicherheitsinvestitionen an: Die Frist zum 17. Juli 2026 wird einen Nachfrageschub nach KRITIS-qualifizierten Beratungsunternehmen und Sicherheitslösungen erzeugen. Gleichzeitig werden erste Prüfverfahren des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) anlaufen.
- Österreich und Schweiz werden stärker ins Visier genommen: Mit wachsender Aufmerksamkeit auf die deutschen Sicherheitsmaßnahmen werden Angreifer zunehmend die weniger abgesicherten Flanken in Österreich und der Schweiz ausnutzen. Für H2 2026 ist ein überproportionaler Anstieg der Vorfälle in diesen Ländern zu erwarten, was den deutschen Anteil am DACH-Gesamtbild langfristig unter 82 Prozent drücken dürfte.
Weiterführende Berichterstattung
Verwandte Artikel auf shattered.io
- KRITIS-Dachgesetz 2026: 1 Mio. Euro Bußgeld, Deadline 17. Juli
- NIS-2 Deutschland: 29.500 Firmen, 10 Mio. Euro Strafe
- Ransomware-Gruppen: 8.159 Opfer, 49% Anstieg in 2025
- Operation Endgame: Europol und BKA zerschlagen Botnetze in 3 Phasen
- ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten
- CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89%
Externe Quellen
- BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Industrial Cyber: Germany focal point of escalating DACH cyber campaign (Mai 2026)
- Chambers Practice Guides: Cybersecurity 2026 Germany
- ZDNet Deutschland: BSI Lagebericht 2025
- Bitkom: Wirtschaftsschutz 2024
FAQ: Cyberangriffe Deutschland und DACH 2025/2026
Um wie viel Prozent sind Cyberangriffe in der DACH-Region gestiegen?
Laut dem DACH-Bedrohungsbericht von Check Point Software Technologies vom Mai 2026 stiegen Hacktivismus-Kampagnen und Ransomware-Angriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent gegenüber dem Vorjahr. Der Anstieg ist auf die Eskalation geopolitischer Konflikte und den wachsenden KI-Einsatz auf der Angreiferseite zurückzuführen.
Warum ist Deutschland das Hauptziel in der DACH-Region?
Deutschland vereint 82 Prozent aller dokumentierten DACH-Cybervorfälle. Das liegt an drei Hauptfaktoren: Deutschland ist die größte Volkswirtschaft der Region, hat klare pro-ukrainische Positionen eingenommen (was es zum symbolischen Hauptziel pro-russischer Hacktivisten macht) und verfügt über die größte digitale Infrastruktur in der Region, die eine entsprechend große Angriffsfläche bietet.
Was ist NoName057(16) und warum greift die Gruppe Deutschland an?
NoName057(16) ist eine pro-russische Hacktivistengruppe, die seit 2022 aktiv europäische und US-amerikanische Ziele angreift, die als Unterstützer der Ukraine gelten. Gegen Deutschland führte die Gruppe mindestens 14 Angriffswellen durch und traf dabei rund 250 Unternehmen und Institutionen, darunter Rüstungsunternehmen, Energieversorger und Bundesbehörden. Im Juli 2025 führte die internationale Strafverfolgung mit der Operation Eastwood einen koordinierten Gegenschlag durch.
Was sagt das BSI zur IT-Sicherheitslage in Deutschland?
Das BSI bewertete die IT-Sicherheitslage in Deutschland im Lagebericht 2025 als “sehr angespannt” und stellte fest, dass es “keine Entwarnung” gebe. Deutschland verzeichnete 2025 rund 334.000 Cyberkriminalitätsfälle, wobei zwei Drittel der Angriffe aus dem Ausland oder von unbekannten Standorten durchgeführt wurden. Das BSI betonte besonders die Gefährdung von KMU, auf die rund 80 Prozent aller Sicherheitsvorfälle entfallen.
Was ist das KRITIS-Dachgesetz und wen betrifft es?
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Finanzen, Verkehr) zu erhöhten physischen und logischen Sicherheitsstandards. Die Umsetzungsfrist läuft am 17. Juli 2026 ab. Verstöße können mit Bußgeldern von bis zu 1 Million Euro geahndet werden. Das Gesetz schafft einen eigenständigen deutschen Rechtsrahmen für kritische Infrastrukturen und ergänzt die EU-weiten NIS2-Anforderungen.
Wie viele Ransomware-Angriffe gab es in Deutschland 2026?
Für das erste Quartal 2026 wurden in Deutschland rund 950 gemeldete Ransomware-Angriffe registriert. Hochgerechnet auf das Gesamtjahr ergibt das eine Projektion von nahezu 3.800 Angriffen. Da ein erheblicher Teil der Angriffe nicht gemeldet wird, liegt die tatsächliche Zahl deutlich höher. Besonders betroffen sind Unternehmen des Mittelstands und Betreiber kritischer Infrastrukturen.
Welche konkreten Maßnahmen sollten Unternehmen jetzt ergreifen?
Angesichts der aktuellen Bedrohungslage sollten Unternehmen mindestens sieben Maßnahmen umsetzen: (1) Multi-Faktor-Authentifizierung für alle kritischen Konten aktivieren, (2) regelmäßige Sicherheitsupdates und Patch-Management sicherstellen, (3) E-Mail-Authentifizierung (DMARC, DKIM, SPF) einrichten, (4) Mitarbeiterschulungen zu KI-generiertem Phishing und Social Engineering durchführen, (5) Incident-Response-Plan aktualisieren und simulieren, (6) NIS2- und KRITIS-Compliance-Status prüfen, (7) Netzwerksegmentierung und Offline-Backups regelmäßig testen. Für KRITIS-relevante Betreiber ist die Deadline vom 17. Juli 2026 besonders dringend.
