Cyberangriffe auf Unternehmen und Behörden in Deutschland, Österreich und der Schweiz sind 2025 um 124 Prozent gestiegen. Das ist das zentrale Ergebnis einer Analyse von Check Point Software Technologies, veröffentlicht im Mai 2026. Deutschland trägt dabei die größte Last: 82 Prozent aller in der DACH-Region erfassten Vorfälle entfallen allein auf die Bundesrepublik. Was hinter dieser Eskalation steckt, welche Gruppen verantwortlich sind und was Unternehmen jetzt konkret tun sollten, zeigt diese Analyse.
Was die 124-Prozent-Zahl tatsächlich bedeutet
Ein Anstieg von 124 Prozent klingt dramatisch, doch die Zusammensetzung der Vorfälle ist entscheidend für das richtige Einordnen der Zahlen. Check Point hat politisch motivierte Hacktivist-Angriffe und finanziell getriebene Ransomware-Operationen in einer Gesamtbetrachtung zusammengefasst. Das Ergebnis: Defacement-Kampagnen, also das Verunstalten von Webseiten, machten 66 Prozent aller erfassten Vorfälle aus. Ransomware war für knapp 30 Prozent der Fälle verantwortlich.
Diese Unterscheidung ist für Sicherheitsverantwortliche wichtig. Website-Defacement verursacht kurzfristig Reputationsschäden, aber selten direkten finanziellen Schaden. Ransomware hingegen legt Betriebe für Wochen lahm und kostet erheblich mehr als ein öffentlichkeitswirksamer Defacement-Vorfall. Der Gesamtanstieg von 124 Prozent spiegelt daher eine Kombination aus politischer Eskalation und professionalisierter Cyberkriminalität wider, nicht nur eine einzige Bedrohungskategorie.
Zum Vergleich: Im gleichen Zeitraum repräsentierte die DACH-Region 18 Prozent aller in Europa erfassten Cyberangriffe. Deutschland liegt damit vor Frankreich, Spanien und Italien, wenn man die einzelnen Länderwerte betrachtet. Wirtschaftskraft und außenpolitische Sichtbarkeit machen Deutschland zum bevorzugten Ziel sowohl für staatlich gelenkte Akteure als auch für kriminelle Gruppen.
Deutschland trägt 82 Prozent der DACH-Vorfälle
Die Verteilung innerhalb der DACH-Region ist extrem ungleich. Deutschland vereint 82 Prozent aller dokumentierten Cybervorfälle auf sich. Die Schweiz folgt mit 12 Prozent, Österreich mit 8 Prozent. Diese Konzentration hat strukturelle Gründe.
Deutschland ist die größte Volkswirtschaft der DACH-Region, betreibt die meisten kritischen Infrastrukturen und hat sich außenpolitisch stärker exponiert, unter anderem durch die Unterstützung der Ukraine. Für Bedrohungsakteure ist Deutschland nicht nur ein wirtschaftlich attraktives Ziel, sondern auch ein politisches Symbol. Pro-russische Hacktivist-Gruppen haben die Bundesrepublik explizit als Gegner benannt und koordinieren Angriffe auf öffentlich zugängliche Dienste, Behördenwebseiten und politische Organisationen.
Dazu kommt ein strukturelles Problem: Viele deutsche Unternehmen, insbesondere im Mittelstand, betreiben nach wie vor veraltete IT-Systeme mit unzureichender Absicherung. Gestohlene Passwörter und fehlende Zwei-Faktor-Authentifizierung waren laut Check Point der häufigste Einstiegspunkt für Ransomware-Angriffe im Jahr 2025. Das ist kein technisches Versagen auf höchstem Niveau, sondern ein Versäumnis bei grundlegenden Sicherheitsmaßnahmen.
Geopolitischer Hintergrund: Fast die Hälfte der Unternehmen, die die Herkunft von Angriffen identifizieren konnten, nennt Russland oder China als Ursprung, laut einer Bitkom-Erhebung unter rund 1.000 Firmen. Bitkom-Präsident Ralf Wintergerst sagte auf einer Pressekonferenz zu diesen Ergebnissen: “Die Spur führt relativ eindeutig nach Osten, in zwei Länder an die Spitze: Russland und China.”
Hacktivist-Gruppen: NoName057(16) und pro-russische Kollektive im Überblick
Der größte Teil des 124-Prozent-Anstiegs geht auf politisch motivierte Hacktivist-Gruppen zurück. Check Point nennt konkret NoName057(16) als aktivste Gruppe in der DACH-Region. Das Kollektiv ist seit 2022 bekannt, positioniert sich als pro-russisch und führt koordinierte DDoS-Angriffe sowie Defacement-Kampagnen gegen Ziele durch, die Russland als Gegner betrachtet.
Neben NoName057(16) sind Dark Storm Team, Mr Hamza, chinafans und Hezi Rash aktiv. Diese Gruppen koordinierten 2025 eine anhaltende Defacement- und DDoS-Kampagne gegen öffentlich zugängliche Dienste in der DACH-Region. Die Angriffe sind häufig auf politische Ereignisse abgestimmt, zum Beispiel auf Parlamentsentscheidungen zur Ukraine-Unterstützung oder Waffenlieferungen.
Sicherheitsforscher von Check Point beschreiben das Vorgehen folgendermaßen: “NoName057(16), ein pro-russisches Kollektiv mit Fokus auf DDoS und Web-Störungen, war über das gesamte Jahr 2025 hinweg eine der aktivsten Gruppen. Neben Dark Storm Team und Mr Hamza trugen chinafans und Hezi Rash durch anhaltende Defacement- und DDoS-Aktivitäten gegen öffentlich zugängliche Dienste in der DACH-Region bei.”
Das Muster ist klar: NoName057(16) kündigt Ziele auf Telegram an, mobilisiert Sympathisanten für DDoS-Angriffe und dokumentiert Erfolge öffentlich. Ziel ist primär Sichtbarkeit und Unsicherheit, nicht dauerhafter technischer Schaden. Trotzdem können DDoS-Angriffe kurzfristig kritische Dienste lahmlegen und das Vertrauen in staatliche Institutionen beschädigen.
Ransomware-Gruppen: Qilin, Akira und LockBit zielen auf DACH
Neben den Hacktivist-Angriffen bildet Ransomware die zweite, wirtschaftlich deutlich gefährlichere Säule der Bedrohungslage. Check Point identifiziert Qilin, Akira und LockBit als die aktivsten Ransomware-Gruppen, die 2025 Organisationen in der DACH-Region angegriffen haben. Alle drei setzen auf das Ransomware-as-a-Service (RaaS)-Modell, bei dem technische Infrastruktur an Partner vermietet wird, die eigenständig Angriffe durchführen.
| Gruppe | Globaler Anteil (Jan 2026) | Hauptziele Deutschland | Taktik | Bekannte Aktivität DACH |
|---|---|---|---|---|
| Qilin | 15 % aller Ransomware-Angriffe | Gesundheit, Fertigung | Doppelte Erpressung (Verschlüsselung + Datenleak) | Aktiv 2025 |
| Akira | Aktiv DACH 2025 | Mittelstand, Bildung | Schnelle Verschlüsselung, Linux-Variante | Aktiv 2025 |
| LockBit | 12 % aller Ransomware-Angriffe | Industrie, Logistik | Größte RaaS-Plattform, hohe Partneranzahl | Aktiv 2025 |
| Safepay | Aktiv DACH 2025 | KMU, öffentliche Einrichtungen | Neuere Gruppe, wachsende Reichweite | Aktiv 2025 |
| NoName057(16) | DDoS/Defacement (kein Lösegeld) | Behörden, Medien, Politik | Politisch motiviert, Telegram-koordiniert | 14 Angriffswellen |
Qilin war im Januar 2026 die global aktivste Ransomware-Gruppe und für 15 Prozent aller gemeldeten Angriffe verantwortlich. LockBit folgte mit 12 Prozent. Deutschland machte dabei 4 Prozent der globalen Ransomware-Opfer im Januar 2026 aus. Nur die USA (48 Prozent), das Vereinigte Königreich (5 Prozent) und Kanada (4 Prozent) lagen gleichauf oder darüber. Für eine einzelne Volkswirtschaft dieser Größe ist das ein überproportionaler Anteil.
Angriffsvektor: Warum gestohlene Passwörter ausreichen
Das vielleicht ernüchterndste Ergebnis der Check-Point-Analyse: Der häufigste Einstiegspunkt für Ransomware-Angriffe auf deutsche Unternehmen 2025 war nicht eine ausgefeilte Zero-Day-Lücke, sondern gestohlene Passwörter kombiniert mit fehlender Zwei-Faktor-Authentifizierung. Angreifer benötigen in vielen Fällen keinen hohen technischen Aufwand. Ein geleaktes Passwort für ein VPN oder ein Remote-Desktop-Gateway reicht aus, um sich unbemerkt im Netzwerk zu bewegen.
Infostealers spielen dabei eine zentrale Rolle. Diese Schadsoftware-Kategorie zielt darauf ab, Zugangsdaten aus Browsern, Passwortmanagern und gespeicherten Sitzungstokens zu stehlen. Einmal exfiltriert, werden diese Daten auf Untergrundmärkten verkauft. Ransomware-Gruppen kaufen gezielt Zugangsdaten für exponierte Systeme und gleichen sie mit Datenbanken bekannter Unternehmensinfrastrukturen ab. In vielen Fällen dauert es nur Stunden, bis der Erstzugang ausgenutzt und ausgebaut wird.
Exponierte internet-zugängliche Systeme sind die zweite große Schwachstelle. VPN-Gateways, Remote-Desktop-Protokolle (RDP) und veraltete Exchange-Server ohne aktuelles Patchlevel sind bevorzugte Ziele. Check Point betont, dass Angreifer systematisch nach genau diesen Systemen scannen. Sobald eine verwundbare Version identifiziert ist, folgt der Angriff oft innerhalb von 24 Stunden.
Wirtschaftlicher Schaden: Bis zu 289 Milliarden Euro allein 2025
Die finanziellen Folgen der Angriffswelle sind erheblich. Bitkom beziffert in seiner Erhebung, die auf Befragungen von rund 1.000 Unternehmen basiert, die gemeldeten Schäden auf 289,2 Milliarden Euro. Eine weitere Analyse beziffert Verluste durch Cyberangriffe auf deutsche Unternehmen auf 202,4 Milliarden Euro. Beide Zahlen unterstreichen, dass Cyberangriffe inzwischen zur größten Einzelschadenssache der deutschen Wirtschaft geworden sind.
Die Zusammensetzung der Schäden ist vielschichtig. Den größten Teil machen Produktionsausfälle und der Diebstahl geistigen Eigentums aus. Dazu kommen erhebliche Kosten für Rechtsstreitigkeiten und Wiederherstellungsmaßnahmen. Ransomware war mit einem Anteil von 34 Prozent die häufigste Schadensursache, gegenüber nur 12 Prozent im Jahr 2022. Ein deutliches Zeichen dafür, wie stark sich Ransomware als Geschäftsmodell professionalisiert hat. Rund ein Siebtel der betroffenen Unternehmen gab zudem an, Lösegeld bezahlt zu haben.
Der Cybersecurity-Markt in Deutschland reagiert darauf: Er wurde 2024 auf rund 11,78 Milliarden US-Dollar geschätzt und soll bis 2034 auf fast 25,91 Milliarden US-Dollar wachsen (CAGR 8,2 Prozent). Das Wachstum spiegelt nicht das Abebben der Bedrohung wider, sondern die Reaktion auf sie.
Sektoren unter Druck: Energie, Bildung, Telekommunikation
Im Januar 2026 wurden Energieversorger, Bildungseinrichtungen und Telekommunikationsunternehmen als die am stärksten betroffenen Sektoren in Deutschland identifiziert. Global war der Bildungssektor mit durchschnittlich 4.364 Angriffen pro Organisation und Woche der meistattackierte Bereich, ein Anstieg von 12 Prozent gegenüber dem Vorjahr. Schulen, Hochschulen und Forschungseinrichtungen gelten als strukturell untergesichert: wertvolle Daten, deutlich weniger IT-Sicherheitsressourcen als im Finanzsektor.
Energieversorger stehen aus einem anderen Grund im Fokus. Angriffe auf die Energieinfrastruktur haben das Potenzial, physische Folgen zu verursachen und gleichzeitig maximale öffentliche Aufmerksamkeit zu erzeugen. Staatlich gelenkte Akteure, die auf Sabotage oder Destabilisierung aus sind, bevorzugen diesen Sektor. Deutschland ist als Transitland für Energieflüsse und als Industrienation mit hohem Energiebedarf besonders exponiert.
Unternehmensdienstleistungen (33 Prozent der Ransomware-Opfer weltweit), Konsumgüter und Dienstleistungen (15 Prozent) sowie die industrielle Fertigung (11 Prozent) ergänzen das Bild. Für Deutschland bedeutet das, dass gerade der exportorientierte Mittelstand im Visier steht. Viele dieser Unternehmen verfügen weder über eigene Security-Operations-Center noch über dedizierte CISO-Rollen.
Januar 2026: 1.314 Angriffe pro Woche auf deutsche Unternehmen
Die Eskalation setzt sich 2026 fort. Im Januar 2026 wurden deutsche Unternehmen mit durchschnittlich 1.314 Cyberangriffen pro Woche konfrontiert. Das entspricht einem Anstieg von 16 Prozent gegenüber dem Vorjahresmonat. Global lag der Durchschnitt bei 2.090 Angriffen pro Organisation und Woche, einem Anstieg von 3 Prozent gegenüber Dezember 2025 und 17 Prozent im Jahresvergleich.
Diese Zahlen beziehen sich auf alle erkannten Angriffsversuche, nicht nur auf erfolgreiche Einbrüche. Trotzdem ist die Trendlinie eindeutig: Die Angriffsdichte nimmt weiter zu, trotz wachsender Investitionen in IT-Sicherheit. Insgesamt wurden im Januar 2026 weltweit 678 öffentlich gemeldete Ransomware-Angriffe registriert, ein Anstieg von 10 Prozent. Nordamerika war mit 52 Prozent der Opfer am stärksten betroffen, Europa folgte mit 24 Prozent.
DACH-Daten 2025/2026 auf einen Blick
| Kennzahl | Wert | Zeitraum / Quelle |
|---|---|---|
| Anstieg Cyberangriffe DACH | +124 % | 2025 / Check Point, Mai 2026 |
| Deutschland-Anteil DACH-Vorfälle | 82 % | 2025 / Check Point |
| Schweiz-Anteil DACH-Vorfälle | 12 % | 2025 / Check Point |
| Österreich-Anteil DACH-Vorfälle | 8 % | 2025 / Check Point |
| DACH-Anteil an Europa-Vorfällen | 18 % | 2025 / Check Point |
| Defacement-Anteil aller Angriffe | 66 % | 2025 / Check Point |
| Ransomware-Anteil aller Angriffe | knapp 30 % | 2025 / Check Point |
| Angriffe/Woche deutsche Unternehmen | 1.314 | Januar 2026 / Check Point |
| Anstieg vs. Jan 2025 | +16 % | Januar 2026 / Check Point |
| Gemeldete Ransomware-Angriffe weltweit | 678 | Januar 2026 / Check Point |
| Deutschland-Anteil globale Ransomware | 4 % | Januar 2026 / Check Point |
| Qilin globaler Anteil Ransomware | 15 % | Januar 2026 / Check Point |
| LockBit globaler Anteil Ransomware | 12 % | Januar 2026 / Check Point |
| Wirtschaftlicher Schaden Deutschland | 289,2 Mrd. Euro | 2025 / Bitkom |
| Ransomware als Schadensursache | 34 % | 2025 / Bitkom |
KI als Angriffsmultiplikator: Phishing auf neuem Niveau
Ein wachsender Treiber der steigenden Angriffszahlen ist der Einsatz von Künstlicher Intelligenz auf der Angreiferseite. KI-generierte Phishing-E-Mails, Sprachnachrichten und videobasiertes Social Engineering sind laut dem Chambers-Länderprofil Deutschland 2026 “zunehmend schwer von legitimer Kommunikation zu unterscheiden, selbst für erfahrene Nutzer.”
Das bedeutet konkret: Ein Angreifer kann heute mit vergleichsweise geringem Aufwand perfekt formulierte deutsche E-Mails im Stil des Vorstands generieren, Sprachnachrichten mit geklonten Stimmen versenden und in Einzelfällen Video-Deepfakes für Videoanrufe einsetzen. Laut einer DACH-CISO-Umfrage scheitern 73 Prozent der befragten Sicherheitsverantwortlichen daran, KI-gestützte Angriffe zuverlässig zu stoppen.
Check Point verweist in seiner Januar-2026-Analyse ausdrücklich auf steigende GenAI-Datenexpositionsrisiken als strukturellen Faktor. Mitarbeiter laden Geschäftsdaten in externe KI-Dienste hoch, ohne sich über Datenschutz- und Sicherheitsimplikationen im Klaren zu sein. Angreifer müssen so nicht mehr in Netzwerke einbrechen, wenn sensitive Daten schon auf dem Weg zur externen KI-Plattform abgegriffen werden können.
Rechtlicher Rahmen: IT-Sicherheitsgesetz 2.0, NIS2, DORA und KRITIS-Dachgesetz
Die Bundesregierung hat auf den wachsenden Angriffsdruck mit einem Bündel regulatorischer Maßnahmen reagiert. Das IT-Sicherheitsgesetz 2.0 erweitert die Sicherheitspflichten für Betreiber kritischer Infrastrukturen und weitere relevante Einrichtungen. Unternehmen müssen Vorfälle detailliert melden: Art und Umfang des Vorfalls, wahrscheinliche Folgen sowie ergriffene Maßnahmen. Meldungen können in Stufen erfolgen.
Die europäische NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) sind parallel dazu zentrale Compliance-Themen. NIS2 weitet den Kreis meldepflichtiger Unternehmen erheblich aus und stellt höhere Anforderungen an Risikomanagement und Incident Response. DORA richtet sich speziell an den Finanzsektor und fordert belastbare digitale Betriebsresilienz. Beide Regelwerke wurden auf dem DACHsec Cyber Security Summit 2026 in Frankfurt als drängende Umsetzungsaufgaben diskutiert.
Das KRITIS-Dachgesetz stellt zusätzliche Anforderungen an physische Sicherheit und Redundanz für kritische Infrastrukturen und sieht Bußgelder von bis zu 1 Million Euro vor. KI-Systeme sind ebenfalls in den Blick regulatorischer Behörden geraten: Schwerwiegende Vorfälle oder Fehlfunktionen von Hochrisiko-KI-Systemen müssen unverzüglich gemeldet werden. Ein einzelner Vorfall kann damit mehrere parallele Meldepflichten auslösen, nach Cybersicherheitsrecht, Datenschutzrecht und KI-Verordnung gleichzeitig. Eine detaillierte Analyse dieser Anforderungen bietet der Artikel zum KRITIS-Dachgesetz 2026.
Expertenanalyse: Professionalisierende Angreifer, wachsende Asymmetrie
Sicherheitsexperten aus dem Chambers-Cybersecurity-Praxisleitfaden 2026 beschreiben die Entwicklung präzise: “2026 wird die Cyberkriminalität in Deutschland von gut organisierten Gruppen dominiert, die mit klaren internen Strukturen, spezialisierten Rollen und definierten Erlösmodellen operieren. Diese Gruppen ähneln in ihrer Betriebsdisziplin und strategischen Planung zunehmend legitimen Unternehmen.”
Check-Point-Forscher heben hervor, dass Ransomware-Gruppen über ausgereifte Geschäftsmodelle, technische Infrastruktur und Zugang zu gestohlenen Zugangsdaten verfügen. Solange diese Märkte nicht effektiv gestört werden, bleibt das Angebotsniveau für Angriffe auf deutsche Unternehmen konstant hoch. Internationale Strafverfolgungsmaßnahmen haben kurzfristige Unterbrechungen verursacht, aber keine dauerhaften Strukturbrüche.
Der Chambers Practice Guide Cybersecurity 2026 Deutschland fasst zusammen: “Geopolitische Spannungen prägen die Cybersicherheitslandschaft in Deutschland grundlegend. Cyberoperationen sind zu einem permanenten Element des Umfelds geworden.” Diese Einschätzung deckt sich mit dem WEF Global Cybersecurity Outlook 2026: 64 Prozent aller Organisationen berücksichtigen geopolitisch motivierte Cyberangriffe inzwischen aktiv in ihrer Sicherheitsplanung.
Torsten Harengel, Head of Cybersecurity Deutschland und Österreich bei Check Point Software Technologies, kommentiert die Gesamtlage: “Deutschland wird nicht zufällig zur Zielscheibe. Die Kombination aus wirtschaftlicher Stärke, geopolitischer Positionierung und teils veralteter IT-Infrastruktur macht es zu einem besonders attraktiven Angriffsziel. Unternehmen müssen aufhören, IT-Sicherheit als Kostenfaktor zu betrachten, und sie als strategische Notwendigkeit begreifen.”
5 Prognosen für die DACH-Bedrohungslage bis Ende 2026
Auf Basis der vorliegenden Daten und strukturellen Treiber ergeben sich fünf konkrete Prognosen:
- Hacktivismus bleibt hoch, solange der Ukrainekrieg andauert. NoName057(16) und verwandte Gruppen werden politische Ereignisse weiterhin für koordinierte Angriffe nutzen. DDoS-Wellen gegen Bundesbehörden und staatsnahe Unternehmen sind wahrscheinlich, insbesondere bei NATO-Entscheidungen oder neuen deutschen Waffenlieferungen.
- Ransomware-Angriffe auf kritische Infrastrukturen nehmen zu. Energieversorger, Krankenhäuser und Wasserwerke bleiben bevorzugte Ziele, weil sie unter enormem Druck stehen, schnell zu bezahlen. Der Einsatz von OT-spezifischer Ransomware (Operational Technology) wird sich ausweiten.
- KI-gestützte Phishing-Kampagnen skalieren massiv. Die Hürde für personalisierte, überzeugend formulierte Phishing-Mails sinkt weiter. Sprachmodelle ermöglichen Angriffe in perfektem Deutsch, abgestimmt auf den Empfänger, ohne nennenswerten menschlichen Aufwand auf der Angreiferseite.
- Supply-Chain-Angriffe auf den deutschen Mittelstand steigen. Angreifer greifen größere Ziele über weniger gesicherte Zulieferer und Dienstleister an. Ein erfolgreicher Angriff auf einen ERP-Dienstleister kann hunderte deutsche KMU gleichzeitig treffen.
- Regulatorischer Druck erhöht Sicherheitsinvestitionen messbar. NIS2, DORA und das KRITIS-Dachgesetz zwingen Unternehmen zu strukturierten Investitionen. Der deutsche Cybersecurity-Markt wird bis 2034 auf 25,91 Milliarden US-Dollar wachsen (CAGR 8,2 Prozent).
Was Unternehmen jetzt konkret tun müssen
Die Analysen zeigen, wo die dringlichsten Handlungsfelder liegen. Check Point hebt drei strukturelle Schwachstellen hervor, die in der DACH-Region am häufigsten ausgenutzt werden: schwache Authentifizierung, exponierte Internet-facing-Systeme und unzureichendes Patch-Management.
Zwei-Faktor-Authentifizierung für alle kritischen Systeme, insbesondere VPN, E-Mail und Cloud-Dienste, ist die Maßnahme mit dem höchsten Kosten-Nutzen-Verhältnis. Sie verhindert den häufigsten Angriffsvektor direkt. Regelmäßige Vulnerability-Scans und konsequentes Patch-Management innerhalb von 24 bis 72 Stunden nach Veröffentlichung kritischer Updates reduzieren die Angriffsfläche erheblich.
Incident-Response-Pläne, die mindestens zweimal jährlich getestet werden, ermöglichen eine schnellere Reaktion und begrenzen den Schaden im Ernstfall. Für die Einhaltung von NIS2- und KRITIS-Dachgesetz-Anforderungen ist zudem eine strukturierte Meldekette zwingend erforderlich. Unternehmen müssen wissen, welche Behörden bei welchem Vorfall zu informieren sind und in welchem Zeitfenster.
Eine weiterführende technische Perspektive auf aktuelle Angriffsmethoden bietet der CrowdStrike Global Threat Report 2026, der zeigt, wie Angreifer die Zeit zwischen erstem Zugang und vollständigem Netzwerk-Kompromiss auf 27 Sekunden gesenkt haben.
Weiterführende Artikel auf shattered.io
- KRITIS-Dachgesetz 2026: 1 Mio. Euro Bußgeld, Deadline 17. Juli
- ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten
- CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89%
- Ransomware-Gruppen: 49% mehr, 8.159 Opfer in 2025
- Veeam Backup RCE: CVSS 9.9, 4x auf CISA KEV
Quellen: Industrial Cyber (Check Point DACH-Report, Mai 2026) | igorslab.de (Cyberangriffe Deutschland Januar 2026) | BSI Bundesamt für Sicherheit in der Informationstechnik
FAQ: Cyberangriffe Deutschland 2026
Um wie viel Prozent sind Cyberangriffe auf Deutschland 2025 gestiegen?
Laut dem DACH-Bedrohungsbericht von Check Point Software Technologies vom Mai 2026 stiegen Cyberangriffe auf Organisationen in der DACH-Region im Jahr 2025 um 124 Prozent. Deutschland war mit 82 Prozent der Vorfälle das am stärksten betroffene Land.
Welche Hacktivist-Gruppen greifen Deutschland an?
Die aktivsten pro-russischen Hacktivist-Gruppen in der DACH-Region sind NoName057(16), Dark Storm Team, Mr Hamza, chinafans und Hezi Rash. Sie führen vor allem DDoS-Angriffe und Defacement-Kampagnen durch, häufig im Zusammenhang mit politischen Ereignissen wie NATO-Entscheidungen oder Waffenlieferungen an die Ukraine.
Welche Ransomware-Gruppen sind in Deutschland aktiv?
Check Point nennt Qilin, Akira, LockBit und Safepay als die aktivsten Ransomware-Gruppen, die 2025 deutsche Organisationen angegriffen haben. Qilin war im Januar 2026 für 15 Prozent, LockBit für 12 Prozent aller globalen Ransomware-Angriffe verantwortlich.
Wie hoch ist der wirtschaftliche Schaden durch Cyberangriffe in Deutschland?
Bitkom beziffert den Schaden auf rund 289,2 Milliarden Euro für 2025. Ransomware war mit 34 Prozent die häufigste Schadensursache, gegenüber 12 Prozent im Jahr 2022. Rund ein Siebtel der betroffenen Unternehmen hat Lösegeld bezahlt.
Wie viele Cyberangriffe treffen deutsche Unternehmen pro Woche?
Im Januar 2026 wurden deutsche Unternehmen durchschnittlich mit 1.314 Cyberangriffen pro Woche konfrontiert, ein Anstieg von 16 Prozent gegenüber Januar 2025.
Was ist der häufigste Angriffsvektor bei Ransomware in Deutschland?
Der häufigste Einstiegspunkt ist die Kombination aus gestohlenen Passwörtern und fehlender Zwei-Faktor-Authentifizierung. Angreifer kaufen gestohlene Zugangsdaten auf Untergrundmärkten und nutzen sie für nicht ausreichend gesicherte VPN-Gateways oder RDP-Zugänge.
Was fordert das KRITIS-Dachgesetz von Unternehmen?
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Finanzen, Verkehr) zu erhöhten physischen und logischen Sicherheitsstandards. Die Umsetzungsfrist lief am 17. Juli 2026 ab. Verstöße können mit Bußgeldern von bis zu 1 Million Euro geahndet werden.
Warum ist Deutschland das bevorzugte Angriffsziel in der DACH-Region?
Deutschland kombiniert drei Faktoren: Es ist die größte Volkswirtschaft der DACH-Region mit der größten digitalen Angriffsfläche. Es hat sich geopolitisch durch Ukraine-Unterstützung sichtbar positioniert, was pro-russische Hacktivist-Gruppen gezielt ausnutzen. Viele Unternehmen, besonders im Mittelstand, weisen zudem strukturelle Sicherheitslücken wie fehlende Zwei-Faktor-Authentifizierung auf.
