{"id":156,"date":"2026-06-15T20:17:18","date_gmt":"2026-06-15T20:17:18","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/15\/enisa-ransomware-bedrohungslage-2026\/"},"modified":"2026-06-16T08:05:09","modified_gmt":"2026-06-16T08:05:09","slug":"enisa-ransomware-bedrohungslage-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/15\/enisa-ransomware-bedrohungslage-2026\/","title":{"rendered":"Ransomware: 81 % aller EU-Cyberangriffe [2026]"},"content":{"rendered":"\n

Die europ\u00e4ische Cybersicherheitsbeh\u00f6rde ENISA hat f\u00fcr ihren Threat Landscape 2025<\/em> insgesamt 4.875 Sicherheitsvorf\u00e4lle ausgewertet, die zwischen dem 1. Juli 2024 und dem 30. Juni 2025 \u00f6ffentlich wurden. Das Ergebnis ist eindeutig: Ransomware verursacht 81,1 Prozent aller Cybercrime-Vorf\u00e4lle<\/strong> gegen Organisationen in der EU. F\u00fcr Deutschland, \u00d6sterreich und die Schweiz ist das keine abstrakte Statistik. Der Bitkom beziffert den j\u00e4hrlichen Schaden f\u00fcr die deutsche Wirtschaft auf 289,2 Milliarden Euro, und das BSI registrierte im selben Zeitraum 119 neue Sicherheitsl\u00fccken pro Tag, so viele wie nie zuvor.<\/p>\n\n\n\n

Diese Analyse ordnet die aktuellen Zahlen ein, verkn\u00fcpft sie mit einem konkreten Fall aus dem Herzen der deutschen Industrie (der SAP-NetWeaver-L\u00fccke CVE-2025-31324 mit dem H\u00f6chstwert CVSS 10.0) und zeigt, warum 2026 das Jahr wird, in dem Ransomware und Schwachstellen-Ausnutzung endg\u00fcltig zur Vorstandsfrage werden.<\/p>\n\n\n\n

ENISA Threat Landscape 2025: 4.875 Vorf\u00e4lle, ein klarer Spitzenreiter<\/h2>\n\n\n\n

Der ENISA Threat Landscape 2025<\/em> ist der ma\u00dfgebliche Jahresbericht der EU-Agentur f\u00fcr Cybersicherheit. Die Datenbasis umfasst 4.875 dokumentierte Vorf\u00e4lle aus zw\u00f6lf Monaten. Methodisch trennt ENISA zwei Perspektiven, die in der \u00f6ffentlichen Debatte oft vermischt werden: die H\u00e4ufigkeit<\/strong> von Vorf\u00e4llen und ihre Wirkung<\/strong>.<\/p>\n\n\n\n

Nach H\u00e4ufigkeit dominiert Hacktivismus. Rund 80 Prozent aller erfassten Vorf\u00e4lle gehen auf hacktivistische Aktivit\u00e4ten zur\u00fcck, fast immer in Form niederschwelliger DDoS-Angriffe gegen \u00f6ffentliche Verwaltungen und politische Ziele. Diese Angriffe sind laut, sichtbar und politisch motiviert, richten aber selten dauerhaften Schaden an. Genau hier setzt die zweite Perspektive an: Misst man nicht die Zahl, sondern die Schwere<\/strong> der Vorf\u00e4lle, kippt das Bild. Dann steht Ransomware an der Spitze, gefolgt von Datenabfluss und Erpressung.<\/p>\n\n\n\n

ENISA-Exekutivdirektor Juhan Lepassaar verweist in der Kommunikation zum Bericht auf genau diese Doppelstruktur: Ein hohes Aufkommen an DDoS-L\u00e4rm d\u00fcrfe nicht dar\u00fcber hinwegt\u00e4uschen, dass die wirtschaftlich gef\u00e4hrlichsten Angriffe von finanziell motivierten Ransomware-Gruppen ausgehen. F\u00fcr Sicherheitsverantwortliche in der DACH-Region hei\u00dft das, Priorit\u00e4ten an der Wirkung auszurichten, nicht an den Schlagzeilen.<\/p>\n\n\n\n

Ransomware bleibt die teuerste Bedrohung (81,1 Prozent)<\/h2>\n\n\n\n

Der zentrale Befund: Ransomware macht 81,1 Prozent aller Cybercrime-Vorf\u00e4lle gegen EU-Organisationen aus<\/strong>, Datenpannen folgen mit 15,2 Prozent. Diese beiden Kategorien \u00fcberlappen zunehmend, denn moderne Ransomware-Banden setzen fast durchg\u00e4ngig auf doppelte Erpressung. Sie verschl\u00fcsseln nicht nur die Systeme, sie stehlen vorher die Daten und drohen mit Ver\u00f6ffentlichung. Wer das Backup sauber eingespielt hat, zahlt trotzdem, weil sonst Kundendaten, Vertr\u00e4ge und Konstruktionspl\u00e4ne im Leak-Portal landen.<\/p>\n\n\n\n

Diese Professionalisierung hat einen Namen: Ransomware-as-a-Service. Spezialisierte Entwickler stellen die Schadsoftware und die Verhandlungsinfrastruktur bereit, sogenannte Affiliates f\u00fchren die Angriffe aus und teilen die Beute. In Deutschland sind die Folgen konkret: Gruppen wie Akira und Qilin haben 2025 und 2026 zahlreiche deutsche Mittelst\u00e4ndler, Kliniken und Beh\u00f6rden getroffen. Die Erpressungs\u00f6konomie ist damit kein Randph\u00e4nomen mehr, sondern ein eingespieltes Gesch\u00e4ftsmodell mit klarer Arbeitsteilung.<\/p>\n\n\n\n

Hinzu kommt das Vorfeld des eigentlichen Angriffs. ENISA benennt Infostealer als best\u00e4ndige und weit verbreitete Vorstufe. Diese Schadprogramme greifen Zugangsdaten direkt aus dem Browser ab und liefern den Ransomware-Banden fertige Schl\u00fcssel ins Unternehmensnetz. Der Infostealer Lumma galt Anfang 2025 als die meistverbreitete Variante dieser Kategorie. Wer die Kette versteht, sieht: Der Verschl\u00fcsselungstrojaner ist nur das letzte Glied einer langen Vorbereitung.<\/p>\n\n\n\n

Die EU-Bedrohungslandschaft 2025 in Zahlen<\/h2>\n\n\n\n

Die folgende Tabelle fasst die zentralen Kennzahlen des ENISA-Berichts zusammen. Alle Werte beziehen sich auf den Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025.<\/p>\n\n\n\n

\n
Kennzahl<\/th>Wert<\/th>Bedeutung<\/th><\/tr><\/thead>
Ausgewertete Vorf\u00e4lle<\/td>4.875<\/td>Gesamtbasis des ENISA-Berichts<\/td><\/tr>\n
Ransomware-Anteil (Cybercrime)<\/td>81,1 %<\/td>Wirkungsst\u00e4rkste Bedrohung<\/td><\/tr>\n
Datenpannen-Anteil (Cybercrime)<\/td>15,2 %<\/td>Oft Teil der doppelten Erpressung<\/td><\/tr>\n
Hacktivismus-Anteil (alle Vorf\u00e4lle)<\/td>rund 80 %<\/td>Meist DDoS, hohe Frequenz<\/td><\/tr>\n
Phishing als Erstzugang<\/td>rund 60 %<\/td>Wichtigster Einstiegsvektor<\/td><\/tr>\n
Schwachstellen-Ausnutzung als Erstzugang<\/td>21,3 %<\/td>Zweitwichtigster Einstiegsvektor<\/td><\/tr>\n<\/tbody><\/table>
Quelle: ENISA Threat Landscape 2025, Berichtszeitraum Juli 2024 bis Juni 2025.<\/figcaption><\/figure>\n\n\n\n

Wie Angreifer hereinkommen: Phishing und offene Schwachstellen<\/h2>\n\n\n\n

Zwei Einstiegswege dominieren. Phishing steht laut ENISA hinter rund 60 Prozent der erfassten Erstzug\u00e4nge. Die zweite gro\u00dfe T\u00fcr ist die Ausnutzung bekannter Schwachstellen: 21,3 Prozent der Erstzug\u00e4nge laufen \u00fcber ungepatchte Systeme. Diese Zahl wiegt schwer, weil sie vermeidbar ist. Anders als beim Faktor Mensch beim Phishing gibt es f\u00fcr eine ver\u00f6ffentlichte Sicherheitsl\u00fccke einen Patch, der das Tor schlie\u00dft.<\/p>\n\n\n\n

Das BSI unterstreicht die Dringlichkeit mit einer eigenen Zahl. Im Lagebericht 2025 registrierte die Beh\u00f6rde durchschnittlich 119 neue Sicherheitsl\u00fccken pro Tag, ein Anstieg von 24 Prozent gegen\u00fcber dem Vorjahr und der h\u00f6chste je gemessene Wert. Jede dieser L\u00fccken ist ein potenzieller Erstzugang. Die Geschwindigkeit, mit der Angreifer ver\u00f6ffentlichte Schwachstellen ausnutzen, hat sich dabei dramatisch verk\u00fcrzt. Zwischen Bekanntwerden und erster Massenausnutzung liegen heute oft nur noch Tage.<\/p>\n\n\n\n

Besonders im Visier stehen sogenannte Edge-Systeme und unternehmenskritische Software, die direkt aus dem Internet erreichbar ist: VPN-Gateways, Firewalls, Mailserver und ERP-Systeme. Genau in diese Kategorie f\u00e4llt der wohl wichtigste deutsche Fall der vergangenen zw\u00f6lf Monate.<\/p>\n\n\n\n

Der Fall SAP NetWeaver: CVSS 10.0 trifft Deutschlands Industrie<\/h2>\n\n\n\n

SAP ist Deutschlands gr\u00f6\u00dfter Softwarekonzern mit Sitz in Walldorf und das digitale R\u00fcckgrat eines Gro\u00dfteils der deutschen Industrie. Genau deshalb war die Schwachstelle CVE-2025-31324<\/strong> so brisant. Sie betrifft den Metadata Uploader des SAP NetWeaver Visual Composer und erhielt mit CVSS 10.0<\/strong> die h\u00f6chstm\u00f6gliche Risikobewertung.<\/p>\n\n\n\n

Die technische Ursache ist eine fehlende Berechtigungspr\u00fcfung am Endpunkt \/developmentserver\/metadatauploader<\/code>. Ein nicht authentifizierter Angreifer, also jemand ganz ohne SAP-Zugang, kann eine pr\u00e4parierte POST-Anfrage senden und beliebige ausf\u00fchrbare Dateien hochladen. In der Praxis luden Angreifer JSP-Webshells wie helper.jsp<\/code> und cache.jsp<\/code> hoch und erlangten damit dauerhafte Fernsteuerung \u00fcber den Anwendungsserver, mit den Rechten des SAP-Serverprozesses. Das Ergebnis ist eine vollst\u00e4ndige Remote Code Execution auf einem System, das Finanzbuchungen, Produktionsauftr\u00e4ge und Personaldaten verwaltet.<\/p>\n\n\n\n

SAP ver\u00f6ffentlichte am 24. April 2025 au\u00dferplanm\u00e4\u00dfig einen Notfall-Patch \u00fcber die Security Note 3594142 f\u00fcr die betroffenen Versionen NetWeaver AS Java 7.50, 7.51 und 7.52. Die US-Beh\u00f6rde CISA nahm die L\u00fccke am 15. Mai 2025 in ihren Known-Exploited-Vulnerabilities-Katalog auf. Am selben Tag landete dort auch die verwandte Schwachstelle CVE-2025-42999, die ein Restrisiko schlie\u00dft, das nach dem ersten Patch bestehen blieb. Wer also nur CVE-2025-31324 gepatcht hatte, war nicht zwingend sicher.<\/p>\n\n\n\n

\n
Merkmal<\/th>Detail<\/th><\/tr><\/thead>
CVE-Kennung<\/td>CVE-2025-31324<\/td><\/tr>\n
CVSS-Bewertung<\/td>10.0 (kritisch)<\/td><\/tr>\n
Betroffenes Produkt<\/td>SAP NetWeaver Visual Composer (Metadata Uploader)<\/td><\/tr>\n
Angriffsart<\/td>Nicht authentifizierter Datei-Upload, Remote Code Execution<\/td><\/tr>\n
Patch verf\u00fcgbar seit<\/td>24. April 2025 (Security Note 3594142)<\/td><\/tr>\n
CISA-KEV-Aufnahme<\/td>15. Mai 2025<\/td><\/tr>\n
Verwandte L\u00fccke<\/td>CVE-2025-42999 (Restrisiko)<\/td><\/tr>\n
Best\u00e4tigte Ausnutzung seit<\/td>mindestens 27. M\u00e4rz 2025<\/td><\/tr>\n<\/tbody><\/table>
Quelle: SAP Security Note 3594142, CISA KEV, Rapid7-Analyse.<\/figcaption><\/figure>\n\n\n\n

Das Incident-Response-Team von Rapid7 best\u00e4tigte aktive Ausnutzung in mehreren Kundenumgebungen, die bis mindestens zum 27. M\u00e4rz 2025 zur\u00fcckreicht, also rund vier Wochen vor dem Patch. Nahezu alle betroffenen Opfer waren laut Rapid7 Fertigungsunternehmen. Das Sicherheitsunternehmen ReliaQuest hatte die L\u00fccke urspr\u00fcnglich entdeckt und beschrieb sie als unautorisierten Datei-Upload mit anschlie\u00dfender Schadcode-Ausf\u00fchrung. Auch Palo Alto Networks ordnete den Fall klar ein: Der CVSS-Wert von 10.0 unterstreiche die Schwere, da nicht authentifizierte Angreifer \u00fcber den Metadata-Uploader-Endpunkt die volle Kontrolle erlangen k\u00f6nnten. Eine Zuordnung zu einer bestimmten T\u00e4tergruppe gab es laut Rapid7 zun\u00e4chst nicht.<\/p>\n\n\n\n

Warum gerade die Fertigung im Visier steht<\/h2>\n\n\n\n

Dass nahezu alle bekannten SAP-Opfer aus der Fertigung stammen, ist f\u00fcr Deutschland alarmierend. Maschinenbau, Automobilindustrie und industrielle Fertigung bilden den Kern der deutschen Volkswirtschaft. In vielen dieser Betriebe ist SAP eng mit der Produktionssteuerung verzahnt, von der Materialwirtschaft \u00fcber die Instandhaltung bis zu Manufacturing-Execution-Systemen. Ein kompromittierter SAP-Server bleibt deshalb selten ein reines IT-Problem. Er kann Produktionslinien zum Stillstand bringen.<\/p>\n\n\n\n

Hinzu kommt ein strukturelles Problem: Viele deutsche Unternehmen betreiben weiterhin \u00e4ltere NetWeaver-AS-Java-Stacks parallel zu modernen S\/4HANA-Landschaften, oft mit begrenzter SAP-Sicherheitsexpertise im Haus. Notfall-Patches au\u00dferhalb des regul\u00e4ren Wartungszyklus sind in solchen Umgebungen schwer umzusetzen, weil jede \u00c4nderung am Kernsystem getestet werden muss. Genau diese Tr\u00e4gheit ist es, die Angreifer ausnutzen. Die L\u00fccke zwischen Patch-Verf\u00fcgbarkeit und Patch-Einspielung ist das eigentliche Einfallstor.<\/p>\n\n\n\n

Der Datenschutz versch\u00e4rft die Lage zus\u00e4tzlich. SAP-Systeme speichern Personaldaten, Gehaltsabrechnungen und Kundendaten. Ein erfolgreicher Angriff bedeutet damit nicht nur Produktionsausfall, sondern auch ein meldepflichtiges Datenschutzvorkommnis nach DSGVO und BDSG, mit allen aufsichtsrechtlichen Folgen.<\/p>\n\n\n\n

Deutschland in Zahlen: 289 Milliarden Euro Schaden<\/h2>\n\n\n\n

Die wirtschaftliche Dimension l\u00e4sst sich beziffern. Der Digitalverband Bitkom errechnete in seiner Studie Wirtschaftsschutz 2025<\/em> einen j\u00e4hrlichen Gesamtschaden von 289,2 Milliarden Euro f\u00fcr die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage. 87 Prozent der deutschen Unternehmen waren betroffen.<\/strong> Im Vorjahr lag der Schaden noch bei 266,6 Milliarden Euro und die Betroffenheitsquote bei 81 Prozent. Beide Werte steigen also weiter, und zwar deutlich.<\/p>\n\n\n\n

\n
Quelle<\/th>Kennzahl<\/th>Wert<\/th>Zeitraum<\/th><\/tr><\/thead>
Bitkom Wirtschaftsschutz<\/td>Jahresschaden deutsche Wirtschaft<\/td>289,2 Mrd. Euro<\/td>2025<\/td><\/tr>\n
Bitkom Wirtschaftsschutz<\/td>Betroffene Unternehmen<\/td>87 %<\/td>2025<\/td><\/tr>\n
Bitkom Wirtschaftsschutz<\/td>Jahresschaden (Vorjahr)<\/td>266,6 Mrd. Euro<\/td>2024<\/td><\/tr>\n
BSI Lagebericht<\/td>Neue Sicherheitsl\u00fccken pro Tag<\/td>119<\/td>2024\/2025<\/td><\/tr>\n
ENISA Threat Landscape<\/td>Ransomware-Anteil Cybercrime<\/td>81,1 %<\/td>2024\/2025<\/td><\/tr>\n
Check Point Research<\/td>Angriffe je Organisation pro Woche (global)<\/td>2.027<\/td>2025<\/td><\/tr>\n<\/tbody><\/table>
Quellen: Bitkom Wirtschaftsschutz 2025, BSI Lagebericht 2025, ENISA Threat Landscape 2025, Check Point Research.<\/figcaption><\/figure>\n\n\n\n

Das BSI fasst die Gesamtlage in einem Satz zusammen, der seit Jahren als offizielle Bewertung gilt. Pr\u00e4sidentin Claudia Plattner<\/strong> und ihre Beh\u00f6rde charakterisieren die Situation unver\u00e4ndert so:<\/p>\n\n\n\n

Die Lage der IT-Sicherheit in Deutschland ist angespannt.<\/p>Claudia Plattner, Pr\u00e4sidentin des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/cite><\/blockquote>\n\n\n\n

Hacktivismus und DDoS: L\u00e4rm mit politischer Botschaft<\/h2>\n\n\n\n

W\u00e4hrend Ransomware die teuerste Bedrohung bleibt, pr\u00e4gt eine andere Kategorie das Tagesgeschehen: Hacktivismus. Rund 80 Prozent aller von ENISA erfassten Vorf\u00e4lle entfallen auf diese Gruppe, fast immer \u00fcber DDoS-Angriffe gegen Beh\u00f6rden und politische Institutionen. In der DACH-Region tritt vor allem das prorussische Kollektiv NoName057(16) in Erscheinung, das deutsche Webseiten in wiederkehrenden Wellen lahmlegt.<\/p>\n\n\n\n

Der Schaden ist meist begrenzt und kurzlebig, eine \u00fcberlastete Webseite ist nach Stunden wieder erreichbar. Die strategische Funktion liegt woanders. Diese Angriffe binden Personal, erzeugen mediale Aufmerksamkeit und senden eine politische Botschaft. Sie sind das digitale \u00c4quivalent einer Demonstration, nicht eines Einbruchs. F\u00fcr Sicherheitsteams besteht die Gefahr darin, dass der sichtbare DDoS-L\u00e4rm die Aufmerksamkeit von den leisen, gef\u00e4hrlichen Ransomware-Vorbereitungen ablenkt.<\/p>\n\n\n\n

Marktauswirkungen: Cyberversicherung, MDR und Patch-Druck<\/h2>\n\n\n\n

Die Zahlen verschieben einen ganzen Markt. Cyberversicherer in der DACH-Region haben ihre Pr\u00e4mien in den vergangenen zwei Jahren deutlich angezogen und kn\u00fcpfen den Versicherungsschutz inzwischen an konkrete technische Auflagen: Multi-Faktor-Authentifizierung, getestete Backups, ein dokumentierter Patch-Prozess. Ohne diese Nachweise gibt es entweder keinen Vertrag oder im Schadensfall keine Leistung.<\/p>\n\n\n\n

Parallel w\u00e4chst der Markt f\u00fcr Managed Detection and Response. Gerade Mittelst\u00e4ndler ohne eigenes Security Operations Center lagern die \u00dcberwachung an externe Dienstleister aus. Der SAP-Fall zeigt, warum: Die aktive Ausnutzung lief schon Wochen vor dem Patch, sichtbar nur f\u00fcr Teams, die Webshell-Aktivit\u00e4t und ungew\u00f6hnliche SAP-Java-Prozesse rund um die Uhr beobachten. Wer erst nach dem Patch-Day reagiert, kommt bei kritischen L\u00fccken systematisch zu sp\u00e4t.<\/p>\n\n\n\n

Der dritte Effekt ist regulatorischer Natur. Mit der NIS2-Richtlinie und dem Cyber Resilience Act steigt der Meldedruck. Mehr Vorf\u00e4lle werden \u00f6ffentlich, weil sie gemeldet werden m\u00fcssen. Das ver\u00e4ndert die Statistik der kommenden Jahre: Ein Teil des erwarteten Anstiegs ist kein realer Zuwachs an Angriffen, sondern bessere Sichtbarkeit dank Meldepflicht.<\/p>\n\n\n\n

Historischer Kontext: Von WannaCry zur Erpressungsindustrie<\/h2>\n\n\n\n

Die heutige Bedrohungslage ist das Ergebnis einer fast zehnj\u00e4hrigen Entwicklung. 2017 zeigte WannaCry, wie eine einzelne Schwachstelle global Schaden anrichten kann, damals noch als ungezielte Welle. Es folgte die Phase der gezielten Big-Game-Hunting-Angriffe, in der Banden bewusst gro\u00dfe Organisationen mit hoher Zahlungsf\u00e4higkeit ausw\u00e4hlten. Die n\u00e4chste Stufe war die doppelte Erpressung, die das Backup als alleinige Schutzma\u00dfnahme entwertete.<\/p>\n\n\n\n

Heute steht am Ende dieser Entwicklung eine arbeitsteilige Industrie. Infostealer liefern Zugangsdaten, Initial Access Broker verkaufen den Erstzugang, Ransomware-as-a-Service-Plattformen stellen die Werkzeuge, Affiliates f\u00fchren aus, spezialisierte Verhandler treiben die L\u00f6segelder ein. Der ENISA-Befund von 81,1 Prozent Ransomware-Anteil ist die statistische Folge dieser Reife. Was als technisches Kuriosum begann, ist heute ein durch\u00f6konomisiertes kriminelles Gesch\u00e4ftsmodell.<\/p>\n\n\n\n

Wettbewerbsvergleich: ENISA, BSI, Bitkom und Check Point<\/h2>\n\n\n\n

Vier gro\u00dfe Datenquellen pr\u00e4gen die Diskussion in der DACH-Region, und sie messen Unterschiedliches. Wer die Lage bewerten will, muss die Perspektiven trennen.<\/p>\n\n\n\n