{"id":270,"date":"2026-06-21T04:22:07","date_gmt":"2026-06-21T04:22:07","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/21\/deutschland-cyberangriffe-124-prozent-dach-2026\/"},"modified":"2026-06-21T04:23:42","modified_gmt":"2026-06-21T04:23:42","slug":"deutschland-cyberangriffe-124-prozent-dach-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/","title":{"rendered":"Deutschland: Cyberangriffe steigen 2025 um 124% [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Cyberangriffe auf Unternehmen und Beh\u00f6rden in Deutschland, \u00d6sterreich und der Schweiz sind 2025 um <strong>124 Prozent<\/strong> gestiegen. Das ist das zentrale Ergebnis einer Analyse von Check Point Software Technologies, ver\u00f6ffentlicht im Mai 2026. Deutschland tr\u00e4gt dabei die gr\u00f6\u00dfte Last: <strong>82 Prozent<\/strong> aller in der DACH-Region erfassten Vorf\u00e4lle entfallen allein auf die Bundesrepublik. Was hinter dieser Eskalation steckt, welche Gruppen verantwortlich sind und was Unternehmen jetzt konkret tun sollten, zeigt diese Analyse.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-die-124-prozent-zahl-tatsaechlich-bedeutet\">Was die 124-Prozent-Zahl tats\u00e4chlich bedeutet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Anstieg von 124 Prozent klingt dramatisch, doch die Zusammensetzung der Vorf\u00e4lle ist entscheidend f\u00fcr das richtige Einordnen der Zahlen. Check Point hat politisch motivierte Hacktivist-Angriffe und finanziell getriebene Ransomware-Operationen in einer Gesamtbetrachtung zusammengefasst. Das Ergebnis: Defacement-Kampagnen, also das Verunstalten von Webseiten, machten <strong>66 Prozent<\/strong> aller erfassten Vorf\u00e4lle aus. Ransomware war f\u00fcr <strong>knapp 30 Prozent<\/strong> der F\u00e4lle verantwortlich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Unterscheidung ist f\u00fcr Sicherheitsverantwortliche wichtig. Website-Defacement verursacht kurzfristig Reputationssch\u00e4den, aber selten direkten finanziellen Schaden. Ransomware hingegen legt Betriebe f\u00fcr Wochen lahm und kostet erheblich mehr als ein \u00f6ffentlichkeitswirksamer Defacement-Vorfall. Der Gesamtanstieg von 124 Prozent spiegelt daher eine Kombination aus politischer Eskalation und professionalisierter Cyberkriminalit\u00e4t wider, nicht nur eine einzige Bedrohungskategorie.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zum Vergleich: Im gleichen Zeitraum repr\u00e4sentierte die DACH-Region <strong>18 Prozent<\/strong> aller in Europa erfassten Cyberangriffe. Deutschland liegt damit vor Frankreich, Spanien und Italien, wenn man die einzelnen L\u00e4nderwerte betrachtet. Wirtschaftskraft und au\u00dfenpolitische Sichtbarkeit machen Deutschland zum bevorzugten Ziel sowohl f\u00fcr staatlich gelenkte Akteure als auch f\u00fcr kriminelle Gruppen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deutschland-traegt-82-prozent-der-dach-vorfaelle\">Deutschland tr\u00e4gt 82 Prozent der DACH-Vorf\u00e4lle<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verteilung innerhalb der DACH-Region ist extrem ungleich. Deutschland vereint <strong>82 Prozent<\/strong> aller dokumentierten Cybervorf\u00e4lle auf sich. Die Schweiz folgt mit <strong>12 Prozent<\/strong>, \u00d6sterreich mit <strong>8 Prozent<\/strong>. Diese Konzentration hat strukturelle Gr\u00fcnde.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Deutschland ist die gr\u00f6\u00dfte Volkswirtschaft der DACH-Region, betreibt die meisten kritischen Infrastrukturen und hat sich au\u00dfenpolitisch st\u00e4rker exponiert, unter anderem durch die Unterst\u00fctzung der Ukraine. F\u00fcr Bedrohungsakteure ist Deutschland nicht nur ein wirtschaftlich attraktives Ziel, sondern auch ein politisches Symbol. Pro-russische Hacktivist-Gruppen haben die Bundesrepublik explizit als Gegner benannt und koordinieren Angriffe auf \u00f6ffentlich zug\u00e4ngliche Dienste, Beh\u00f6rdenwebseiten und politische Organisationen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Dazu kommt ein strukturelles Problem: Viele deutsche Unternehmen, insbesondere im Mittelstand, betreiben nach wie vor veraltete IT-Systeme mit unzureichender Absicherung. Gestohlene Passw\u00f6rter und fehlende Zwei-Faktor-Authentifizierung waren laut Check Point der h\u00e4ufigste Einstiegspunkt f\u00fcr Ransomware-Angriffe im Jahr 2025. Das ist kein technisches Versagen auf h\u00f6chstem Niveau, sondern ein Vers\u00e4umnis bei grundlegenden Sicherheitsma\u00dfnahmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Geopolitischer Hintergrund: Fast die H\u00e4lfte der Unternehmen, die die Herkunft von Angriffen identifizieren konnten, nennt Russland oder China als Ursprung, laut einer Bitkom-Erhebung unter rund 1.000 Firmen. Bitkom-Pr\u00e4sident Ralf Wintergerst sagte auf einer Pressekonferenz zu diesen Ergebnissen: &#8220;Die Spur f\u00fchrt relativ eindeutig nach Osten, in zwei L\u00e4nder an die Spitze: Russland und China.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"hacktivist-gruppen-noname05716-und-pro-russische-kollektive-im-ueberblick\">Hacktivist-Gruppen: NoName057(16) und pro-russische Kollektive im \u00dcberblick<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der gr\u00f6\u00dfte Teil des 124-Prozent-Anstiegs geht auf politisch motivierte Hacktivist-Gruppen zur\u00fcck. Check Point nennt konkret <strong>NoName057(16)<\/strong> als aktivste Gruppe in der DACH-Region. Das Kollektiv ist seit 2022 bekannt, positioniert sich als pro-russisch und f\u00fchrt koordinierte DDoS-Angriffe sowie Defacement-Kampagnen gegen Ziele durch, die Russland als Gegner betrachtet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Neben NoName057(16) sind <strong>Dark Storm Team<\/strong>, <strong>Mr Hamza<\/strong>, <strong>chinafans<\/strong> und <strong>Hezi Rash<\/strong> aktiv. Diese Gruppen koordinierten 2025 eine anhaltende Defacement- und DDoS-Kampagne gegen \u00f6ffentlich zug\u00e4ngliche Dienste in der DACH-Region. Die Angriffe sind h\u00e4ufig auf politische Ereignisse abgestimmt, zum Beispiel auf Parlamentsentscheidungen zur Ukraine-Unterst\u00fctzung oder Waffenlieferungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsforscher von Check Point beschreiben das Vorgehen folgenderma\u00dfen: &#8220;NoName057(16), ein pro-russisches Kollektiv mit Fokus auf DDoS und Web-St\u00f6rungen, war \u00fcber das gesamte Jahr 2025 hinweg eine der aktivsten Gruppen. Neben Dark Storm Team und Mr Hamza trugen chinafans und Hezi Rash durch anhaltende Defacement- und DDoS-Aktivit\u00e4ten gegen \u00f6ffentlich zug\u00e4ngliche Dienste in der DACH-Region bei.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Muster ist klar: NoName057(16) k\u00fcndigt Ziele auf Telegram an, mobilisiert Sympathisanten f\u00fcr DDoS-Angriffe und dokumentiert Erfolge \u00f6ffentlich. Ziel ist prim\u00e4r Sichtbarkeit und Unsicherheit, nicht dauerhafter technischer Schaden. Trotzdem k\u00f6nnen DDoS-Angriffe kurzfristig kritische Dienste lahmlegen und das Vertrauen in staatliche Institutionen besch\u00e4digen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ransomware-gruppen-qilin-akira-und-lockbit-zielen-auf-dach\">Ransomware-Gruppen: Qilin, Akira und LockBit zielen auf DACH<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Neben den Hacktivist-Angriffen bildet Ransomware die zweite, wirtschaftlich deutlich gef\u00e4hrlichere S\u00e4ule der Bedrohungslage. Check Point identifiziert <strong>Qilin<\/strong>, <strong>Akira<\/strong> und <strong>LockBit<\/strong> als die aktivsten Ransomware-Gruppen, die 2025 Organisationen in der DACH-Region angegriffen haben. Alle drei setzen auf das Ransomware-as-a-Service (RaaS)-Modell, bei dem technische Infrastruktur an Partner vermietet wird, die eigenst\u00e4ndig Angriffe durchf\u00fchren.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Gruppe<\/th><th>Globaler Anteil (Jan 2026)<\/th><th>Hauptziele Deutschland<\/th><th>Taktik<\/th><th>Bekannte Aktivit\u00e4t DACH<\/th><\/tr><\/thead><tbody><tr><td>Qilin<\/td><td>15 % aller Ransomware-Angriffe<\/td><td>Gesundheit, Fertigung<\/td><td>Doppelte Erpressung (Verschl\u00fcsselung + Datenleak)<\/td><td>Aktiv 2025<\/td><\/tr><tr><td>Akira<\/td><td>Aktiv DACH 2025<\/td><td>Mittelstand, Bildung<\/td><td>Schnelle Verschl\u00fcsselung, Linux-Variante<\/td><td>Aktiv 2025<\/td><\/tr><tr><td>LockBit<\/td><td>12 % aller Ransomware-Angriffe<\/td><td>Industrie, Logistik<\/td><td>Gr\u00f6\u00dfte RaaS-Plattform, hohe Partneranzahl<\/td><td>Aktiv 2025<\/td><\/tr><tr><td>Safepay<\/td><td>Aktiv DACH 2025<\/td><td>KMU, \u00f6ffentliche Einrichtungen<\/td><td>Neuere Gruppe, wachsende Reichweite<\/td><td>Aktiv 2025<\/td><\/tr><tr><td>NoName057(16)<\/td><td>DDoS\/Defacement (kein L\u00f6segeld)<\/td><td>Beh\u00f6rden, Medien, Politik<\/td><td>Politisch motiviert, Telegram-koordiniert<\/td><td>14 Angriffswellen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Qilin war im Januar 2026 die global aktivste Ransomware-Gruppe und f\u00fcr <strong>15 Prozent<\/strong> aller gemeldeten Angriffe verantwortlich. LockBit folgte mit <strong>12 Prozent<\/strong>. Deutschland machte dabei <strong>4 Prozent<\/strong> der globalen Ransomware-Opfer im Januar 2026 aus. Nur die USA (48 Prozent), das Vereinigte K\u00f6nigreich (5 Prozent) und Kanada (4 Prozent) lagen gleichauf oder dar\u00fcber. F\u00fcr eine einzelne Volkswirtschaft dieser Gr\u00f6\u00dfe ist das ein \u00fcberproportionaler Anteil.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"angriffsvektor-warum-gestohlene-passwoerter-ausreichen\">Angriffsvektor: Warum gestohlene Passw\u00f6rter ausreichen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das vielleicht ern\u00fcchterndste Ergebnis der Check-Point-Analyse: Der h\u00e4ufigste Einstiegspunkt f\u00fcr Ransomware-Angriffe auf deutsche Unternehmen 2025 war nicht eine ausgefeilte Zero-Day-L\u00fccke, sondern <strong>gestohlene Passw\u00f6rter<\/strong> kombiniert mit <strong>fehlender Zwei-Faktor-Authentifizierung<\/strong>. Angreifer ben\u00f6tigen in vielen F\u00e4llen keinen hohen technischen Aufwand. Ein geleaktes Passwort f\u00fcr ein VPN oder ein Remote-Desktop-Gateway reicht aus, um sich unbemerkt im Netzwerk zu bewegen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Infostealers spielen dabei eine zentrale Rolle. Diese Schadsoftware-Kategorie zielt darauf ab, Zugangsdaten aus Browsern, Passwortmanagern und gespeicherten Sitzungstokens zu stehlen. Einmal exfiltriert, werden diese Daten auf Untergrundm\u00e4rkten verkauft. Ransomware-Gruppen kaufen gezielt Zugangsdaten f\u00fcr exponierte Systeme und gleichen sie mit Datenbanken bekannter Unternehmensinfrastrukturen ab. In vielen F\u00e4llen dauert es nur Stunden, bis der Erstzugang ausgenutzt und ausgebaut wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Exponierte internet-zug\u00e4ngliche Systeme sind die zweite gro\u00dfe Schwachstelle. VPN-Gateways, Remote-Desktop-Protokolle (RDP) und veraltete Exchange-Server ohne aktuelles Patchlevel sind bevorzugte Ziele. Check Point betont, dass Angreifer systematisch nach genau diesen Systemen scannen. Sobald eine verwundbare Version identifiziert ist, folgt der Angriff oft innerhalb von 24 Stunden.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wirtschaftlicher-schaden-bis-zu-289-milliarden-euro-allein-2025\">Wirtschaftlicher Schaden: Bis zu 289 Milliarden Euro allein 2025<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die finanziellen Folgen der Angriffswelle sind erheblich. Bitkom beziffert in seiner Erhebung, die auf Befragungen von rund 1.000 Unternehmen basiert, die gemeldeten Sch\u00e4den auf <strong>289,2 Milliarden Euro<\/strong>. Eine weitere Analyse beziffert Verluste durch Cyberangriffe auf deutsche Unternehmen auf 202,4 Milliarden Euro. Beide Zahlen unterstreichen, dass Cyberangriffe inzwischen zur gr\u00f6\u00dften Einzelschadenssache der deutschen Wirtschaft geworden sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zusammensetzung der Sch\u00e4den ist vielschichtig. Den gr\u00f6\u00dften Teil machen Produktionsausf\u00e4lle und der Diebstahl geistigen Eigentums aus. Dazu kommen erhebliche Kosten f\u00fcr Rechtsstreitigkeiten und Wiederherstellungsma\u00dfnahmen. Ransomware war mit einem Anteil von <strong>34 Prozent<\/strong> die h\u00e4ufigste Schadensursache, gegen\u00fcber nur 12 Prozent im Jahr 2022. Ein deutliches Zeichen daf\u00fcr, wie stark sich Ransomware als Gesch\u00e4ftsmodell professionalisiert hat. Rund ein Siebtel der betroffenen Unternehmen gab zudem an, L\u00f6segeld bezahlt zu haben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Cybersecurity-Markt in Deutschland reagiert darauf: Er wurde 2024 auf rund <strong>11,78 Milliarden US-Dollar<\/strong> gesch\u00e4tzt und soll bis 2034 auf fast <strong>25,91 Milliarden US-Dollar<\/strong> wachsen (CAGR 8,2 Prozent). Das Wachstum spiegelt nicht das Abebben der Bedrohung wider, sondern die Reaktion auf sie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"sektoren-unter-druck-energie-bildung-telekommunikation\">Sektoren unter Druck: Energie, Bildung, Telekommunikation<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Im Januar 2026 wurden Energieversorger, Bildungseinrichtungen und Telekommunikationsunternehmen als die am st\u00e4rksten betroffenen Sektoren in Deutschland identifiziert. Global war der Bildungssektor mit durchschnittlich <strong>4.364 Angriffen pro Organisation und Woche<\/strong> der meistattackierte Bereich, ein Anstieg von 12 Prozent gegen\u00fcber dem Vorjahr. Schulen, Hochschulen und Forschungseinrichtungen gelten als strukturell untergesichert: wertvolle Daten, deutlich weniger IT-Sicherheitsressourcen als im Finanzsektor.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Energieversorger stehen aus einem anderen Grund im Fokus. Angriffe auf die Energieinfrastruktur haben das Potenzial, physische Folgen zu verursachen und gleichzeitig maximale \u00f6ffentliche Aufmerksamkeit zu erzeugen. Staatlich gelenkte Akteure, die auf Sabotage oder Destabilisierung aus sind, bevorzugen diesen Sektor. Deutschland ist als Transitland f\u00fcr Energiefl\u00fcsse und als Industrienation mit hohem Energiebedarf besonders exponiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmensdienstleistungen (33 Prozent der Ransomware-Opfer weltweit), Konsumg\u00fcter und Dienstleistungen (15 Prozent) sowie die industrielle Fertigung (11 Prozent) erg\u00e4nzen das Bild. F\u00fcr Deutschland bedeutet das, dass gerade der exportorientierte Mittelstand im Visier steht. Viele dieser Unternehmen verf\u00fcgen weder \u00fcber eigene Security-Operations-Center noch \u00fcber dedizierte CISO-Rollen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"januar-2026-1-314-angriffe-pro-woche-auf-deutsche-unternehmen\">Januar 2026: 1.314 Angriffe pro Woche auf deutsche Unternehmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Eskalation setzt sich 2026 fort. Im Januar 2026 wurden deutsche Unternehmen mit durchschnittlich <strong>1.314 Cyberangriffen pro Woche<\/strong> konfrontiert. Das entspricht einem Anstieg von <strong>16 Prozent<\/strong> gegen\u00fcber dem Vorjahresmonat. Global lag der Durchschnitt bei 2.090 Angriffen pro Organisation und Woche, einem Anstieg von 3 Prozent gegen\u00fcber Dezember 2025 und 17 Prozent im Jahresvergleich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Zahlen beziehen sich auf alle erkannten Angriffsversuche, nicht nur auf erfolgreiche Einbr\u00fcche. Trotzdem ist die Trendlinie eindeutig: Die Angriffsdichte nimmt weiter zu, trotz wachsender Investitionen in IT-Sicherheit. Insgesamt wurden im Januar 2026 weltweit <strong>678 \u00f6ffentlich gemeldete Ransomware-Angriffe<\/strong> registriert, ein Anstieg von 10 Prozent. Nordamerika war mit 52 Prozent der Opfer am st\u00e4rksten betroffen, Europa folgte mit 24 Prozent.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"dach-daten-2025-2026-auf-einen-blick\">DACH-Daten 2025\/2026 auf einen Blick<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Kennzahl<\/th><th>Wert<\/th><th>Zeitraum \/ Quelle<\/th><\/tr><\/thead><tbody><tr><td>Anstieg Cyberangriffe DACH<\/td><td>+124 %<\/td><td>2025 \/ Check Point, Mai 2026<\/td><\/tr><tr><td>Deutschland-Anteil DACH-Vorf\u00e4lle<\/td><td>82 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>Schweiz-Anteil DACH-Vorf\u00e4lle<\/td><td>12 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>\u00d6sterreich-Anteil DACH-Vorf\u00e4lle<\/td><td>8 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>DACH-Anteil an Europa-Vorf\u00e4llen<\/td><td>18 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>Defacement-Anteil aller Angriffe<\/td><td>66 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>Ransomware-Anteil aller Angriffe<\/td><td>knapp 30 %<\/td><td>2025 \/ Check Point<\/td><\/tr><tr><td>Angriffe\/Woche deutsche Unternehmen<\/td><td>1.314<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>Anstieg vs. Jan 2025<\/td><td>+16 %<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>Gemeldete Ransomware-Angriffe weltweit<\/td><td>678<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>Deutschland-Anteil globale Ransomware<\/td><td>4 %<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>Qilin globaler Anteil Ransomware<\/td><td>15 %<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>LockBit globaler Anteil Ransomware<\/td><td>12 %<\/td><td>Januar 2026 \/ Check Point<\/td><\/tr><tr><td>Wirtschaftlicher Schaden Deutschland<\/td><td>289,2 Mrd. Euro<\/td><td>2025 \/ Bitkom<\/td><\/tr><tr><td>Ransomware als Schadensursache<\/td><td>34 %<\/td><td>2025 \/ Bitkom<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ki-als-angriffsmultiplikator-phishing-auf-neuem-niveau\">KI als Angriffsmultiplikator: Phishing auf neuem Niveau<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein wachsender Treiber der steigenden Angriffszahlen ist der Einsatz von K\u00fcnstlicher Intelligenz auf der Angreiferseite. KI-generierte Phishing-E-Mails, Sprachnachrichten und videobasiertes Social Engineering sind laut dem Chambers-L\u00e4nderprofil Deutschland 2026 &#8220;zunehmend schwer von legitimer Kommunikation zu unterscheiden, selbst f\u00fcr erfahrene Nutzer.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das bedeutet konkret: Ein Angreifer kann heute mit vergleichsweise geringem Aufwand perfekt formulierte deutsche E-Mails im Stil des Vorstands generieren, Sprachnachrichten mit geklonten Stimmen versenden und in Einzelf\u00e4llen Video-Deepfakes f\u00fcr Videoanrufe einsetzen. Laut einer DACH-CISO-Umfrage scheitern <strong>73 Prozent<\/strong> der befragten Sicherheitsverantwortlichen daran, KI-gest\u00fctzte Angriffe zuverl\u00e4ssig zu stoppen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Check Point verweist in seiner Januar-2026-Analyse ausdr\u00fccklich auf steigende GenAI-Datenexpositionsrisiken als strukturellen Faktor. Mitarbeiter laden Gesch\u00e4ftsdaten in externe KI-Dienste hoch, ohne sich \u00fcber Datenschutz- und Sicherheitsimplikationen im Klaren zu sein. Angreifer m\u00fcssen so nicht mehr in Netzwerke einbrechen, wenn sensitive Daten schon auf dem Weg zur externen KI-Plattform abgegriffen werden k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"rechtlicher-rahmen-it-sicherheitsgesetz-2-0-nis2-dora-und-kritis-dachgesetz\">Rechtlicher Rahmen: IT-Sicherheitsgesetz 2.0, NIS2, DORA und KRITIS-Dachgesetz<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Bundesregierung hat auf den wachsenden Angriffsdruck mit einem B\u00fcndel regulatorischer Ma\u00dfnahmen reagiert. Das <strong>IT-Sicherheitsgesetz 2.0<\/strong> erweitert die Sicherheitspflichten f\u00fcr Betreiber kritischer Infrastrukturen und weitere relevante Einrichtungen. Unternehmen m\u00fcssen Vorf\u00e4lle detailliert melden: Art und Umfang des Vorfalls, wahrscheinliche Folgen sowie ergriffene Ma\u00dfnahmen. Meldungen k\u00f6nnen in Stufen erfolgen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die europ\u00e4ische <strong>NIS2-Richtlinie<\/strong> und der <strong>Digital Operational Resilience Act (DORA)<\/strong> sind parallel dazu zentrale Compliance-Themen. NIS2 weitet den Kreis meldepflichtiger Unternehmen erheblich aus und stellt h\u00f6here Anforderungen an Risikomanagement und Incident Response. DORA richtet sich speziell an den Finanzsektor und fordert belastbare digitale Betriebsresilienz. Beide Regelwerke wurden auf dem <a href=\"https:\/\/horizon3.ai\/event\/dachsec-cyber-security-summit-2026\/\" rel=\"noopener noreferrer\" target=\"_blank\">DACHsec Cyber Security Summit 2026 in Frankfurt<\/a> als dr\u00e4ngende Umsetzungsaufgaben diskutiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das <strong>KRITIS-Dachgesetz<\/strong> stellt zus\u00e4tzliche Anforderungen an physische Sicherheit und Redundanz f\u00fcr kritische Infrastrukturen und sieht Bu\u00dfgelder von bis zu 1 Million Euro vor. KI-Systeme sind ebenfalls in den Blick regulatorischer Beh\u00f6rden geraten: Schwerwiegende Vorf\u00e4lle oder Fehlfunktionen von Hochrisiko-KI-Systemen m\u00fcssen unverz\u00fcglich gemeldet werden. Ein einzelner Vorfall kann damit mehrere parallele Meldepflichten ausl\u00f6sen, nach Cybersicherheitsrecht, Datenschutzrecht und KI-Verordnung gleichzeitig. Eine detaillierte Analyse dieser Anforderungen bietet der Artikel zum <a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"expertenanalyse-professionalisierende-angreifer-wachsende-asymmetrie\">Expertenanalyse: Professionalisierende Angreifer, wachsende Asymmetrie<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheitsexperten aus dem Chambers-Cybersecurity-Praxisleitfaden 2026 beschreiben die Entwicklung pr\u00e4zise: &#8220;2026 wird die Cyberkriminalit\u00e4t in Deutschland von gut organisierten Gruppen dominiert, die mit klaren internen Strukturen, spezialisierten Rollen und definierten Erl\u00f6smodellen operieren. Diese Gruppen \u00e4hneln in ihrer Betriebsdisziplin und strategischen Planung zunehmend legitimen Unternehmen.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Check-Point-Forscher heben hervor, dass Ransomware-Gruppen \u00fcber ausgereifte Gesch\u00e4ftsmodelle, technische Infrastruktur und Zugang zu gestohlenen Zugangsdaten verf\u00fcgen. Solange diese M\u00e4rkte nicht effektiv gest\u00f6rt werden, bleibt das Angebotsniveau f\u00fcr Angriffe auf deutsche Unternehmen konstant hoch. Internationale Strafverfolgungsma\u00dfnahmen haben kurzfristige Unterbrechungen verursacht, aber keine dauerhaften Strukturbr\u00fcche.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der <a href=\"https:\/\/practiceguides.chambers.com\/practice-guides\/cybersecurity-2026\/germany\/trends-and-developments\" rel=\"noopener noreferrer\" target=\"_blank\">Chambers Practice Guide Cybersecurity 2026 Deutschland<\/a> fasst zusammen: &#8220;Geopolitische Spannungen pr\u00e4gen die Cybersicherheitslandschaft in Deutschland grundlegend. Cyberoperationen sind zu einem permanenten Element des Umfelds geworden.&#8221; Diese Einsch\u00e4tzung deckt sich mit dem WEF Global Cybersecurity Outlook 2026: <strong>64 Prozent<\/strong> aller Organisationen ber\u00fccksichtigen geopolitisch motivierte Cyberangriffe inzwischen aktiv in ihrer Sicherheitsplanung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Torsten Harengel, Head of Cybersecurity Deutschland und \u00d6sterreich bei Check Point Software Technologies, kommentiert die Gesamtlage: &#8220;Deutschland wird nicht zuf\u00e4llig zur Zielscheibe. Die Kombination aus wirtschaftlicher St\u00e4rke, geopolitischer Positionierung und teils veralteter IT-Infrastruktur macht es zu einem besonders attraktiven Angriffsziel. Unternehmen m\u00fcssen aufh\u00f6ren, IT-Sicherheit als Kostenfaktor zu betrachten, und sie als strategische Notwendigkeit begreifen.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-fuer-die-dach-bedrohungslage-bis-ende-2026\">5 Prognosen f\u00fcr die DACH-Bedrohungslage bis Ende 2026<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Auf Basis der vorliegenden Daten und strukturellen Treiber ergeben sich f\u00fcnf konkrete Prognosen:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Hacktivismus bleibt hoch, solange der Ukrainekrieg andauert.<\/strong> NoName057(16) und verwandte Gruppen werden politische Ereignisse weiterhin f\u00fcr koordinierte Angriffe nutzen. DDoS-Wellen gegen Bundesbeh\u00f6rden und staatsnahe Unternehmen sind wahrscheinlich, insbesondere bei NATO-Entscheidungen oder neuen deutschen Waffenlieferungen.<\/li><li><strong>Ransomware-Angriffe auf kritische Infrastrukturen nehmen zu.<\/strong> Energieversorger, Krankenh\u00e4user und Wasserwerke bleiben bevorzugte Ziele, weil sie unter enormem Druck stehen, schnell zu bezahlen. Der Einsatz von OT-spezifischer Ransomware (Operational Technology) wird sich ausweiten.<\/li><li><strong>KI-gest\u00fctzte Phishing-Kampagnen skalieren massiv.<\/strong> Die H\u00fcrde f\u00fcr personalisierte, \u00fcberzeugend formulierte Phishing-Mails sinkt weiter. Sprachmodelle erm\u00f6glichen Angriffe in perfektem Deutsch, abgestimmt auf den Empf\u00e4nger, ohne nennenswerten menschlichen Aufwand auf der Angreiferseite.<\/li><li><strong>Supply-Chain-Angriffe auf den deutschen Mittelstand steigen.<\/strong> Angreifer greifen gr\u00f6\u00dfere Ziele \u00fcber weniger gesicherte Zulieferer und Dienstleister an. Ein erfolgreicher Angriff auf einen ERP-Dienstleister kann hunderte deutsche KMU gleichzeitig treffen.<\/li><li><strong>Regulatorischer Druck erh\u00f6ht Sicherheitsinvestitionen messbar.<\/strong> NIS2, DORA und das KRITIS-Dachgesetz zwingen Unternehmen zu strukturierten Investitionen. Der deutsche Cybersecurity-Markt wird bis 2034 auf 25,91 Milliarden US-Dollar wachsen (CAGR 8,2 Prozent).<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-unternehmen-jetzt-konkret-tun-muessen\">Was Unternehmen jetzt konkret tun m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Analysen zeigen, wo die dringlichsten Handlungsfelder liegen. Check Point hebt drei strukturelle Schwachstellen hervor, die in der DACH-Region am h\u00e4ufigsten ausgenutzt werden: schwache Authentifizierung, exponierte Internet-facing-Systeme und unzureichendes Patch-Management.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Zwei-Faktor-Authentifizierung<\/strong> f\u00fcr alle kritischen Systeme, insbesondere VPN, E-Mail und Cloud-Dienste, ist die Ma\u00dfnahme mit dem h\u00f6chsten Kosten-Nutzen-Verh\u00e4ltnis. Sie verhindert den h\u00e4ufigsten Angriffsvektor direkt. <strong>Regelm\u00e4\u00dfige Vulnerability-Scans<\/strong> und konsequentes Patch-Management innerhalb von 24 bis 72 Stunden nach Ver\u00f6ffentlichung kritischer Updates reduzieren die Angriffsfl\u00e4che erheblich.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Incident-Response-Pl\u00e4ne<\/strong>, die mindestens zweimal j\u00e4hrlich getestet werden, erm\u00f6glichen eine schnellere Reaktion und begrenzen den Schaden im Ernstfall. F\u00fcr die Einhaltung von NIS2- und KRITIS-Dachgesetz-Anforderungen ist zudem eine strukturierte Meldekette zwingend erforderlich. Unternehmen m\u00fcssen wissen, welche Beh\u00f6rden bei welchem Vorfall zu informieren sind und in welchem Zeitfenster.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine weiterf\u00fchrende technische Perspektive auf aktuelle Angriffsmethoden bietet der <a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike Global Threat Report 2026<\/a>, der zeigt, wie Angreifer die Zeit zwischen erstem Zugang und vollst\u00e4ndigem Netzwerk-Kompromiss auf 27 Sekunden gesenkt haben.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"weiterfuehrende-artikel-auf-shattered-io\">Weiterf\u00fchrende Artikel auf shattered.io<\/h3>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/de\/kritis-dachgesetz-2026\/\">KRITIS-Dachgesetz 2026: 1 Mio. Euro Bu\u00dfgeld, Deadline 17. Juli<\/a><\/li><li><a href=\"\/de\/clickfix-angriff-social-engineering-2026\/\">ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten<\/a><\/li><li><a href=\"\/de\/crowdstrike-global-threat-report-2026\/\">CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89%<\/a><\/li><li><a href=\"\/de\/ransomware-groups-surge-2026\/\">Ransomware-Gruppen: 49% mehr, 8.159 Opfer in 2025<\/a><\/li><li><a href=\"\/de\/veeam-backup-rce-kritisch-cisa-kev-2026\/\">Veeam Backup RCE: CVSS 9.9, 4x auf CISA KEV<\/a><\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Quellen: <a href=\"https:\/\/industrialcyber.co\/ransomware\/germany-becomes-focal-point-of-escalating-dach-cyber-campaign-amid-ransomware-geopolitical-attacks\/\" rel=\"noopener noreferrer\" target=\"_blank\">Industrial Cyber (Check Point DACH-Report, Mai 2026)<\/a> | <a href=\"https:\/\/www.igorslab.de\/en\/cyberattacks-in-germany-are-increasing-significantly-education-and-telecommunications-particularly-affected\/\" rel=\"noopener noreferrer\" target=\"_blank\">igorslab.de (Cyberangriffe Deutschland Januar 2026)<\/a> | <a href=\"https:\/\/www.bsi.bund.de\/EN\/Home\/home_node.html\" rel=\"noopener noreferrer\" target=\"_blank\">BSI Bundesamt f\u00fcr Sicherheit in der Informationstechnik<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-cyberangriffe-deutschland-2026\">FAQ: Cyberangriffe Deutschland 2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"um-wie-viel-prozent-sind-cyberangriffe-auf-deutschland-2025-gestiegen\">Um wie viel Prozent sind Cyberangriffe auf Deutschland 2025 gestiegen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Laut dem DACH-Bedrohungsbericht von Check Point Software Technologies vom Mai 2026 stiegen Cyberangriffe auf Organisationen in der DACH-Region im Jahr 2025 um <strong>124 Prozent<\/strong>. Deutschland war mit 82 Prozent der Vorf\u00e4lle das am st\u00e4rksten betroffene Land.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-hacktivist-gruppen-greifen-deutschland-an\">Welche Hacktivist-Gruppen greifen Deutschland an?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die aktivsten pro-russischen Hacktivist-Gruppen in der DACH-Region sind <strong>NoName057(16)<\/strong>, Dark Storm Team, Mr Hamza, chinafans und Hezi Rash. Sie f\u00fchren vor allem DDoS-Angriffe und Defacement-Kampagnen durch, h\u00e4ufig im Zusammenhang mit politischen Ereignissen wie NATO-Entscheidungen oder Waffenlieferungen an die Ukraine.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-ransomware-gruppen-sind-in-deutschland-aktiv\">Welche Ransomware-Gruppen sind in Deutschland aktiv?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Check Point nennt <strong>Qilin<\/strong>, <strong>Akira<\/strong>, <strong>LockBit<\/strong> und Safepay als die aktivsten Ransomware-Gruppen, die 2025 deutsche Organisationen angegriffen haben. Qilin war im Januar 2026 f\u00fcr 15 Prozent, LockBit f\u00fcr 12 Prozent aller globalen Ransomware-Angriffe verantwortlich.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-hoch-ist-der-wirtschaftliche-schaden-durch-cyberangriffe-in-deutschland\">Wie hoch ist der wirtschaftliche Schaden durch Cyberangriffe in Deutschland?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bitkom beziffert den Schaden auf rund <strong>289,2 Milliarden Euro<\/strong> f\u00fcr 2025. Ransomware war mit 34 Prozent die h\u00e4ufigste Schadensursache, gegen\u00fcber 12 Prozent im Jahr 2022. Rund ein Siebtel der betroffenen Unternehmen hat L\u00f6segeld bezahlt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-viele-cyberangriffe-treffen-deutsche-unternehmen-pro-woche\">Wie viele Cyberangriffe treffen deutsche Unternehmen pro Woche?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Im Januar 2026 wurden deutsche Unternehmen durchschnittlich mit <strong>1.314 Cyberangriffen pro Woche<\/strong> konfrontiert, ein Anstieg von 16 Prozent gegen\u00fcber Januar 2025.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-der-haeufigste-angriffsvektor-bei-ransomware-in-deutschland\">Was ist der h\u00e4ufigste Angriffsvektor bei Ransomware in Deutschland?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Der h\u00e4ufigste Einstiegspunkt ist die Kombination aus <strong>gestohlenen Passw\u00f6rtern<\/strong> und <strong>fehlender Zwei-Faktor-Authentifizierung<\/strong>. Angreifer kaufen gestohlene Zugangsdaten auf Untergrundm\u00e4rkten und nutzen sie f\u00fcr nicht ausreichend gesicherte VPN-Gateways oder RDP-Zug\u00e4nge.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-fordert-das-kritis-dachgesetz-von-unternehmen\">Was fordert das KRITIS-Dachgesetz von Unternehmen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Infrastrukturen (Energie, Wasser, Gesundheit, Finanzen, Verkehr) zu erh\u00f6hten physischen und logischen Sicherheitsstandards. Die Umsetzungsfrist lief am <strong>17. Juli 2026<\/strong> ab. Verst\u00f6\u00dfe k\u00f6nnen mit Bu\u00dfgeldern von bis zu <strong>1 Million Euro<\/strong> geahndet werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"warum-ist-deutschland-das-bevorzugte-angriffsziel-in-der-dach-region\">Warum ist Deutschland das bevorzugte Angriffsziel in der DACH-Region?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Deutschland kombiniert drei Faktoren: Es ist die gr\u00f6\u00dfte Volkswirtschaft der DACH-Region mit der gr\u00f6\u00dften digitalen Angriffsfl\u00e4che. Es hat sich geopolitisch durch Ukraine-Unterst\u00fctzung sichtbar positioniert, was pro-russische Hacktivist-Gruppen gezielt ausnutzen. Viele Unternehmen, besonders im Mittelstand, weisen zudem strukturelle Sicherheitsl\u00fccken wie fehlende Zwei-Faktor-Authentifizierung auf.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cyberangriffe auf Unternehmen und Beh\u00f6rden in Deutschland, \u00d6sterreich und der Schweiz sind 2025 um 124 Prozent gestiegen. Das ist das zentrale Ergebnis einer Analyse von Check Point Software Technologies, ver\u00f6ffentlicht\u2026<\/p>\n","protected":false},"author":3,"featured_media":271,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-270","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=270"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/270\/revisions"}],"predecessor-version":[{"id":272,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/270\/revisions\/272"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/271"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}