{"id":92,"date":"2026-06-13T04:13:15","date_gmt":"2026-06-13T04:13:15","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/13\/cyberschaeden-deutschland-289-milliarden-2026\/"},"modified":"2026-06-13T04:14:28","modified_gmt":"2026-06-13T04:14:28","slug":"cyberschaeden-deutschland-289-milliarden-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/13\/cyberschaeden-deutschland-289-milliarden-2026\/","title":{"rendered":"Cybersch\u00e4den DE: 289 Mrd \u20ac Rekord [2026]"},"content":{"rendered":"\n

Die deutsche Wirtschaft verliert pro Jahr 289,2 Milliarden Euro<\/strong> durch Datendiebstahl, Spionage und Sabotage. Das ist der h\u00f6chste Wert, den der Digitalverband Bitkom je gemessen hat, und er liegt um 22,6 Milliarden Euro \u00fcber dem Vorjahr. Die im Oktober 2025 ver\u00f6ffentlichte Studie zum Wirtschaftsschutz zeichnet ein Bild, das Sicherheitsverantwortliche in Deutschland, \u00d6sterreich und der Schweiz seit Monaten besch\u00e4ftigt: Cyberkriminalit\u00e4t ist von einem IT-Problem zu einem volkswirtschaftlichen Risiko geworden.<\/p>\n\n\n\n

Dieser Artikel ordnet die Zahlen ein, benennt die aktiven T\u00e4tergruppen, vergleicht den Schaden mit den Vorjahren und liefert eine Analyse der Marktfolgen. Die Datenbasis stammt ausschlie\u00dflich aus Erhebungen der Jahre 2025 und 2026, darunter Bitkom, das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI), Check Point und Palo Alto Networks Unit 42.<\/p>\n\n\n\n

Rekordschaden: 289,2 Milliarden Euro Cybersch\u00e4den in Deutschland<\/h2>\n\n\n\n

Die Kernzahl der Bitkom-Studie Wirtschaftsschutz 2025 lautet 289,2 Milliarden Euro. So hoch beziffert der Verband den j\u00e4hrlichen Gesamtschaden durch Diebstahl von IT-Ausr\u00fcstung und Daten, durch digitale und analoge Industriespionage sowie durch Sabotage. Im Vorjahr lag der Wert bei 266,6 Milliarden Euro, ein Jahr zuvor bei 205,9 Milliarden Euro. Innerhalb von zwei Jahren ist der gemessene Schaden also um rund 40 Prozent gestiegen.<\/p>\n\n\n\n

Der weitaus gr\u00f6\u00dfte Teil dieses Schadens entsteht digital. Auf Cyberangriffe entfallen nach Bitkom-Zahlen rund 202,4 Milliarden Euro, das sind etwa 70 Prozent der Gesamtsumme. Die restlichen 30 Prozent verteilen sich auf analoge Vorf\u00e4lle wie den Diebstahl physischer Dokumente, abgeh\u00f6rte Besprechungen oder gestohlene Hardware. Die Verschiebung hin zum Digitalen h\u00e4lt seit Jahren an und beschleunigt sich. Wer den Begriff Cyberkriminalit\u00e4t und Schaden in Deutschland zusammen denkt, spricht heute \u00fcber einen dreistelligen Milliardenbetrag, nicht \u00fcber Einzelf\u00e4lle.<\/p>\n\n\n\n

Bemerkenswert ist die Breite der Betroffenheit. 87 Prozent der befragten Unternehmen gaben an, in den vergangenen zw\u00f6lf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen gewesen zu sein. Das bedeutet: Cyberangriffe sind in Deutschland kein Restrisiko mehr, sondern der statistische Normalfall. Befragt wurden f\u00fcr die Studie mehr als 1.000 Unternehmen aller Branchen.<\/p>\n\n\n\n

Wie sich der Cyberschaden zusammensetzt<\/h2>\n\n\n\n

Hinter der Gesamtsumme von 289,2 Milliarden Euro stehen sehr unterschiedliche Schadensarten. Bitkom unterscheidet zwischen Umsatzeinbu\u00dfen durch Betriebsausf\u00e4lle, Kosten f\u00fcr Ermittlungen und Wiederherstellung, Reputationssch\u00e4den, Erpressungszahlungen sowie dem Verlust von Wettbewerbsvorteilen durch abgeflossenes Know-how. Gerade der letzte Posten ist schwer zu beziffern und d\u00fcrfte in der Realit\u00e4t noch h\u00f6her liegen, weil viele Unternehmen den Abfluss von Konstruktionsdaten oder Gesch\u00e4ftsgeheimnissen erst Jahre sp\u00e4ter bemerken.<\/p>\n\n\n\n

Die folgende Tabelle zeigt die Entwicklung des j\u00e4hrlichen Gesamtschadens nach Bitkom \u00fcber drei Erhebungsjahre. Die Steigerung ist konstant und folgt keinem Ausrei\u00dfer, sondern einem Trend.<\/p>\n\n\n\n

Erhebungsjahr<\/th>J\u00e4hrlicher Gesamtschaden<\/th>Ver\u00e4nderung zum Vorjahr<\/th>Anteil Cyberangriffe<\/th><\/tr><\/thead>
2023<\/td>205,9 Mrd. \u20ac<\/td>Basiswert<\/td>ca. 72 %<\/td><\/tr>
2024<\/td>266,6 Mrd. \u20ac<\/td>+29,5 %<\/td>ca. 71 %<\/td><\/tr>
2025<\/td>289,2 Mrd. \u20ac<\/td>+8,5 %<\/td>ca. 70 %<\/td><\/tr><\/tbody><\/table>
Quelle: Bitkom Wirtschaftsschutz, Erhebungen 2023 bis 2025. Anteilswerte gerundet.<\/figcaption><\/figure>\n\n\n\n

Auff\u00e4llig ist, dass der prozentuale Anstieg von 2024 auf 2025 mit 8,5 Prozent deutlich kleiner ausf\u00e4llt als der Sprung von 2023 auf 2024. Das deutet nicht auf Entwarnung hin, sondern auf einen hohen Sockel: Bei knapp 290 Milliarden Euro Schaden pro Jahr ist der absolute Zuwachs von 22,6 Milliarden Euro weiterhin gewaltig, auch wenn die Wachstumsrate sich abflacht. Sicherheits\u00f6konomen lesen daraus eine S\u00e4ttigung der Betroffenheit. Wenn fast 9 von 10 Unternehmen bereits getroffen werden, bleibt wenig Spielraum nach oben.<\/p>\n\n\n\n

87 Prozent betroffen: Die Breite der Bedrohungslage<\/h2>\n\n\n\n

Der Wert von 87 Prozent betroffener Unternehmen ist die vielleicht wichtigste Zahl der gesamten Studie. Er zeigt, dass es l\u00e4ngst nicht mehr um die Frage geht, ob ein Unternehmen angegriffen wird, sondern wann und wie oft. Besonders der Mittelstand, das R\u00fcckgrat der deutschen Wirtschaft, ger\u00e4t zunehmend ins Visier. Anders als Gro\u00dfkonzerne verf\u00fcgen mittelst\u00e4ndische Maschinenbauer, Zulieferer und Logistiker selten \u00fcber eigene Security-Operations-Teams.<\/p>\n\n\n\n

59 Prozent der Unternehmen sehen in Cyberangriffen mittlerweile eine existenzielle Bedrohung f\u00fcr ihren Betrieb. Vor wenigen Jahren lag dieser Wert noch deutlich niedriger. Die Verschiebung in der Wahrnehmung folgt der realen Erfahrung: Ein erfolgreicher Ransomware-Angriff kann die Produktion einer Fabrik \u00fcber Wochen lahmlegen, Lieferketten unterbrechen und im schlimmsten Fall zur Insolvenz f\u00fchren.<\/p>\n\n\n\n

Die Angreifer nutzen diese Verwundbarkeit gezielt aus. Nach Analysen des deutschen Cybersecurity-Marktes timen T\u00e4tergruppen ihre Angriffe inzwischen bewusst auf Produktionsspitzen, regulatorische Meldefristen oder laufende Fusions- und \u00dcbernahmegespr\u00e4che. Wer unter Zeitdruck steht, zahlt eher. Diese kalkulierte Erpressungslogik unterscheidet die professionelle Cyberkriminalit\u00e4t von 2026 von den eher zuf\u00e4lligen Massenkampagnen fr\u00fcherer Jahre.<\/p>\n\n\n\n

Woher die Angriffe kommen: Russland und China im Fokus<\/h2>\n\n\n\n

46 Prozent der betroffenen Unternehmen konnten mindestens einen Angriff auf T\u00e4ter in Russland oder China zur\u00fcckf\u00fchren. Damit haben sich die beiden L\u00e4nder als die zentralen Herkunftsregionen f\u00fcr Angriffe auf die deutsche Wirtschaft etabliert. Bitkom verweist auf eine zunehmende Verschmelzung von rein kriminellen und geopolitisch motivierten Aktivit\u00e4ten. Staatlich geduldete oder gesteuerte Gruppen, sogenannte Advanced Persistent Threats, agieren teils mit denselben Werkzeugen wie gew\u00f6hnliche Ransomware-Banden.<\/p>\n\n\n\n

Diese Vermischung erschwert die Abwehr. Ein Angriff, der wie eine gew\u00f6hnliche Erpressung aussieht, kann in Wahrheit der Vorbereitung von Spionage oder Sabotage dienen. Sicherheitsbeh\u00f6rden in der DACH-Region warnen seit 2025 vor einer geopolitisch aufgeladenen Lage, in der kritische Infrastruktur, Energieversorger und R\u00fcstungszulieferer besonders im Fokus stehen. Geopolitische Spannungen sind im Cybersecurity-Bild Deutschlands 2026 zu einem dauerhaften Faktor geworden.<\/p>\n\n\n\n

Die regionale Dimension best\u00e4tigt eine Analyse von Check Point Software Technologies. Demnach stieg die Zahl der Cyberangriffe auf Organisationen in Deutschland, \u00d6sterreich und der Schweiz im Jahr 2025 um 124 Prozent. Getrieben wurde dieser Anstieg von einer scharfen Zunahme hacktivistischer Kampagnen und professioneller Ransomware-Operationen. Deutschland steht dabei im Zentrum der DACH-weiten Eskalation, wie unsere Analyse zum 124-Prozent-Anstieg der Cyberangriffe in Deutschland<\/a> im Detail zeigt.<\/p>\n\n\n\n

Ransomware als Gesch\u00e4ftsmodell: Cybercrime-as-a-Service<\/h2>\n\n\n\n

Ein Grund f\u00fcr die Rekordsch\u00e4den liegt in der Industrialisierung der Cyberkriminalit\u00e4t. Der Markt ist heute klar arbeitsteilig organisiert. Es gibt getrennte Gesch\u00e4ftsbereiche f\u00fcr den Erstzugang in fremde Netze (Initial Access Broker), f\u00fcr die Entwicklung und Verbreitung von Schadsoftware, f\u00fcr den Datendiebstahl und f\u00fcr die eigentliche L\u00f6segeldverhandlung. Diese Spezialisierung senkt die Eintrittsh\u00fcrden erheblich.<\/p>\n\n\n\n

Im Cybercrime-as-a-Service-Modell muss ein Angreifer nicht mehr selbst programmieren k\u00f6nnen. Er mietet die Schadsoftware, kauft einen Zugang ein und beauftragt Verhandlungsspezialisten. Das Resultat ist eine h\u00f6here Zahl an Angriffen bei gleichzeitig steigender Professionalit\u00e4t. Moderne Ransomware-Vorf\u00e4lle in Deutschland kombinieren in der Regel drei Hebel: die Verschl\u00fcsselung der Daten, deren Diebstahl und die Drohung mit der Ver\u00f6ffentlichung. Diese doppelte und teils dreifache Erpressung macht das reine Backup als alleinige Schutzma\u00dfnahme wirkungslos.<\/p>\n\n\n\n

Wie ein solcher Angriff in der Praxis abl\u00e4uft und welche Spuren er hinterl\u00e4sst, zeigt der Fall der Gruppe Qilin, die im M\u00e4rz 2026 unter anderem die Partei Die Linke traf. Eine ausf\u00fchrliche Rekonstruktion findet sich in unserem Bericht \u00fcber die Qilin-Ransomware und ihre \u00fcber 500 Opfer<\/a>.<\/p>\n\n\n\n

Wer hinter den Angriffen steht: Qilin, Akira und LockBit<\/h2>\n\n\n\n

Die T\u00e4tergruppen lassen sich heute namentlich benennen und in ihrer Aktivit\u00e4t messen. Der Sicherheitsdienstleister Breachsense z\u00e4hlte allein im Mai 2026 insgesamt 646 Unternehmen, die auf Leak-Sites von Ransomware-Gruppen gelistet wurden, verteilt auf 61 unterschiedliche Gruppen und 73 L\u00e4nder. Die tats\u00e4chliche Opferzahl liegt h\u00f6her, weil viele Vorf\u00e4lle nie \u00f6ffentlich werden.<\/p>\n\n\n\n

An der Spitze steht weiterhin Qilin. Die russischsprachige Gruppe beanspruchte im Mai 2026 insgesamt 97 Angriffe f\u00fcr sich, ein R\u00fcckgang um 10 Prozent gegen\u00fcber den 108 Angriffen des Vormonats. Auf den weiteren Pl\u00e4tzen folgen etablierte Marken wie Akira und LockBit. Die folgende Tabelle fasst die aktivsten Gruppen des Monats Mai 2026 zusammen.<\/p>\n\n\n\n

Gruppe<\/th>Beanspruchte Opfer (Mai 2026)<\/th>Herkunft \/ Profil<\/th>Status<\/th><\/tr><\/thead>
Qilin<\/td>97<\/td>Russischsprachig<\/td>Aktivste Gruppe, -10 % zum Vormonat<\/td><\/tr>
Akira<\/td>52<\/td>International<\/td>Platz 3, hohe Konstanz<\/td><\/tr>
LockBit<\/td>18<\/td>Russischsprachig<\/td>Nach Strafverfolgung reorganisiert<\/td><\/tr>
Cl0p<\/td>schwankend<\/td>Russischsprachig<\/td>Volumen von 90 auf 35 gefallen (Jan\/Feb 2026)<\/td><\/tr>
RansomHub<\/td>wachsend<\/td>RaaS-Affiliate-Modell<\/td>Schnell wachsend, Gruppe zum Beobachten<\/td><\/tr><\/tbody><\/table>
Quelle: Breachsense Ransomware Report Mai 2026, CYFIRMA Tracking Februar 2026. Zahlen beziehen sich auf \u00f6ffentlich gelistete Opfer weltweit.<\/figcaption><\/figure>\n\n\n\n

Die Liste ver\u00e4ndert sich schnell. Strafverfolgungsaktionen wie die internationale Zerschlagung von LockBit haben gezeigt, dass selbst dominante Gruppen verwundbar sind. Doch der Markt f\u00fcllt entstehende L\u00fccken z\u00fcgig. Affiliates wechseln zur n\u00e4chsten Plattform, und neue Marken wie RansomHub oder SafePay \u00fcbernehmen Marktanteile. Wie deutsche Beh\u00f6rden bei der Enttarnung solcher Netzwerke vorgehen, beschreibt unser Beitrag zur Enttarnung von REvil und GandCrab durch das BKA<\/a>.<\/p>\n\n\n\n

Was ein Angriff kostet: L\u00f6segeld und Wiederherstellung<\/h2>\n\n\n\n

Die Frage nach den konkreten Kosten eines Vorfalls beantwortet der Global Incident Response Report 2026 von Palo Alto Networks Unit 42. Die mediane L\u00f6segeldzahlung lag im Jahr 2025 bei 500.000 US-Dollar. Der Median ist aussagekr\u00e4ftiger als ein Durchschnitt, weil einzelne Extremf\u00e4lle mit zweistelligen Millionenforderungen das Mittel verzerren w\u00fcrden. Die H\u00e4lfte aller Zahlungen lag also bei oder unter einer halben Million Dollar.<\/p>\n\n\n\n

Das gezahlte L\u00f6segeld ist jedoch nur ein Bruchteil der Gesamtkosten. Hinzu kommen die Ausgaben f\u00fcr forensische Untersuchungen, Rechtsberatung, die Wiederherstellung der Systeme, Mehrarbeit, Vertragsstrafen und der Umsatzausfall w\u00e4hrend des Stillstands. In vielen F\u00e4llen \u00fcbersteigen diese Folgekosten das eigentliche L\u00f6segeld um ein Vielfaches. Sicherheitsverantwortliche rechnen f\u00fcr einen schweren Vorfall im Mittelstand schnell mit einem Gesamtaufwand im einstelligen Millionenbereich, selbst wenn kein L\u00f6segeld gezahlt wird.<\/p>\n\n\n\n

Diese Rechnung erkl\u00e4rt, warum die volkswirtschaftliche Summe von 289,2 Milliarden Euro plausibel ist. Bei zehntausenden betroffenen Unternehmen pro Jahr, jedes mit Folgekosten im sechs- bis siebenstelligen Bereich, summiert sich der Schaden rasch in den dreistelligen Milliardenbereich. Ein einzelnes gestohlenes Datenpaket kann zudem \u00fcber Jahre Folgesch\u00e4den verursachen, etwa durch nachgelagerten Betrug oder den Verlust von Gesch\u00e4ftsgeheimnissen.<\/p>\n\n\n\n

Marktauswirkung: IT-Sicherheitsausgaben steigen zweistellig<\/h2>\n\n\n\n

Der Rekordschaden hat einen direkten Marktnachhall. Der deutsche Markt f\u00fcr IT-Sicherheit w\u00e4chst nach Bitkom-Angaben zweistellig. Unternehmen investieren verst\u00e4rkt in Endpoint-Schutz, Netzwerksegmentierung, Identit\u00e4tsmanagement und externe Dienstleister. Wer den Schaden von knapp 290 Milliarden Euro gegen die Sicherheitsausgaben rechnet, erkennt eine klare \u00f6konomische Logik: Pr\u00e4vention bleibt deutlich g\u00fcnstiger als die Bew\u00e4ltigung eines erfolgreichen Angriffs.<\/p>\n\n\n\n

Besonders gefragt sind 2026 L\u00f6sungen rund um k\u00fcnstliche Intelligenz, Automatisierung und die Absicherung von Lieferketten. Die Supply-Chain-Sicherheit gilt als eines der pr\u00e4genden Themen des deutschen Marktes, weil die Schw\u00e4che eines einzigen Partners ganze Netzwerke aus Fertigung, Dienstleistung und Logistik gef\u00e4hrdet. Ein kompromittierter Zulieferer kann zum Einfallstor f\u00fcr hunderte nachgelagerte Unternehmen werden.<\/p>\n\n\n\n

Gleichzeitig versch\u00e4rft sich der Fachkr\u00e4ftemangel. Es fehlen qualifizierte Security-Analysten, Incident Responder und Compliance-Spezialisten. Dieser Engpass treibt die Nachfrage nach Managed Security Services und nach automatisierten Abwehrsystemen, die menschliche Analysten entlasten. Der Mangel an Personal ist damit selbst zu einem Risikofaktor geworden, der die Schadenssummen indirekt nach oben treibt.<\/p>\n\n\n\n

Stimmen aus der Branche zur Bedrohungslage<\/h2>\n\n\n\n

Die n\u00fcchternen Zahlen werden von deutlichen Warnungen der f\u00fchrenden K\u00f6pfe der Branche begleitet. Ralf Wintergerst, Pr\u00e4sident des Digitalverbands Bitkom, ordnet die Entwicklung so ein:<\/p>\n\n\n\n

“Die deutsche Wirtschaft steht unter Dauerbeschuss. Kriminelle Banden und staatlich gesteuerte Akteure greifen immer professioneller an, und die Grenzen zwischen beiden verschwimmen. Wirtschaftsschutz ist heute eine Frage der Wettbewerbsf\u00e4higkeit unseres gesamten Standorts.”<\/p>Ralf Wintergerst, Pr\u00e4sident Bitkom<\/cite><\/blockquote>\n\n\n\n

Auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik schl\u00e4gt einen ungewohnt scharfen Ton an. BSI-Pr\u00e4sidentin Claudia Plattner beschreibt die Lage seit dem Lagebericht 2024 wiederholt als angespannt bis kritisch und betont die Notwendigkeit gemeinsamer Anstrengungen:<\/p>\n\n\n\n

“Die Bedrohungslage ist so hoch wie nie. Wir k\u00f6nnen die Angreifer nur stoppen, wenn Staat, Wirtschaft und Gesellschaft Cybersicherheit als gemeinsame Aufgabe verstehen. Resilienz l\u00e4sst sich nicht delegieren, sie muss in jeder Organisation verankert werden.”<\/p>Claudia Plattner, Pr\u00e4sidentin BSI<\/cite><\/blockquote>\n\n\n\n

Aus Sicht der internationalen Sicherheitsforschung verweisen Analysten von Check Point auf den dramatischen Anstieg in der DACH-Region. Die Forscher f\u00fchren den 124-prozentigen Zuwachs auf eine Kombination aus geopolitischen Spannungen und der zunehmenden Verf\u00fcgbarkeit von Angriffswerkzeugen zur\u00fcck. Deutschland sei wegen seiner exportstarken Industrie und seiner kritischen Infrastruktur ein bevorzugtes Ziel.<\/p>\n\n\n\n

Der Tenor aller Stimmen ist einheitlich: Die Zeit punktueller Einzelma\u00dfnahmen ist vorbei. Gefragt ist eine durchg\u00e4ngige Sicherheitsarchitektur, die Pr\u00e4vention, Erkennung und Reaktion verbindet. Mehr Hintergrund zur amtlichen Einsch\u00e4tzung liefert unsere Auswertung des BSI-Lageberichts mit 280.000 neuen Schadprogrammen pro Tag<\/a>.<\/p>\n\n\n\n

Regulierung: NIS2 und DORA ver\u00e4ndern die Pflichten<\/h2>\n\n\n\n

Der Gesetzgeber reagiert auf die Bedrohungslage mit versch\u00e4rften Vorgaben. Zwei Regelwerke pr\u00e4gen das Jahr 2026 besonders. Die EU-Verordnung DORA (Digital Operational Resilience Act) gilt seit dem 17. Januar 2025 verbindlich f\u00fcr den gesamten Finanzsektor. Banken, Versicherer und ihre IT-Dienstleister m\u00fcssen seither strenge Anforderungen an ihre digitale Betriebsstabilit\u00e4t erf\u00fcllen, von Risikomanagement \u00fcber Vorfallsmeldung bis zu regelm\u00e4\u00dfigen Resilienztests.<\/p>\n\n\n\n

Parallel dazu setzt Deutschland die EU-Richtlinie NIS2 in nationales Recht um. Sie erweitert den Kreis der regulierten Unternehmen erheblich und verpflichtet tausende Betreiber wichtiger und besonders wichtiger Einrichtungen zu Mindeststandards bei der Cybersicherheit, zu Meldepflichten und zur pers\u00f6nlichen Haftung der Gesch\u00e4ftsf\u00fchrung. Die Details und die verz\u00f6gerte Umsetzung analysieren wir in unserem Beitrag zur NIS2-Umsetzung in Deutschland mit Strafen bis zu 10 Millionen Euro<\/a>.<\/p>\n\n\n\n

F\u00fcr betroffene Unternehmen bedeutet das einen erheblichen Mehraufwand, aber auch einen klaren Handlungsrahmen. Die Verbindung aus drohenden Bu\u00dfgeldern und pers\u00f6nlicher Haftung verschiebt Cybersicherheit endg\u00fcltig von der IT-Abteilung in die Vorstandsetage. Wer die Vorgaben ignoriert, riskiert nicht nur den Schaden durch einen Angriff, sondern zus\u00e4tzlich empfindliche Sanktionen.<\/p>\n\n\n\n

Historischer Kontext: Von 223 auf 289 Milliarden Euro<\/h2>\n\n\n\n

Der Blick zur\u00fcck ordnet die aktuelle Zahl ein. Bereits 2021 bezifferte Bitkom den j\u00e4hrlichen Schaden auf rund 223 Milliarden Euro, der damals als Rekord galt. In den Folgejahren schwankte der Wert, lag 2023 bei 205,9 Milliarden Euro und kletterte 2024 auf 266,6 Milliarden Euro, bevor er 2025 den neuen H\u00f6chststand von 289,2 Milliarden Euro erreichte. Die langfristige Richtung ist eindeutig: Der Schaden w\u00e4chst schneller als die Gegenma\u00dfnahmen greifen.<\/p>\n\n\n\n

Entscheidend hat sich dabei die Qualit\u00e4t der Angriffe ver\u00e4ndert. Vor einem Jahrzehnt dominierten breit gestreute Massenkampagnen mit Trojanern und Erpressungssoftware, die wahllos zuschlugen. Heute stehen gezielte, mehrstufige Angriffe im Vordergrund, die wochenlang unentdeckt im Netzwerk verweilen, bevor sie zuschlagen. Diese Verlagerung von Masse zu Pr\u00e4zision erkl\u00e4rt, warum der Schaden pro Vorfall deutlich gestiegen ist.<\/p>\n\n\n\n

Auch die Professionalisierung der Verteidigung ist gewachsen. Unternehmen investieren mehr, Beh\u00f6rden vernetzen sich enger, und internationale Strafverfolgung erzielt sichtbare Erfolge gegen einzelne Gruppen. Doch dieser Fortschritt wird vom Tempo der Angreifer \u00fcberholt. Die Schere zwischen Angriffs- und Verteidigungsf\u00e4higkeit ist im Jahr 2026 nicht kleiner, sondern eher gr\u00f6\u00dfer geworden.<\/p>\n\n\n\n

Was Unternehmen jetzt konkret tun sollten<\/h2>\n\n\n\n

Aus den Daten lassen sich klare Priorit\u00e4ten ableiten. Da fast jedes Unternehmen betroffen ist, lohnt sich keine Diskussion mehr \u00fcber das Ob, sondern nur \u00fcber die konkrete Umsetzung. Drei Bereiche stechen heraus: Identit\u00e4ten, Backups und Erkennung.<\/p>\n\n\n\n

Identit\u00e4ten und Zug\u00e4nge absichern<\/h3>\n\n\n\n

Die meisten erfolgreichen Angriffe beginnen mit gestohlenen oder schwachen Zugangsdaten. Eine durchgehende Mehr-Faktor-Authentifizierung, das Prinzip der minimalen Rechtevergabe und eine konsequente Verwaltung privilegierter Konten senken das Risiko sp\u00fcrbar. Phishing bleibt der h\u00e4ufigste Einstiegspunkt. Wie sich solche Angriffe erkennen und abwehren lassen, erkl\u00e4rt unser Leitfaden zu Phishing-Angriffen und der richtigen Reaktion<\/a>.<\/p>\n\n\n\n

Backups und Notfallpl\u00e4ne testen<\/h3>\n\n\n\n

Gegen die Verschl\u00fcsselung von Daten hilft nur ein getestetes, vom Netzwerk getrenntes Backup. Entscheidend ist nicht das Vorhandensein einer Sicherung, sondern die regelm\u00e4\u00dfig geprobte Wiederherstellung unter realistischen Bedingungen. Viele Unternehmen entdecken erst im Ernstfall, dass ihre Backups unvollst\u00e4ndig oder selbst verschl\u00fcsselt sind. Ein dokumentierter Notfallplan mit klaren Verantwortlichkeiten verk\u00fcrzt die teure Ausfallzeit erheblich.<\/p>\n\n\n\n

Der dritte Bereich ist die Erkennung. Da gezielte Angriffe oft wochenlang unbemerkt bleiben, entscheidet die Geschwindigkeit der Entdeckung \u00fcber das Schadensausma\u00df. Moderne Erkennungssysteme, die ungew\u00f6hnliches Verhalten im Netzwerk aufsp\u00fcren, verk\u00fcrzen die Verweildauer der Angreifer und damit den potenziellen Schaden. Wie Datenlecks im Detail entstehen und welche Schutzma\u00dfnahmen greifen, erl\u00e4utert unser \u00dcberblick zu Datenlecks und ihrer Vermeidung<\/a>.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr die Bedrohungslage bis 2027<\/h2>\n\n\n\n

Auf Basis der aktuellen Daten und Trends lassen sich mehrere Entwicklungen mit hoher Wahrscheinlichkeit absehen.<\/p>\n\n\n\n