[datensicherheit.de, 31.03.2026] Erich Kron, „CISO Advisor“ bei KnowBe4, kommentiert den diesjährigen „World Backup Day“ am 31. März 2026: „In einer Welt voller KI, ,Zero Day’-Exploits und nationalstaatlichen Cyberbedrohungen mag die Datensicherung wie eine Aufgabe aus dem ,Grundkurs Cybersicherheit’ erscheinen. Doch einige der schwerwiegendsten Vorfälle, mit denen Unternehmen konfrontiert sind, sind nicht auf hochkomplexe Angriffe zurückzuführen, sondern darauf, dass sie nicht auf das Unvermeidliche vorbereitet sind – und Datenverlust ist unvermeidlich.“

Foto: KnowBe4

Erich Kron: Es geht auch um Resilienz, also die Fähigkeit, sich zu erholen, wenn etwas schiefgeht

Backups machen den Unterschied zwischen Fortführung des Betriebs und Insolvenz aus

Wenn die meisten Unternehmen über die Notwendigkeit von Backups nachdenken, dächten sie an Ransomware – und dies sei verständlich. „Ransomware ist nach wie vor eine der finanziell schädlichsten Cyberbedrohungen, doch zu den weiteren häufigen Ursachen für Datenverluste zählen versehentliches Löschen, Hardwareausfälle oder Softwarefehler, Fehlkonfigurationen, Insider-Bedrohungen und sogar Naturkatastrophen.“

• Bei der Sicherheit drehe sich alles um Schichten. Keine Kontrolle sei perfekt, und irgendwann werde eine Schicht durchlässig und der Schutz versagen. „Wenn dies geschieht, sind es Backups, die verhindern, dass aus einem schlechten Tag ein katastrophaler wird.“

Für Unternehmen könnten Backups den Unterschied zwischen der Fortführung des Betriebs und der Insolvenz ausmachen. Bewährt habe sich die „3-2-1-Regel“ für Backups:

• „3“ → drei Kopien Ihrer Daten
• „2“ → zwei verschiedene Speichertypen
• „1“ → eine externe (oder Offline-)Kopie

Diese Methode sei nicht neu, aber sie bleibe sicherlich nach wie vor relevant.

Backups sollten automatisiert werden

Kron warnt: „Wenn es darauf ankommt, dass jemand nur daran denkt, es zu tun, wird es nicht konsequent geschehen. Es gilt so viele Hindernisse wie möglich zwischen den Mitarbeitern und den Backup-Verfahren zu beseitigen.“

• Backups testen
  Hierbei scheiterten viele Unternehmen – und es gebe kein schlimmeres Gefühl als festzustellen, „dass die Daten weg sind und nicht wiederhergestellt werden können“.
  Wenn Sicherheitsteams die Wiederherstellung nicht getestet haben, könnten sie nicht wissen, ob ihre Backups funktionieren und wie lange die Wiederherstellung dauern wird.
• Backups schützen
  Angreifer nähmen oft zuerst Backups ins Visier. „Sie wissen, wie viel Einfluss sie haben, wenn sie die einzige brauchbare Kopie der Daten in der Hand halten.“
  Sicherheitsteams sollten daher unveränderliche Speicher vorhalten sowie starke Zugriffskontrollen und Netzwerksegmentierung vornehmen.

Der „World Backup Day“ als alljährlicher Realitätscheck

Die Wiederherstellungszeit sei entscheidend. „Ein Backup, dessen Wiederherstellung Wochen dauert, rettet ein Unternehmen möglicherweise nicht.“ Dies sei besonders wichtig, wenn Sicherheitsteams viele Systeme gleichzeitig wiederherstellen müssten.

• Sie könnten ein Netzwerk leicht mit Daten überlasten. „Deshalb sollten sie sicherstellen, dass sie wissen, was am wichtigsten ist, um es zuerst wiederherzustellen, und sie müssen bei Bedarf einen Plan für die schrittweise Wiederherstellung erstellen“, legt Kron abschließend nahe.

Der „World Backup Day“ sei nicht nur eine Erinnerung, sondern ein Realitätscheck. Bei der Cybersicherheit gehe es nicht darum, jeden Vorfall zu verhindern. „Das ist unrealistisch. Es geht auch um Resilienz, also die Fähigkeit, sich zu erholen, wenn etwas schiefgeht.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Erich Kron / CISO Advisor

datensicherheit.de, 30.03.2026
Konfigurationen: Der „World Backup Day“ sollte Backups jenseits purer Datensicherung propagieren / Es geht bei Backups eben auch darum, die gesamte Betriebsumgebung – inklusive aller Konfigurationen – widerstandsfähig und wiederherstellbar zu halten

datensicherheit.de, 29.03.2026
World Backup Day 2026 voraus: BSI ruft zur Datensicherung auf / Laut „Cybersicherheitsmonitor 2025“ des BSI legt nur ein Fünftel der Internetnutzer regelmäßig ein Backup an

datensicherheit.de, 14.03.2026
World Backup Day: Anlass zur Neubewertung eigener Cyberresilienz als Chefsache / Der eigentliche geschäftliche Mehrwert des Backups entsteht nicht durch die Sicherung als technische Maßnahme per se – sondern eben durch die Fähigkeit zur schnellen und vollständigen Wiederherstellung aller geschäftskritischen Daten und Systeme

[datensicherheit.de, 26.03.2026] Mandiant hat seinen jährlichen „M-Trends“-Bericht veröffentlicht, welcher die Erkenntnisse aus über 500.000 Stunden zusammenfassen soll, die Mandiant und die „Google Threat Intelligence Group“ (GTIG) im Jahr 2025 auf die Untersuchung von Sicherheitsvorfällen aufgewendet haben, um nun einen umfassenden Überblick über die aktuelle Bedrohungslage zu liefern. Der Report zeigt laut Mandiant auf: „Dank KI konnten Angreifer ihre Operationen ausweiten. Dennoch lässt sich der Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückführen.“

Abbildung: Mandiant

„M-Trends“-Bericht: Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückzuführen

Mandiant warnt vor Aufstieg des sprachbasierten „Social Engineering“

Voice-Phishing (Vishing) habe sich mit elf Prozent rasant zum zweithäufigsten Vektor für Erstinfektionen entwickelt. Sicherheitslücken seien mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor.

• Sicherheitsteams sollten sich auf diesen Trend einstellen. „Zum Vergleich: E-Mail-Phishing nutzt nicht-interaktive technischen Köder und setzt auf Masse sowie eine breit gestreute Zustellung ohne besonderen Anlass.“

Bei interaktiven Methoden wie dem Vishing dagegen lenke eine reale Person das Gespräch in Echtzeit. Daher seien diese Angriffe deutlich widerstandsfähiger gegenüber automatisierten technischen Kontrollen und erforderten andere Erkennungsstrategien. Speziell in der EMEA-Region (Europa-Arabien-Afrika) sei jedoch E-Mail-Phishing im Vergleich zum globalen Trend, wo dessen Gesamtanteil weiter sinke, weiterhin präsenter geblieben.

Mandiant-Bericht zeigt auch, dass Ransomware-Gruppen versuchen, Daten-Wiederherstellung absichtlich zu verhindern

Im Jahr 2025 geriet laut den Untersuchungen von Mandiant die Tech-Branche am häufigsten ins Visier von Bedrohungsakteuren: Diese überhole damit den Finanzdienstleistungssektor, welcher in den Jahren 2023 und 2024 an erster Stelle gestanden habe.

• „Es zeichnet sich ein wachsender Trend ab, bei dem ein Angreifer sich zunächst Zugang verschafft, diesen dann aber schnell an einen anderen weitergibt, der Angriffe mit größerer Wirkung wie Ransomware durchführt.“ Cyberkriminelle agierten zunehmend wie hocheffiziente Unternehmen und gingen Partnerschaften ein. Damit könnten sie das Zeitfenster, innerhalb dessen Verteidiger eingreifen könnten, von mehreren Stunden auf Sekunden verkürzen. Die Zugangsübergabe zwischen Angreifern erfolge so schnell – manchmal in weniger als 30 Sekunden –, dass Warnmeldungen, die traditionell als „weniger wichtig“ eingestuft würden, sehr schnell zu schwerwiegenden Sicherheitsverletzungen führen könnten.

Der Bericht zeige auch auf, dass sich Ransomware-Gruppen zunehmend darauf konzentrierten, die Wiederherstellung der Daten absichtlich zu verhindern, anstatt nur Daten zu stehlen. Sie griffen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachten, übten die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen.

Laut Mandiant stieg globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage an

Im Jahr 2025 sei die globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage angestiegen. „Dieser Wert ist vor allem auf Cyberspionage zurückzuführen sowie auf Vorfälle mit nordkoreanischen IT-Mitarbeitenden:

• Diese lassen sich mit gefälschten oder gestohlenen Identitäten in westlichen Unternehmen anstellen, um zusätzliches Kapital für das nordkoreanische Regime zu generieren.“ Bei diesen Fällen habe die mittlere Verweildauer jeweils 122 Tage betragen.

Die mittlere Verweildauer in der EMEA-Region liege über dem globalen Durchschnitt von 14 Tagen mit hier 20 Tagen im Jahr 2025 – wobei dies immer noch einen Rückgang um sieben Tage gegenüber 2024 bedeute.

Mandiant-Bericht zeigt: 60 Prozent der Vorfälle in der EMEA-Region zuerst intern erkannt

Im Jahr 2025 seien 60 Prozent der Vorfälle in der EMEA-Region zuerst intern durch eigene Mitarbeiter, eigene Sicherheitslösungen oder verdächtige Aktivitäten identifiziert worden.

• 40 Prozent der Vorfälle seien durch externe Benachrichtigung erkannt worden – etwa von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen bzw. auch durch Angreifer selbst, in Form einer Lösegeldforderung.

Dies stelle eine Umkehrung der Trends von 2024 dar. Im weltweiten Vergleich (52 Prozent der Vorfälle intern erkannt, 48 Prozent extern) lägen Unternehmen der EMEA-Region damit hinsichtlich der internen Erkennung von Vorfällen vorne.

Weitere Informationen zum Thema:

Google Cloud, Mandiant Cybersecurity Consulting
Verbessern Sie Ihre Cyberabwehr – von der Reaktion auf Vorfälle bis hin zur Ausfallsicherheit

Google Cloud, Jurgen Kutscher, 23.03.2026
Threat Intelligence / M-Trends 2026: Data, Insights, and Strategies From the Frontlines

Google Cloud, Mandiant
M-Trends 2026 Report: Real-world investigations and actionable defense insights / A definitive look into the threats and tactics used in breaches, grounded in over 500k hours of incident investigations in 2025 by Mandiant

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 31.09.2020
EMEA-Region: Finanzindustrie im Visier / NETSCOUT kommentiert die zunehmende Anzahl der Cyber-Angriffe auf die Finanzindustrie im Wirtschaftsraum Europa-Arabien-Afrika

[datensicherheit.de, 10.03.2026] Acronis hat ein aktuelles „Cyberthreats Update“ veröffentlicht, welches demnach ein differenziertes Bild der Cyberbedrohungslage im Januar 2026 zeichnet: „Die Zahl blockierter schädlicher URLs stieg gegenüber Dezember 2025 um 35,6 Prozent, während die Zahl erkannter Malware-Angriffe am Endpunkt auf rund 1,7 Millionen zurückging, nach 2,3 Millionen im Dezember 2025.“ Das „Acronis Cyberthreats Update“ stellt monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“ (TRU) zur Verfügung, damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können.

Foto: Acronis

Markus Fritz rät Unternehmen, ihre Schutzmaßnahmen regelmäßig zu überprüfen und auf mehrschichtige Ansätze zu setzen

„Mirai“ gehört erneut zu aktivsten Malware-Bedrohungen

Acronis-Lösungen hätten im Januar 2026 mit einem Anstieg von 35,6 Prozent deutlich mehr schädliche URLs als im Vormonat blockiert. Gleichzeitig sei die Zahl der am Endpunkt blockierten Malware-Dateien auf rund 1,7 Millionen erheblich zurückgegangen – nach 2,3 Millionen im Dezember. Auch die Anzahl öffentlich gemeldeter Datenschutzverletzungen sei mit 723 im Januar gegenüber 820 im Vormonat rückläufig.

• Auch im Januar 2026 habe „Mirai“ erneut zu den aktivsten Malware-Bedrohungen gehört. Diese seit Jahren bekannte IoT-Schadsoftware bleibe ein fester Bestandteil der Bedrohungslandschaft. Ebenfalls stark vertreten gewesen seien „XWorm“ und „AsyncRAT“ – zwei „Tools“, welche laut Acronis häufig für Fernzugriff und Datendiebstahl eingesetzt werden und in einer Reihe aktiver Angriffskampagnen auftauchen.

Unter den Ransomware-Gruppen sei „Qilin“ mit 102 bekannten Opfern am aktivsten, gefolgt von „Cl0p“ mit 79 und „0apt“ mit 71 dokumentierten Fällen.

Weitere Erkenntnisse der „Acronis Threat Research Unit“:

• Der Anteil der Acronis-Nutzer mit mindestens einer blockierten Malware-Bedrohung am Endpunkt sei im Januar 2026 leicht um 0,03 Prozentpunkte auf 3,7 Prozent gestiegen.
• In Deutschland habe die normalisierte Erkennungsrate für schädliche URLs im Januar 2026 bei 9,8 Prozent gelegen und damit geringfügig über dem Wert von 9,7 Prozent im Dezember 2025. Unter den in der Auswertung berücksichtigten Fokus-Ländern habe Deutschland damit Platz 3 belegt.
• Palästina habe mit 54,1 Prozent der betroffenen Nutzer die höchste Malware-Erkennungsrate weltweit verzeichnet – mit großem Abstand vor Sri Lanka mit 18,8 Prozent und Bangladesch mit 17,3 Prozent.

Positive Signale, doch keine Entwarnung: Weiterhin hohe Aktivität im Malware-Bedrohungsumfeld

„Die Telemetriedaten für Januar liefern ein gemischtes Bild“, berichtet Markus Fritz, „General Manager DACH“ bei Acronis. Er führt weiter aus: „Der Rückgang bei den Malware-Erkennungen ist ein positives Signal, gleichzeitig zeigt der kleine Anstieg beim Anteil betroffener Nutzer um 0,03 Prozentpunkte, dass sich der im vergangenen Jahr beobachtete rückläufige Trend nicht eindeutig fortsetzt.“

• Dass zudem mehr schädliche URLs blockiert worden seien, unterstreiche die weiterhin hohe Aktivität im Bedrohungsumfeld. Gruppen wie „Qilin“ und „Cl0p“ blieben aktiv, und bekannte Schadsoftware wie „Mirai“ sei nach wie vor präsent.

Seine Empfehlung: „Unternehmen sollten ihre Schutzmaßnahmen daher regelmäßig überprüfen und auf mehrschichtige Ansätze setzen, die verhaltens- und KI-basierte Erkennungsmethoden kombinieren!“

Acronis-Tipps zum Schutz vor aktuellen Malware-Bedrohungen:

• Starke, einzigartige Passwörter zusammen mit einem Passwortmanager verwenden!
• Einen verschlüsselten „Cloud“-Storage für vertrauliche Dateien nutzen!
• Eine robuste Sicherheitslösung (wie z.B. „Acronis Cyber Protect Cloud“) nutzen, welche einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Anti-Ransomware-Heuristiken bietet!
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien (z.B. mittels „Acronis Cyber Protect Cloud“) einführen!
• „Advanced eMail Security“ und URL-Filterung nutzen, welche zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken bieten!
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten!
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten prüfen!
• Fernzugriffssoftware kritisch überprüfen und ihre Nutzung auf das notwendige Maß beschränken!

Weitere Informationen zum Thema:

Acronis
Die Vereinheitlichung von Data Protection und Cyber Security, um alle Daten, Applikationen und Systeme zu schützen / Acronis ist ein globales Technologie-Unternehmen mit Hauptsitzen in der Schweiz

TRU Acronis Threat Research Unit, 18.02.2026
Acronis Cyberthreats Update: The Acronis Cyberthreats Update covers current cyberthreat activity and trends, as observed by Acronis Threat Research Unit (TRU) and Acronis sensors. Figures presented here were gathered in January 2026 and reflect threats that Acronis detected, as well as news stories from the public domain.

IT-BUSINESS, Margrit Lingner, 12.06.2024
Neuer General Manager DACH bei Acronis Markus Fritz ist DACH-Chef von Acronis

Bundesamt für Sicherheit in der Informationstechnik
Mirai

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

[datensicherheit.de, 24.02.2026] Ransomware-Angriffe gelten längst nicht mehr als Einzelfälle, welche nur große Unternehmen betreffen. Laut Panda Security zählen sie im Jahr 2026 weltweit zu den hartnäckigsten und kostspieligsten Cyberbedrohungen – mit Auswirkungen auf Unternehmen, öffentliche Einrichtungen und Privatnutzer gleichermaßen. 74 Prozent der Vorfälle beinhalten demnach Datenexfiltration, also nicht nur Verschlüsselung. „Der weltweite Markt für Ransomware-Schutz soll von 32,6 Milliarden US-Dollar im Jahr 2024 auf nahezu 123 Milliarden US-Dollar bis 2034 wachsen.“

Abbildung: Panda Security

Panda Security – Empfehlungen für Schutzmaßnahmen gegen Ransomware-Attacken

Ransomware-Angriffe werden fortentwickelt: Von Doppel-Erpressungstaktiken zu Phishing-Kampagnen mittels KI

Aktuelle Ransomware-Statistiken zeigten, „wie weit verbreitet und finanziell belastend diese Angriffe inzwischen sind“. Von Doppel-Erpressungstaktiken bis hin zu Phishing-Kampagnen mittels Künstlicher Intelligenz (KI) entwickelten sich Cyberkriminelle schneller denn je weiter.

• Ransomware-Attacken sind spezielle Cyberangriffe, bei denen Täter Dateien verschlüsseln und dann Lösegeld für deren Freigabe verlangen. Moderne Cyberangreifer gehen indes noch weiter: Sie stehlen sensible Daten vor der Verschlüsselung und drohen mit deren Veröffentlichung, falls nicht gezahlt wird.

Panda Security benennt zentrale Ransomware-Trends 2026:

• Doppel-Erpressung ist inzwischen Standard: Daten werden gestohlen, bevor Systeme gesperrt werden.
• KI-gestütztes Phishing macht betrügerische Nachrichten deutlich schwerer erkennbar.
• Ransomware-as-a-Service (RaaS) senkt die Einstiegshürden für Cyberkriminelle, da fertige Angriffstools gemietet werden können.
• Schnellere Verschlüsselung verkürzt die Reaktionszeit auf wenige Minuten, bevor Systeme vollständig blockiert sind.

Besonders von Ransomware-Angriffen betroffene Branchen und die Folgen

Professionelle Dienstleistungen, Gesundheitswesen und verbrauchernahe Dienstleistungen zählten weiterhin zu den am häufigsten angegriffenen Branchen. Besonders im Gesundheitswesen könnten Systemausfälle unmittelbare Auswirkungen auf die Versorgung haben.

• Auch Finanzinstitute hätten 2024 weltweit Tausende Cybervorfälle gemeldet, von denen viele mit sensiblen Datenlecks verbunden gewesen seien.

Ransomware verursacht nicht nur finanzielle Schäden – die menschlichen Folgen:

• 100 Prozent der Organisationen mit verschlüsselten Daten hätten von direkten Auswirkungen auf Mitarbeiter berichtet.
• 41 Prozent der IT- und Sicherheitsteams hätten erhöhte Stressbelastung nach einem Angriff gemeldet.
• 31 Prozent hätten gar krankheitsbedingte Ausfälle aufgrund der psychischen Belastung verzeichnet.

Einschätzung und Handlungsempfehlungen zu Ransomware von Panda Security

„Ransomware bedeutet heute nicht nur Dateiverschlüsselung, sondern Druck, Geschwindigkeit und psychologischen Einfluss“, kommentiert Hervé Lambert, „Global Consumer Operations Manager“ bei Panda Security. Er legt nahe: „Mit KI-gestütztem Phishing und Datendiebstahl als Standardtaktiken muss Prävention proaktiv statt reaktiv erfolgen! Bewusstsein, mehrschichtige Sicherheitsmaßnahmen und schnelle Erkennung sind 2026 entscheidend, um finanzielle und menschliche Schäden zu reduzieren.“

So lässt sich laut Lambert das Risiko reduzieren:

• Systeme und Software regelmäßig aktualisieren!
• Starke, einzigartige Passwörter mit einem Passwort-Manager verwenden!
• Zwei-Faktor-Authentifizierung (2FA) aktivieren!
• Regelmäßige Datensicherungen durchführen!
• Vertrauenswürdige Anti-Ransomware-Lösungen einsetzen!
• Mitarbeiter für Phishing-Risiken sensibilisieren!

„Ransomware-Angriffe werden intelligenter, schneller und aggressiver. Wer die aktuellen Statistiken und Trends kennt, kann seine Sicherheitsstrategie gezielt stärken und Risiken im Jahr 2026 wirksam reduzieren.“ Prävention, Vorbereitung und Aufmerksamkeit blieben somit die wirksamsten Schutzmechanismen gegen eine sich ständig weiterentwickelnde Bedrohung.

Weitere Informationen zum Thema:

panda
So komplex es auch ist – wir machen es einfach.

Linkedin
Hervé Lambert

panda, 27.01.2026
45 Ransomware Statistics Vital for Security in 2026 / Ransomware statistics for 2026 reveal how widespread attacks have become and why awareness is your first line of defense

datensicherheit.de, 18.02.2026
Dragos’ Cybersecurity Report 2026 zur OT-Bedrohung: Ransomware-Angreifer erhöhen operativen Druck auf industrielle Infrastrukturen und KRITIS / Drei neue Ransomware-Angreifergruppen mit OT-Fokus identifiziert – Zahl der Ransomware-Gruppen mit OT-Reichweite um 49 Prozent zugenommen

datensicherheit.de, 31.12.2025
Ransomware-Angriffe auf Unternehmen: Zwischen den Jahren lauern viele Gefahren / Schlimme Bescherung „Cybercrime“ – die Tage „zwischen den Jahren“ sind für Unternehmen besonders riskant

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 29.08.2025
PromptLock: ESET-Warnung vor erster autonomer KI-Ransomware / ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft diese Ransomware unter dem Namen „Filecoder.PromptLock.A“ ein

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

[datensicherheit.de, 18.02.2026] Die Dragos Inc. hat am 18. Februar 2026 den „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ veröffentlicht. Dieser – nunmehr bereits zum neunten Mal erscheinende – Bericht soll eine umfassendste Analyse aktueller Cyberbedrohungen für industrielle und Kritische Infrastrukturen (KRITIS) bieten. Identifiziert wurden laut Dragos drei neue Angreifergruppen, welche weltweit KRITIS ins Visier nehmen – zudem gehen Angreifer demnach zunehmend von reiner Aufklärung zu gezielten operativen Störungen über. „Insgesamt belegen die Ergebnisse eine zunehmende Professionalisierung der Angreifer: Die Gruppen agieren als arbeitsteilig und entwickeln sich von gezielten Angriffen auf einzelne Geräte hin zu einer systematischen Erfassung ganzer industrieller Steuerungssysteme.“ Der „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ soll einen aktuellen Überblick und eine Analyse der globalen Bedrohungslage mit Schwerpunkt auf OT, relevanten Schwachstellen sowie wichtigen Entwicklungen und Trends in der Branche bieten.

Abbildung: Dragos

Nach aktuellen DRAGOS-Erkenntnissen agieren arbeitsteilige Gruppen und fokussieren zunehmend auf eine systematische Erfassung ganzer industrieller Steuerungssysteme…

Weltweit 3.300 Organisationen von Angriffen auf ihre OT betroffen

Im Jahr 2025 habe „KAMACITE“ systematisch Regelkreise innerhalb US-amerikanischer Infrastrukturen erfasst, während gleichzeitig „ELECTRUM“ dezentrale Energiesysteme in Polen ins Visier genommen und gezielt versucht habe, operative Anlagen zu stören.

• „Dragos identifizierte außerdem drei neue Angreifergruppen, darunter ,SYLVANITE’, die bestehende Zugänge an ,VOLTZITE’ weitergibt, um tiefere OT-Angriffe zu ermöglichen. ,PYROXENE’ richtet sich gegen Ziele in den USA, Westeuropa und dem Nahen Osten und setzte im Juni im Kontext eines regionalen Konfliktes zerstörerische ,Wiper’-Malware gegen Kritische Infrastrukturen ein. ,AZURITE’ weist technische Überschneidungen mit ,Flax Typhoon’ auf und führte anhaltende Operationen in den USA, Europa und im asiatisch-pazifischen Raum durch.“

Die Zahl der Industrieunternehmen angreifenden Ransomware-Gruppen, sei im Vergleich zum Vorjahr um 49 Prozent gestiegen und habe weltweit 3.300 Organisationen getroffen, deren Betrieb teils erheblich gestört worden sei.

OT-Bedrohungslage erreichte 2025 neue Qualität

„Die Bedrohungslage hat 2025 eine neue Qualität erreicht“, kommentiert Robert M. Lee, CEO und Co-Founder von Dragos. Er führt weiter aus: „Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können.“

• Dabei entstünden zunehmend arbeitsteilige Strukturen: Spezialisierte Gruppen schafften systematisch Zugriffswege, welche noch spezialisiertere Akteure für weitergehende Angriffe auf OT-Umgebungen nutzen könnten.

Gleichzeitig verursachten Ransomware-Gruppen zunehmend Betriebsstörungen und mehrtägige Ausfälle, welche eine OT-spezifische Wiederherstellung erforderten. „Dennoch unterschätzen viele Industrieunternehmen weiterhin, wie stark Ransomware in OT-Umgebungen wirkt, da sie die Bedrohung fälschlicherweise als ein reines IT-Problem einordnen“, warnt Lee.

OT-Ransomware-Vorfälle konnten im Durchschnitt innerhalb von fünf Tagen erkannt und eindämmt werden

„Auch auf Verteidigungsseite gab es 2025 spürbare Fortschritte“, berichtet Lee. Unternehmen mit umfassender Transparenz in ihren OT-Umgebungen hätten OT-Ransomware-Vorfälle im Durchschnitt innerhalb von fünf Tagen erkennen und eindämmen können, während der branchenweite Durchschnitt bei 42 Tagen gelegen habe.

• Dies zeige, wie eng die Reife der Erkennungsmechanismen mit dem Erfolg der Reaktion zusammenhänge.

Lee betont indes: „Dennoch bestehen weiterhin erhebliche Lücken! Umfassende Transparenz in OT-Umgebungen ist entscheidend. Ohne kontinuierliche Überwachung werden die Einführung von Technologien wie KI, Batteriespeichersystemen oder dezentralen Energiequellen zu exponentiell größeren Blinden Flecken führen.“

3 neue OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“

Dragos hat folgende drei neuen OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“ – damit verfolgten Dragos-Analysten weltweit insgesamt 26 Gruppen, von denen elf im Jahr 2025 aktiv gewesen seien.

1. „SYLVANITE“ fungiert als „Initial Access Broker“
   Dieser nutze Schwachstellen rasch aus und gebe erlangte Zugänge an „VOLTZITE“ weiter, um weitergehende OT-Angriffe zu ermöglichen. Dragos habe „SYLVANITE“ im Rahmen von Incident-Response-Einsätzen bei US-amerikanischen Energie- und Wasserversorgern beobachtet. Diese Gruppe habe Schwachstellen in „Ivanti“ ausgenutzt und Active-Directory-Anmeldedaten extrahiert. Technische Überschneidungen bestünden mit „UNC5221“, „UNC5174“ und „UNC5291“.
2. „AZURITE“ zielt auf langfristigen Zugriff und den Diebstahl von OT-Daten ab
   Diese Gruppe greife OT-Engineering-Workstations an und exfiltriere Betriebsdaten wie Netzwerkdiagramme, Alarmdaten und Prozessinformationen, um ihre eigenen Fähigkeiten weiterzuentwickeln. Betroffen seien Unternehmen aus den Bereichen Fertigung, Verteidigung, Automobilindustrie, Energie, Öl und Gas sowie staatliche Einrichtungen in den USA, Australien, Europa und im asiatisch-pazifischen Raum. Technische Überschneidungen bestünden mit „Flax Typhoon“.
3. „PYROXENE“ kompromittiere Lieferketten und führe Social-Engineering-Kampagnen durch
   Diese Gruppe nutze häufig einen durch „PARISITE“ erlangten Erstzugang, um von IT- in OT-Netzwerke vorzudringen. Zu ihren Zielen gehörten Unternehmen aus Luft- und Raumfahrt, Verteidigung und Schifffahrt in den USA, Westeuropa, Israel und den Vereinigten Arabischen Emiraten. „PYROXENE“ weise erhebliche technische Überschneidungen mit Aktivitäten auf, welche nach Ansicht der US-Regierung dem „Cyber Electronic Command“ der „Islamischen Revolutionsgarde“ zuzuschreiben seien.

Entwicklung cyberkrimineller Gruppen von OT-Aufklärern zu gezielten operativen OT-Angreifern

„ELECTRUM“ habe 2025 mehrere destruktive Operationen durchgeführt, darunter einen koordinierten Angriff auf acht ukrainische Internetdienstanbieter im Mai sowie den Einsatz neuer Varianten von „Wiper“-Malware.

• Im Dezember 2025 habe „ELECTRUM“ in Polen Kraft-Wärme-Kopplungsanlagen und Steuerungssysteme für erneuerbare Energien angegriffen, um den Betrieb der Anlagen gezielt zu stören. Damit habe diese Gruppe ihre Aktivitäten von der Übertragungsinfrastruktur auf das dezentrale Stromnetz ausgedehnt. Technische Überschneidungen bestünden mit „Sandworm“. Unterstützt werde „ELECTRUM“ von „KAMACITE“. Diese Gruppe habe ihren Schwerpunkt von der Ukraine auf eine europäische Lieferkettenkampagne verlagert und zwischen März und Juli 2025 eine weitreichende Erkundung von US-Industrieanlagen durchgeführt. Dabei habe „KAMACITE“ systematisch vollständige Regelkreise, darunter HMIs (Human Machine Interfaces), Frequenzumrichter, Messmodule und Mobilfunk-Gateways analysiert.

„VOLTZITE“ habe Stufe 2 der ICS-Cyber-Kill-Chain erreicht: „Dragos beobachtete, wie die Gruppe Software auf Engineering-Workstations manipulierte, um Konfigurations- und Alarmdaten zu extrahieren.“ Dabei habe sie gezielt untersucht, unter welchen Bedingungen Prozessabschaltungen ausgelöst würden. „VOLTZITE“ habe zudem „Sierra Wireless AirLink“-Mobilfunkgateways kompromittiert, um Zugang zu Midstream-Pipeline-Betrieben in den USA zu erhalten, und sich anschließend weiter zu Engineering-Workstations bewegt. Technische Überschneidungen bestünden mit „Volt Typhoon“.

„Hacktivisten“: Wandlung von eher symbolischen Aktionen hin zu operativ wirksamen OT-Angriffskampagnen

„BAUXITE“ habe während des Iran-Israel-Konflikts im Juni 2025 zwei speziell entwickelte „Wiper“-Malware-Varianten gegen israelische Ziele eingesetzt und damit frühere Zugriffs- und Störungsaktivitäten zu eindeutig destruktiven Operationen eskaliert.

• „Hacktivistische Gruppen verknüpfen zunehmend ideologische Botschaften mit staatlich unterstützten Aktivitäten und greifen öffentlich zugängliche HMIs, fehlkonfigurierte Engineering-Workstations sowie offen zugängliche Feldprotokolle wie ,Modbus’/TCP und DNP3 an.“

„BAUXITE“ weise technische Überschneidungen mit Aktivitäten auf, welche die US-Regierung „CyberAv3ngers“ und dem „IRGC-CEC“ zuschreibe.

Ransomware bleibt größte OT-Bedrohung der Industrieunternehmen

Dragos habe im Jahr 2025 insgesamt 119 Ransomware-Gruppen – mit Fokus auf Industrieunternehmen – verfolgt, gegenüber 80 im Jahr 2024.

• Weltweit seien 3.300 Organisationen betroffen gewesen – mehr als zwei Drittel davon aus der Fertigungsindustrie. Branchenweit habe die durchschnittliche Verweildauer von Ransomware in OT-Umgebungen bei 42 Tagen gelegen.

Dragos stellte zudem fest, „dass OT-Vorfälle oftmals noch immer fälschlicherweise als reine IT-Vorfälle eingestuft werden, da OT-Systeme wie Engineering-Workstations und HMIs aufgrund ihres ,Windows‘-Betriebssystems der IT zugerechnet werden“.

Häufige Unzuverlässigkeit der Bewertung von OT-Schwachstellen für ICS-Priorisierung

Dragos stellte fest, „dass 25 Prozent der von ICS-CERT und im NVD erfassten Schwachstellen im Jahr 2025 fehlerhafte CVSS-Werte aufwiesen“. Darüber hinaus hätten 26 Prozent der Sicherheitshinweise weder Patches noch konkrete Abhilfemaßnahmen der Hersteller enthalten.

• „Lediglich zwei Prozent der für ICS relevanten Schwachstellen fielen in Dragos‘ risikobasiertem ,Now, Next, Never’-Modell in die Kategorie ,Now’ und erforderten sofortige Maßnahmen.“

Die Untersuchungen von Dragos zu Batterie-Energiespeichersystemen hätten Schwachstellen zur Umgehung der Authentifizierung und zur Befehlsinjektion identifiziert. Mehr als 100 Geräte seien frei über das Internet erreichbar gewesen – darunter zur Einspeisung von Strom in Versorgungsnetze eingesetzte Wechselrichter mit einer Leistung von rund einem Megawatt.

Weitere Informationen zum Thema:

DRAGOS
About Dragos: The Leader in OT Cybersecurity / Our Mission: To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day

DRAGOS
2026 OT Cybersecurity Year in Review: Explore the data from Dragos’s 2026 OT Cybersecurity Report, our 9th Annual Year in Review – the go-to report for industrial control systems (ICS) and operational technology (OT) vulnerabilities, threats targeting industrial environments, and lessons learned from customer engagements worldwide

DRAGOS
Robert M. Lee – CEO & Co-Founder

DRAGOS
Threat Group BAUXITE – Ability to comprimise PLCs, modify ladder logic, and deploy custom backdoors on OT Devices

DRAGOS
Threat Group ELECTRUM – Electric grid disruption and long-term persistence using LOTL tactics and custom ICS Malware

DRAGOS
Threat Group KAMACITE – Spearphishing, exploiting SOHO routers, and leveraging custom capabilities to enable ELECTRUM operations

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz

[datensicherheit.de, 10.02.2026] Am 10. Februar 2026 wird der diesjährige Aktionstag „Safer Internet Day“ (SID) begangen – bei diesem sei es schon immer darum gegangen, eben Menschen im Internet zu schützen. Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, betont in seiner Stellungnahme zum SID 2026, dass in diesem Jahr dessen Mission eine neue Dringlichkeit erhalte, denn Künstliche Intelligenz (KI) sei immer tiefer in die Arbeits-, Lern-, Kommunikations- und Transaktionsprozesse eingebettet. KI sei nun keine Zukunftstechnologie mehr – sie präge bereits jetzt, „wie Entscheidungen getroffen werden aber auch zunehmend, wie Cyberkriminelle vorgehen“. Mit der Einbindung von KI in Browser gehe es bei der Online-Sicherheit nicht mehr nur um das Verhalten der Nutzer, „sondern darum, wie intelligent und verantwortungsbewusst KI selbst entwickelt, gesteuert und abgesichert wird“.

Foto: Check Point

Lothar Geuenich: „KI entwickelt sich rasch zu einem Co-Piloten für unser Lernen, Arbeiten und unsere Online-Kommunikation – doch Vertrauen in Technologie muss verdient und kann nicht vorausgesetzt werden. Der ,Safer Internet Day’ erinnert uns daran, dass kluge Technologieentscheidungen in Verbindung mit präventiven, KI-gestützten Sicherheitsmaßnahmen und einer soliden digitalen Kompetenz unerlässlich sind, um das Internet in einer KI-gesteuerten Welt sicher, widerstandsfähig und vertrauenswürdig zu halten.“

KI integraler Bestandteil des alltäglichen Online-Lebens

Von Schreibhilfen und Bildgenerierung bis hin zu Empfehlungsmaschinen und Chatbots sei KI heute in fast jeder digitalen Interaktion präsent: „KI ist zum Co-Piloten des täglichen digitalen Lebens geworden und beeinflusst im Hintergrund Entscheidungen, Inhalte und Vertrauenssignale.“

• Den Zahlen der Sicherheitsforscher von Check Point Research vom Dezember 2025 zufolge habe jede 27. KI-Eingabe aus Unternehmensnetzwerken ein hohes Risiko des Verlustes sensibler Daten dargestellt.

91 Prozent der KI-Tools verwendenden Unternehmen seien von Eingaben mit hohem Risiko betroffen gewesen. „Weitere 25 Prozent der Eingaben enthielten potenziell sensible Informationen, was verdeutlicht, wie leicht Nutzer bei der Interaktion mit KI-Tools zu viele Daten preisgeben können.“

Sichere KI-Nutzung erfordert vor allem Digital-Kompetenz

Geuenich hebt hervor: „Diese Ergebnisse untermauern eine Kernbotschaft: KI muss wie jedes andere kritische System gesichert werden – denn sie verarbeitet mittlerweile direkt sensible Daten und trifft Entscheidungen!“

• Diese Risiken seien indes nicht auf Unternehmen beschränkt. „Wenn Schüler, Familien oder Einzelpersonen KI-Tools für Hausaufgaben, Ratschläge oder die Erstellung von Inhalten nutzen, können dieselben Verhaltensweisen – das Kopieren und Einfügen persönlicher Informationen, das Hochladen von Bildern oder das Vertrauen in Ergebnisse ohne Überprüfung – sie Risiken in Bezug auf Datenschutz, Fehlinformationen oder Manipulation aussetzen.“

Die sichere Nutzung von KI beginne daher mit Digital-Kompetenz und nicht mit Einschränkungen.

KI gestaltet Cyberbedrohungs-Szenarien

Cyberkriminalität habe sich schon immer parallel zur Technologie weiterentwickelt, aber KI beschleunige diese Entwicklung in beispiellosem Tempo. Laut dem „Cyber Security Report 2026“ kombinierten Angreifer nun KI, Identitätsmissbrauch, Ransomware und „Social Engineering“ zu koordinierten, mehrstufigen Kampagnen, die schneller seien als herkömmliche Abwehrmaßnahmen.

• „Diese Angriffe passen sich zunehmend in Echtzeit an, lernen aus fehlgeschlagenen Versuchen und verfeinern automatisch ihre Techniken – ähnlich wie defensive KI funktioniert“, berichtet Geuenich.

Weltweit seien Unternehmen im Jahr 2025 durchschnittlich 1.968 Cyberangriffen pro Woche ausgesetzt gewesen, was einem Anstieg von 18 Prozent gegenüber dem Vorjahr und einem Anstieg von 70 Prozent seit 2023 entspreche. „In Deutschland zielten pro Woche 1.223 Angriffe auf Unternehmen was einen Anstieg von 14 Prozent im Vergleich zu Vorjahr bedeutet.“ Diese Angriffe seien keine Einzelfälle mehr – sie seien darüber hinaus hartnäckig, automatisiert und zunehmend personalisiert. Genau wegen dieses Ausmaßes könnten rein menschliche Sicherheitsmodelle nicht mehr mithalten.

Drei KI-Trends von besonderer Relevanz – am SID 2026 und darüber hinaus:

1. KI-gestütztes Social Engineering
   KI mache Phishing und Betrug überzeugender und skalierbarer. Angreifer könnten nun mehrsprachige, kulturell angepasste Nachrichten generieren, welche vertrauenswürdige Stimmen, Institutionen oder sogar Familienmitglieder imitierten. Der „Cyber Security Report 2026“ von Check Point zeige, dass E-Mails nach wie vor der wichtigste Übertragungsweg für schädliche Inhalte seien und 82 Prozent der Übertragung schädlicher Dateien ausmachten. „Die Zahlen zeigen aber auch, dass webbasierte und Multi-Channel-Angriffe rapide zunehmen. Dies verstärkt die Notwendigkeit einer KI-gesteuerten Bedrohungsprävention, die nicht nur bekannte Signaturen, sondern auch Absichten und Verhaltensweisen erkennen kann“, kommentiert Geuenich.
2. Ransomware in großem Maßstab
   Laut den Cyberstatistiken seien allein im Dezember 2025 945 Ransomware-Angriffe öffentlich gemeldet worden, was einem Anstieg von 60 Prozent gegenüber Dezember 2024 entspreche. Ransomware-Gruppen würden immer fragmentierter, automatisierter sowie aggressiver agieren und kombinierten häufig Datendiebstahl mit Erpressung und öffentlichem Druck. KI werde nun eingesetzt, um Targeting-, Aufklärungs- und Erpressungstaktiken zu beschleunigen.
3. Unkontrollierte KI-Nutzung als Risikomultiplikator
   „KI-Systeme selbst werden zunehmend zum Ziel“, warnt Geuenich. Eine von Check Point durchgeführte Untersuchung von rund 10.000 „Model Context Protocol“-Servern, habe ergeben, dass 40 Prozent davon Sicherheitslücken aufwiesen – „was zeigt, dass die KI-Infrastruktur mittlerweile Teil der Angriffsfläche ist“. Die Sicherung von KI-Pipelines, Modellen und Datenflüssen sei mittlerweile genauso wichtig wie die Sicherung von Endpunkten oder Netzwerken.

Anregungen für ein neues Rahmenwerk zur KI-flankierten Online-Sicherheit

Um sich in dieser Umgebung zurechtzufinden, benötigten Nutzer neue Gewohnheiten – eben solche, welche „KI als leistungsstarkes Werkzeug, aber nicht als unfehlbare Autorität anerkennen“. Nutzer sollten laut Geuenich:

• Nicht nur die Quelle, sondern auch das Ergebnis hinterfragen!
  KI-Antworten könnten selbst dann autoritär klingen, wenn sie falsch sind. Benutzer sollten dazu angehalten werden, zu fragen, „ob die Informationen aus einer anderen vertrauenswürdigen Quelle überprüfbar sind oder ob die KI Dringlichkeit, Angst oder Geheimhaltung suggeriert“.
• Persönliche und sensible Daten schützen!
  Laut den Cyberstatistiken vom Dezember 2025 verwendeten Mitarbeiter durchschnittlich elf verschiedene GenAI-Tools und generierten 56 KI-Eingabeaufforderungen pro Benutzer und Monat, was das Risiko einer versehentlichen Datenpreisgabe erhöhe. „KI-Sicherheit beginnt mit der Minimierung unnötiger Datenweitergabe!“

• Beachten, dass Inhalte synthetisch sein können!
  Von Bildern bis hin zu Stimmen könnten digitale Inhalte heute leicht gefälscht werden. „Daher sollten Nutzer alles, was Geld, Zugangsdaten oder sofortiges Handeln erfordert, mit Vorsicht behandeln, auch wenn es realistisch erscheint!“ Die Überprüfung von Informationen sei heute eine wichtige Internet-Kompetenz.

Wirksame KI-Sicherheit: Bringschuld der Organisationen und Web-Plattformen

Beim „Safer Internet Day“ gehe es nicht nur um die Verantwortung des Einzelnen. Plattformen, Schulen und Organisationen müssten Sicherheit von Anfang an in KI-Systeme integrieren. Geuenich fordert: „Sicherheit muss in die Entwicklung, Bereitstellung und Nutzung von KI eingebettet sein – und nicht nachträglich hinzugefügt werden!“

• Die „Cybersicherheitsstudie 2026“ von Check Point zeige, dass 90 Prozent der Organisationen innerhalb von drei Monaten mit riskanten KI-Aufforderungen konfrontiert gewesen seien – „was darauf hindeutet, dass ,Governance’ und Kontrollen hinter der Einführung zurückbleiben“.

Eine wirksame KI-Sicherheit erfordere nicht nur klare Richtlinien für die Nutzung von KI und eine konsequente Überwachung auf Datenlecks, sondern auch Aufklärung, „die mit den sich entwickelnden Bedrohungen Schritt hält“. Geuenichs Fazit: „Letztendlich muss sich die Sicherheit von reaktiven ,Tools‘ zu KI-gestützten, ,cloud’-basierten Plattformen entwickeln, die Schäden mit der Geschwindigkeit einer Maschine verhindern!“

Weitere Informationen zum Thema:

CHECK POINT
About Us / Check Point Software Technologies is a global leader in cyber security solutions, dedicated to protecting corporate enterprises and governments worldwide

connect professional, Michaela Wurm, 16.11.2020
Ex-Cisco-Manager / Neuer DACH-Chef bei Check Point: Check Point beruft Lothar Geuenich zum neuen Regional Director Central Europe/DACH. Er soll die Marktposition des IT-Security-Unternehmens in der wichtigen Region stärken und das Wachstum beschleunigen.

CHECK POINT, Check Point Research, 28.01.2026
The Trends Defining Cyber Security in 2026: Cyber Security Report 2026

CHECK POINT, Check Point Research, 13.01.2026
Latin America Sees Sharpest Rise in Cyber Attacks in December 2025 as Ransomware Activity Accelerates

Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit
Safer Internet Day 10.02.2026

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Gut 50.000 Jugendliche werden Umgang mit KI-Begleitern am 10. Februar 2026 diskutieren / Der diesjährige „Safer Internet Day“ stößt offenbar in ganz Deutschland auf große Resonanz: Mehr als 1.000 Schulen, Vereine, Bibliotheken, Unternehmen und Initiativen möchten sich mit eigenen Aktionen und Veranstaltungen engagieren

datensicherheit.de, 07.02.2026
Safer Internet Day 2026: Digitale Achtsamkeit und Skepsis angesichts der KI-Dominanz geboten / Das diesjährige Thema „Intelligente Technologie, sichere Entscheidungen – Erkundung der sicheren und verantwortungsvollen Nutzung von KI” unterstreicht die dringende Notwendigkeit neuer digitaler Kompetenzen bei Menschen jeden Alters

datensicherheit.de, 29.01.2026
Am Safer Internet Day 2026 DsiN-Talk zu Medienkompetenzen in der Schule / Deutschland sicher im Netz e.V. (DsiN) lädt zu einer Hybridveranstaltung am 10. Februar 2026 ein

[datensicherheit.de, 04.02.2026] Der Vortrag „Cybercrime: Zusammenarbeit von Ermittlern und Staatsanwaltschaft“ am ersten Kongresstag der „IT-DEFENSE 2026“ in Würzburg war einem praxisnahen Einblick in die aktuelle Entwicklung der organisierten Cyberkriminalität aus Sicht der Justiz und der kriminalpolizeilichen Strafverfolgung gewidmet.

Foto: Dirk Pinnow

Mirko Heim (l.) und Daniel Lorch (r.): Gemeinsam Prävention stärken und Cybercrime verdrängen…

Cybercrime-Zurückdrängung bedarf auch der Mitwirkung potenzieller Opfer

Als Ausgangspunkt für die beiden Referenten, Daniel Lorch, Ermittlungsleiter „Cybercrime“ bei der Kriminalpolizeidirektion Esslingen (Polizeipräsidium Reutlingen), und Mirko Heim, Oberstaatsanwalt bei der Generalstaatsanwaltschaft Karlsruhe (CZZ BW), diente eine nachträgliche Analyse zu dem Crime-as-a-Service-Verfahren „Dawnbreaker“ im Kontext der Ransomware-as-a-Service-Gruppierung „Hive“.

• Erörtert wurde, welche operativen und strategischen Lehren gezogen wurden, welche Ermittlungsansätze sich bewährt haben und wie sich sowohl Täterstrukturen als auch Strafverfolger nach internationalen Zerschlagungsmaßnahmen weiterentwickeln. Darauf aufbauend wurden laufende Ermittlungs- und Analyseansätze beleuchtet – von der Auswertung krimineller „Ökosysteme“ über internationale Kooperationen bis hin zu aktuellen Herausforderungen bei Attribution, Beweisführung und Vermögensabschöpfung.

Lorch riet Unternehmen, dass sie sich bei ihrem regionalen Landeskriminalamt (LKA) – Zentrale Ansprechstelle für Cybercrime in der Wirtschaft (ZAC) – melden und einen Ansprechpartner mit Kontaktdaten benennen sollten, welcher im Falle der Kenntnis eines bevorstehenden Cyberangriffs kurzfristig von den Behörden vorgewarnt werden könnte. Diese Benachrichtigung gestalte sich noch zu oft schwerfällig – so komme es durchaus vor, dass etwa bei gescheiterter telefonischer Benachrichtigung ein Funkwagen ans Werkstor entsendet werde, um den Ernst der Lage zu verdeutlichen.

Cybercrime-Akteure als Taktgeber durch konzertierte Prävention entthronen

Bislang gaben Cyberkriminelle das Tempo vor – Ermittler und vor allem Strafverfolger wurden erst dann aktiv, wenn bereits ein Cyberverbrechen begangen worden war. Mit Einrichtung von Baden-Württembergs „Cybercrime-Zentrum“ (CZZ BW) erfolgte demnach ein Paradigmenwechsel – es gelte, der Cyberkriminalität den Kampf anzusagen und auf Prävention zu setzen.

• Heim führte anhand einiger verstörender Beispiele auf, warum Cyberkriminalität – vor allem in Form von Sexualdelikten zum Nachteil von Minderjährigen des möglichst frühen Eingreifens bedarf: So erteilen etwa Cyberkriminelle perverse Anleitungen zur Misshandlung von Kindern in Fernost, welche online übertragen bzw. aufgezeichnet werden, oder aber Minderjährige werden verleitet, sich zu entblößen oder gar sich selbst zu verletzen. „Es gibt nichts, was es nicht gibt“, so Heim.

Aber auch Wirtschaftskriminalität im Cyberraum sollte nicht unterschätzt werden: Lorch führte aus, dass sich die Einschätzung der Entscheiderebene in Unternehmen häufig in zwei Phasen einteilen lässt: Mit Cybersecurity werde kein Stück mehr als zuvor verkauft – aber ohne Cybersecurity werde ggf. überhaupt kein Stück mehr verkauft… So seien dann betroffene Unternehmen quasi mit einem unfreiwilligen „Wartungsfenster“ im Schadensfall betroffen. Zwar seien die meisten Betriebe heute auf Notfälle eingerichtet, aber die Wiederanlaufzeit werde noch zu häufig unterschätzt (er nannte als ein Beispiel aus der Praxis eine Dauer von über 1.000 Tagen).

„Cybercrime-as-a-Service“: Arbeitsteilung im cyberkriminellen Milieu

Abschließend wurde der Blick nach vorn gerichtet: „Wohin entwickelt sich die Organisierte Cyberkriminalität, welche Trends sind bereits heute erkennbar und welche Anpassungen sind aufseiten von Wirtschaft, Polizei und Justiz erforderlich?“

• Ein Trend sei heute „Cybercrime-as-a-Service“ (CaaS): Es finde eine Arbeitsteilung im cyberkriminellen Milieu statt – über Hard- und Software-Schwachstellen, welche ja „24/7“ am Perimeter Angreifer anlockten – übernehme ein „Initial Service Broker“ quasi Türöffnerfunktion für Folgeangriffe. Inspiration für Angriffsflächen holten sich diese etwa über die Suchmaschine „Shodan“. Lorch unterstrich, dass man nicht den gesamten Betrieb rundum komplett absichern könnte und empfahl eine Fokussierung auf die „Kronjuwelen“ eines Unternehmens im Sinne von IT-Assets, welche so gezielt zu schützen seien, dass es Angreifern möglichst schwer gemacht werde.

Heim führte abschließend aus, dass bei der Ermittlung gegen Ransomware-Akteure, die sich zumeist im Ausland aufhielten, der Leitspruch „Follow the Money!“ richtungsweisend und zielführend sein könne. Geduld sei vonnöten. Beide Sprecher unterstrichen, dass es ein Mindestziel der gemeinsamen Prävention sein müsse, mittels hohem Verfolgungsdruck Cybercrime möglichst aus Deutschland zu verdrängen. Indes: Ermittlungen in ihrem Metier seien „kein Harmonieprojekt“.

Weitere Informationen zum Thema:

IT-DEFENSE 2026
Daniel Lorch

IT-DEFENSE 2026
Mirko Heim

Baden-Württemberg, 03.01.2024
Cybersicherheit: Cybercrime-Zentrum nimmt Arbeit auf

Baden-Württemberg, 26.01.2023
Cyberkriminalität: Schlag gegen organisierte Cyberkriminalität

WIKIPEDIA
Shodan (Suchmaschine)

datensicherheit.de, 04.02.2026
IT-DEFENSE: Ausgebuchte 20. Auflage in Würzburg gestartet / 2003 wurde das Kongressformat der „IT-DEFENSE“ mit der Überzeugung gestartet, frei von Sponsoring und Werbung hochkarätige Fachbeiträge anzubieten

datensicherheit.de, 30.01.2023
Nach Erfolg gegen Hive: Ransomware-Gruppen unter Druck / Ransomware-Bedrohung unterstreicht dennoch Priorität in Fragen der Visibilität

datensicherheit.de, 30.01.2023
Hive: Zerschlagung des-Hacker-Netzwerks erheblicher Rückschlag für gefährliche kriminelle Organisation / Früherer FBI Cyber Special Agent Adam Marrè, heute CISO bei Arctic Wolf, kommentiert den Hive-Fall

datensicherheit.de, 27.01.2023
Hive: Ransomware-Gang vom FBI und deutschen Sicherheitsbehörden aus dem Spiel genommen / Eine der aktivsten Ransomware-Bande namens Hive heimlich gehackt und zerschlagen

[datensicherheit.de, 16.01.2026] Das Bundeskriminalamt (BKA) meldet, dass es zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – sowie mit Strafverfolgungsbehörden aus den Niederlanden, der Schweiz, der Ukraine und Großbritannien gegen Akteure der Ransomware-Gruppierung „Black Basta“ vorgegangen ist. In diesem Zusammenhang seien Wohnräume von zwei Beschuldigten in der Ukraine durchsucht und Beweismittel gesichert worden. Gegen den mutmaßlichen Kopf dieser Ransomware-Gruppierung wird durch ZIT und BKA öffentlich mit Haftbefehl gefahndet.

„Black Basta“-Erpressung von mehr als 100 Unternehmen bzw. Institutionen in Deutschland

Bei „Black Basta“ handele es sich um eine der aktivsten Ransomware-Gruppierungen der letzten Jahre. Zu ihrem Zielspektrum gehörten überwiegend Unternehmen westlicher Industrienationen. Unter Einsatz der gleichnamigen Schadsoftware und weiterer Malware habe „Black Basta“ Computernetzwerke kompromittiert, sensible Daten gestohlen, die Systeme verschlüsselt und Lösegelder für deren Entschlüsselung erpresst.

• „Im Zeitraum von März 2022 bis Februar 2025 war die Gruppierung für die Erpressung von mehr als 100 Unternehmen und Institutionen im Bundesgebiet sowie ca. 600 weiteren geschädigten Organisationen weltweit verantwortlich.“

Durch ihre illegalen Aktivitäten habe sie Geldbeträge im dreistelligen Millionenbereich erlangt – davon alleine in Deutschland mehr als 20 Millionen Euro. Zu den Opfern zählten überwiegend Unternehmen, aber auch Krankenhäuser, öffentliche Einrichtungen und Behörden.

Gewerbs- und bandenmäßige Erpressung sowie Computersabotage durch „Black Basta“

Gegen die beschuldigten Akteure der Ransomware-Gruppierung „Black Basta“ besteht laut BKA u.a. der Verdacht der „Bildung einer kriminellen Vereinigung“ sowie der „gewerbs- und bandenmäßigen Erpressung und Computersabotage“.

• Die Durchsuchungen in der Ukraine hätten sich gegen mutmaßliche Mitglieder der Ransomware-Gruppierung mit ukrainischer Staatsangehörigkeit gerichtet, denen sogenanntes Hash-Cracking vorgeworfen werde. „Hash-Cracking“ bezeichnet den Prozess, bei dem ein gesuchtes Passwort durch systematisches Berechnen eines erbeuteten Hash-Wertes bestimmt wird. Über die so erlangten Zugangsdaten könnten sich Angreifer über Account- und Systemgrenzen hinweg im Netzwerk des Opfers ausbreiten. Ziel dabei sei, Zugänge zu möglichst vielen relevanten Systemen und sensiblen Daten zu erhalten, um darauf die Ransomware ausführen zu können.

Die Maßnahmen gegen diese Beschuldigten seien von der ukrainischen Cyberpolizei, Teil der Nationalpolizei der Ukraine und der ukrainische Generalstaatsanwaltschaft (Office of the Prosecut-or General of Ukraine) in den ukrainischen Verwaltungsregionen Iwano-Frankiwsk und Lwiw umgesetzt worden. Dabei seien die Wohnräume der Beschuldigten durchsucht und Beweismittel gesichert worden.

ZIT und BKA sowie EUROPOL und INTERPOL fahnden nach „Black Basta“-Gründer

Im Zuge der Ermittlungen sei auch der mutmaßliche Rädelsführer dieser Tätergruppierung identifiziert worden: „Gegen diesen, einen russischen Staatsbürger, haben ZIT und BKA einen Haftbefehl erwirkt. Ihm wird vorgeworfen, die Gruppierung ,Black Basta’ gegründet und geleitet zu haben.“

• Zuvor sei er mutmaßlich bereits als Geschäftspartner der Ransomware-Gruppierung „Conti“ tätig gewesen.

ZIT und BKA fahnden öffentlich auch mit Unterstützung von EUROPOL und INTERPOL. Lichtbilder und Beschreibungen zu der gesuchten Person können online auf der betreffenden BKA-Webseite abgerufen werden. Die internationalen Fahndungen von EUROPOL und INTERPOL sind ebenfalls online abrufbar.

Fortsetzung einer andauernden Kooperation bei Ermittlungen gegen „Black Basta“

Bei den aktuellen Maßnahmen der deutschen und ukrainischen Behörden handele es sich um die Fortsetzung einer andauernden Kooperation. Bereits Ende August 2025 hätten ukrainische Beamte auf Ersuchen von ZIT und BKA die Wohnräume eines weiteren Mitglieds der Gruppierung in der Nähe von Charkiw durchsucht, Beweismittel gesichert und den Beschuldigten zum Tatvorwurf vernommen.

• Dieser stehe im Verdacht, als sogenannter Crypter dafür gesorgt zu haben, dass die eingesetzte Schadsoftware von Antiviren-Programmen nicht als solche erkannt worden sei.

Den Maßnahmen vorangegangen waren demnach gemeinsame, international koordinierte Ermittlungen der ZIT, des BKA, des Schweizer Bundesamts für Polizei (fedpol), der Schweizer Bundesanwaltschaft (BA), der niederländischen „National High Tech Crime Unit“ (NHTCU) und der britischen „South East Regional Organised Crime Unit“ (SEROCU) sowie eigenständige Ermittlungen der ukrainischen Nationalpolizei in Kiew und Charkiw und der ukrainischen Generalstaatsanwaltschaft.

Weitere Informationen zum Thema:

Bundeskriminalamt
Der gesetzliche Auftrag / Wie bei jeder Behörde ergeben sich Zuständigkeiten und Befugnisse des Bundeskriminalamtes aus gesetzlichen Regelungen. Der Auftrag des BKA ist im Grundgesetz und im Gesetz über das Bundeskriminalamt beschrieben.

Bundeskriminalamt
Erpressung im besonders schweren Fall, Bildung/Rädelsführerschaft einer kriminellen Vereinigung und weitere Straftaten

Staatsanwaltschaften Hessen
GStA / Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT)

EUROPOL
Governance & Accountability / Like any EU agency, Europol functions according to a system of controls, checks and balances

EU MOST WANTED
Europe’s most wanted fugitives

INTERPOL
What is INTERPOL?

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

datensicherheit.de, 23.08.2024
Neuer WithSecure-Report zeigt: Jüngste Schläge gegen Ransomware-Gruppen hatten Wirkung / „Produktivität“ der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht weiter angestiegen

datensicherheit.de, 25.11.2023
Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe / Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 31.12.2025] Die Tage rund um Weihnachten und den Jahreswechsel gelten für Cyberkriminellen offenbar als besonders attraktive Zeiträume für Cyberangriffe auf Unternehmen. Vor allem mittelständische Unternehmen geraten dann verstärkt ins Visier Cyberkrimineller. Laut einer aktuellen Stellungnahme von Sophos lässt sich allerdings mit wenigen, gezielten Maßnahmen das Risiko deutlich senken:

Abbildung: Sophos

Dieser Report basiert laut Sophos auf den Ergebnissen einer unabhängigen Befragung von 3.400 IT-/Cybersecurity-Entscheidern, deren Unternehmen im letzten Jahr von Ransomware betroffen waren, darunter 300 aus Deutschland

Bevorzugt mittelständische Unternehmen zum Jahresende verstärkt im Visier Cyberkrimineller

Vor allem mittelständische Unternehmen geraten zum Jahresende verstärkt ins Visier Cyberkrimineller. Besonders betroffen sind demnach Handel, Logistik, Hotellerie und Gastronomie sowie Produktionsbetriebe. Mit wenigen, gezielten Maßnahmen lasse sich das Risiko jedoch deutlich senken.

• Analysen von Sophos sowie übereinstimmende Beobachtungen weiterer Sicherheitsanbieter und spezialisierter Notfallteams zeigten seit Jahren ein wiederkehrendes Muster:

Vor allem Ransomware-Angriffe – bei denen Daten verschlüsselt und Unternehmen erpresst werden – starteten bevorzugt außerhalb der regulären Arbeitszeiten, also in den späten Abendstunden, an Wochenenden und an Feiertagen.

Umfeld von Feiertagen als strategisches Zeitfenster für Attacken auf Unternehmen

Der Grund hierfür sei einfach und aus Sicht der Cyberkriminellen strategisch sinnvoll: Viele Unternehmen arbeiteten in dieser Zeit im Minimalbetrieb. IT- und Sicherheitsteams seien ausgedünnt, Entscheidungswege länger, Warnmeldungen würden später erkannt oder verzögert bearbeitet.

• Genau dieses Zeitfenster nutzten professionelle Angreifer gezielt aus. Hoher operativer Druck erhöhe dann nämlich den Erpressungshebel.

Besonders betroffen seien Branchen mit hohem Zeitdruck und großer Abhängigkeit von stabilen IT-Systemen. Hierzu zählten Handel und E-Commerce, Logistik, Hotellerie und Gastronomie sowie die produzierende Industrie – Branchen, die stark von reibungslos funktionierenden, oft digital gesteuerten Liefer- und Wertschöpfungsketten abhingen.

Cyberangriffe bewusst außerhalb der Kernzeiten der Unternehmen

Auch Finanzdienstleister im Mittelstand und Einrichtungen im Gesundheitswesen gerieten regelmäßig ins Visier Cyberkrimineller. In diesen Bereichen führten Systemausfälle schnell zu Lieferverzögerungen, Umsatzeinbußen oder Reputationsschäden und erhöhten somit beispielsweise den Druck, im Ernstfall auf Erpressungsforderungen einzugehen.

• Aus aktuellen Auswertungen von Sophos – unter anderem aus „Managed Detection and Response“ (MDR) sowie aus realen „Incident Response“-Einsätzen – ergebe sich ein klares Bild: „Ein erheblicher Teil erfolgreicher Ransomware-Angriffe wird gezielt außerhalb regulärer Arbeitszeiten ausgerollt.“

Diese Beobachtungen deckten sich mit den Ergebnissen des aktuellen „Sophos State of Ransomware Report“, welche jährlich die Erfahrungen von rund 5.000 Unternehmen weltweit auswerte.

Unternehmen des Mittelstands besonders herausgefordert

Feiertage und verlängerte Wochenenden seien dabei eben kein Zufall, sondern fester Bestandteil der Angriffsplanung. Sophos warnt daher regelmäßig davor, die Zeit zwischen Weihnachten und Neujahr sicherheitstechnisch als „ruhige Phase“ zu betrachten.

• „Im Gegenteil: Gerade dann sind eine verlässliche Überwachung, klar geregelte Zuständigkeiten und schnelle Entscheidungswege entscheidend!“ Viele mittelständische Unternehmen verfügten nicht über dauerhaft besetzte Sicherheitszentralen, sogenannte Security Operations Center (SOC) – also Teams, die IT-Systeme rund um die Uhr überwachen und bei Auffälligkeiten sofort eingreifen.

Auch klar definierte Abläufe für den Ernstfall, etwa bei einem Cyberangriff (Incident Response), seien oft weniger formalisiert als in großen Konzernen. Zwischen Weihnachten und Neujahr werde das IT-Personal zudem häufig weiter reduziert, so dass Vorfälle nicht immer sofort bearbeitet würden und Entscheidungen unter Zeitdruck getroffen werden müssten.

Saisonale Betrugsversuche verschärfen Bedrohungslage für Unternehmen

Erschwerend kämen saisonale Betrugsversuche hinzu: „Dazu zählen Phishing-Mails mit angeblichen Paketbenachrichtigungen, Informationen zu Bonuszahlungen, Weihnachtsaktionen oder Reiseunterlagen.“

• Diese Nachrichten seien oft täuschend echt gestaltet und spielten gezielt mit Zeitdruck, Gewohnheit und emotionaler Ansprache. Gerade in arbeitsreichen oder unruhigen Phasen steige so die Gefahr, dass Mitarbeiter auf solche E-Mails reagierten – und ungewollt Angreifern „Tür und Tor“ öffneten.

Laut SOPHOS können sich Unternehmen aber darauf vorbereiten – mit überschaubarem Aufwand lasse sich das Risiko für die Feiertage bzw. die Zeit „zwischen den Jahren“ deutlich reduzieren:

SOPHOS-Tipps für Unternehmen zur Vorbereitung auf drohende Cyberangriffe

• Klare Erreichbarkeit und Entscheidungswege sicherstellen!
  Für die Zeit vom 24. Dezember bis zum 6. Januar sollten verbindliche Rufbereitschaften definiert sein – inklusive Stellvertretungen, klarer Eskalationsstufen und aktueller Kontaktlisten.
  Dies gelte nicht nur intern, sondern auch für externe IT-Dienstleister, Versicherer und spezialisierte Notfallpartner.
• Technische Basis absichern, bevor der Betrieb runterfährt!
  Vor den Feiertagen sollten sicherheitsrelevante Updates eingespielt, unnötige Fernzugänge deaktiviert und Mehrfaktor-Authentifizierung für administrative sowie externe Zugriffe konsequent genutzt werden.
  Backups sollten nicht nur vorhanden, sondern auch getestet sein – also tatsächlich wiederhergestellt werden können. Wichtig sei zudem, dass Warnmeldungen aus der IT-Sicherheit zuverlässig an die Feiertags-Rufbereitschaft weitergeleitet würden.
• Mitarbeiter gezielt sensibilisieren!
  Eine kurze, prägnante Information kurz vor den Feiertagen zu typischen saisonalen Phishing-Maschen reiche oft aus, um die Aufmerksamkeit zu schärfen.
  Entscheidend sei dabei, den Meldeweg für verdächtige E-Mails klar und niedrigschwellig zu kommunizieren.
• Krisenfall einmal durchspielen!
  Eine kurze „Tabletop-Exercise“ – etwa die Frage „Was tun wir bei einem Ransomware-Angriff am 27. Dezember?“ – könne helfen, Rollen, Zuständigkeiten und Kommunikationswege zu klären.
  Bereits eine Stunde mit „Geschäftsführung“, „IT“ und „Kommunikation“ könne im Ernstfall wertvolle Zeit sparen.

Unternehmen sollten sich eben ganz gezielt auf die Zeit „zwischen den Jahren“ vorbereiten

„Cyberkriminelle planen Feiertage fest ein, und Unternehmen sollten das ebenfalls tun. Gerade zwischen Weihnachten und Neujahr entscheidet sich oft, ob ein Sicherheitsvorfall schnell gestoppt wird oder sich zu einem ernsthaften Krisenfall entwickelt“, erläutert Michael Veit, Cybersecurity-Experte bei Sophos.

• Er unterstreicht: „Klare Zuständigkeiten, verlässliche Überwachung und getestete Notfallpläne nehmen Angreifern genau den Vorteil, auf den sie spekulieren.“

Zudem sollten Unternehmen für eine langfristige Sicherheitsstrategie auch überlegen, externe Cybersecurity-Experten „an Bord“ zu holen. „Diese ,Managed Security Services’ sind sehr individuell applizierbar und sorgen für professionellen Schutz rund um die Uhr an 365 Tagen im Jahr“, so Veit abschließend.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS
Ransomware-Report 2025 / Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff?

SOPHOS, Juni 2025
RANSOMWARE-REPORT 2025: DEUTSCHLAND / Ergebnisse einer unabhängigen Befragung von 300 deutschen Unternehmen*, die im vergangenen Jahr von Ransomware betroffen waren.

heise business service
Experten: Michael Veit – Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

[datensicherheit.de, 04.10.2025] „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos, in seiner aktuellen Stellungnahme und verweist auf die nun vorliegende „Dragos Industrial Ransomware Analysis Q2 2025“ – demnach wurden im zweiten Quartal 2025 weltweit 657 Angriffe auf Industrieunternehmen registriert. Damit liege diese Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa habe sich jedoch das Gegenteil gezeigt: „Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg.“ Besonders stark betroffen seien Deutschland, Großbritannien und Italien. „Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden!“, warnt Alamri.

Foto: Dragos

Abdulrahman H. Alamri rät Unternehmen, sich bei ihren Verteidigungsstrategien an den „5 kritischen Maßnahmen“ des SANS Institute zu orientieren

Ransomware nimmt Kernbranchen der Industrie ins Visier

Die 173 Angriffe auf europäische Industrieunternehmen machten rund 26 Prozent aller weltweiten Ransomware-Vorfälle im zweiten Quartal 2025 aus. „Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen.“

• Die Bauindustrie habe weltweit 110 Angriffe verzeichnet, im Maschinen- und Anlagenbau seien 63 Fälle dokumentiert worden. In der Automobilindustrie seien es 38 Angriffe gewesen, in der Chemie 20. Insgesamt sei das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier geraten – „und stand damit für 65 Prozent aller dokumentierten Fälle“.

Zusätzlich seien 77 Angriffe auf Transport- und Logistikunternehmen gezählt worden. Im Bereich Industrielle Steuerungssysteme und „Engineering“hätten die Analysten 75 Attacken registriert – „mehr als doppelt so viele wie im ersten Quartal“. Besonders dieser Anstieg betreffe zahlreiche, in diesem Sektor international führende deutsche Unternehmen.

„Qilin“ als aktivste Gruppe der Ransomware-Unterwelt

„Im zweiten Quartal 2025 entwickelte sich ,Qilin’ zur aktivsten Ransomware-Gruppe im Industriesektor“, berichtet Alamri. Die Angreifer hätten 101 dokumentierte Attacken verübt und seien damit für rund 15 Prozent der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal 2025 habe die Zahl noch bei 21 gelegen. „Qilin“ habe sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie „LockBit“ und „RansomHub“ positioniert.

• Diese Gruppe betreibe eine Ransomware-as-a-Service-Plattform, über die sie erfahrene „Affiliates“ rekrutiere und unterstütze. „Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen.“

Auch technisch hebe sich „Qilin“ deutlich ab: „Die Gruppe nutzt automatisierte ,Tools’, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa ,CVE-2024-21762‘ und ,CVE-2024-55591‘.“ Darüber gelinge rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermögliche. „Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko!“

Ransomware-Bedrohungslage verschärft sich weiter

Alamri führt aus: „Im März 2025 wurde ,Qilin’ operativ von der nordkoreanischen, staatlich unterstützten Hacker-Gruppe ,Moonstone Sleet’ übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund.“ Deren Aktivitäten zeigten zunehmend geopolitische Ausrichtung und zielten verstärkt auf Kritische Infrastrukturen (KRITIS).

• Die Zahl der Ransomware-Angriffe in Europa nehme weiter zu und Deutschland sei als industrialisiertes Land besonders häufig betroffen. „Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und Industrielle Steuerungssysteme.“ Mit „Qilin“ habe sich zudem eine Ransomware-Gruppe etabliert, welche sowohl technisch als auch organisatorisch neue Maßstäbe setze.

Angesichts dieser Entwicklung reiche es nicht aus, sich auf etablierte Standards zu verlassen. Alamri gibt abschließend zu bedenken: „Unternehmen sollten sich bei ihren Verteidigungsstrategien an den ,5 kritischen Maßnahmen’ des SANS Institute orientieren!“ Dieser Rahmen helfe dabei, „Incident Response“, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellen-Management systematisch umzusetzen. „So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und Kritische Infrastrukturen ins Visier nehmen.“

Weitere Informationen zum Thema:

DRAGOS
Our Mission: “To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day.“

DRAGOS
Abdulrahman H. Alamri / Abdulrahman H. Alamri is a Senior Intel Analyst II at Dragos. He holds a master’s degree in Cybersecurity and previously worked with the Saudi National Cybersecurity Authority (NCA) as a tactical threat intelligence team lead.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 14.08.2025
Dragos Industrial Ransomware Analysis: Q2 2025

DIGITAL BUSINESS, Stefan Girschner, 15.05.2025
Cyberangriffe Angriffstechniken: Die fünf gefährlichsten Vektoren

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich