Zum Hauptinhalt springen

Über Vorjahresniveau: Ransomware nimmt in der DACH-Region zu

3. Februar 2026

384 Ransomware-Angriffe in Deutschland, 49 in Österreich und 80 in der Schweiz

Die Bedrohung durch Ransomware nimmt weiter zu: Allein in Deutschland zählte Kaspersky im Jahr 2025 384 Angriffe, ein signifikanter Anstieg gegenüber 2024. Auch Österreich bleibt mit 49 Angriffen im Fokus, während die Schweiz mit 80 Angriffen einen moderaten Anstieg verzeichnet [1]. Hinter den Attacken stehen dutzende Tätergruppen, die arbeitsteilig vorgehen – von der Beschaffung kompromittierter Zugänge bis zur Durchführung der Verschlüsselungsangriffe.

Viele Angriffe auf Organisationen beginnen längst nicht mehr mit der eigentlichen Schadsoftware, sondern mit der systematischen Beschaffung von Informationen im Darknet. Cyberkriminalität funktioniert dort zunehmend wie ein arbeitsteiliger Markt: Zugangsdaten, Malware-Services und fertige Angriffsketten werden gehandelt und kombiniert. Die aktuellen Zahlen für die DACH-Region verdeutlichen, wie effektiv dieses Modell inzwischen ist.

Ransomware ist ein Paradebeispiel für die Professionalisierung cyberkrimineller Strukturen: Während sogenannte Initial Access Broker kompromittierte Zugänge bereitstellen, übernehmen andere Gruppen die eigentlichen Verschlüsselungsangriffe oder bieten Ransomware-as-a-Service an. Diese Arbeitsteilung senkt die Einstiegshürden und erklärt die weiter steigenden Fallzahlen. In Deutschland wurden im Jahr 2025 384 Ransomware-Angriffe durch 61 aktive Gruppen registriert – ein deutlicher Anstieg gegenüber dem Vorjahr (insgesamt 233 Angriffe durch 53 Gruppen). Österreich meldet 49 Angriffe durch 26 Gruppen und liegt damit ebenfalls über dem Vorjahresniveau (32 durch 29). Die Schweiz hingegen verzeichnet mit 80 Angriffen und 32 aktiven Gruppen einen moderaten Zuwachs (70 durch 32).

Millionen kompromittierter Accounts im Darknet verfügbar

Zwar ging die Zahl kompromittierter Accounts im Darknet insgesamt zurück, allerdings bleibt der Handel mit kompromittierten Zugangsdaten ein zentraler Treiber der Bedrohungslage. In Deutschland wurden im vergangenen Jahr 3.543.897 (in 2024: 6.191.245) kompromittierte Accounts im Darknet identifiziert. In der Schweiz sind es 531.724 (852.820), in Österreich 590.462 (958.234) Konten.

Solche Zugangsdaten bilden die Grundlage für systematisches Cyber-Profiling. Angreifer nutzen sie für Phishing-Kampagnen, Credential-Stuffing oder verkaufen sie direkt weiter. Bereits wenige Informationen reichen aus, um detaillierte digitale Profile von Unternehmen und Mitarbeitern zu erstellen – oft lange bevor ein eigentlicher Angriff sichtbar beziehungsweise durchgeführt wird.

Exponierte Datenbanken vergrößern die Angriffsfläche

Auch offen zugängliche Datenbanken stellen ein erhebliches Risiko dar. In Deutschland wurden 2025 159 exponierte Datenbanken entdeckt; in der Schweiz  7 und in Österreich 12. Zwar bewegen sich diese Zahlen teilweise unter dem Niveau des Vorjahres (DE: 135, CH: 40, AT: 15), doch liefern selbst einzelne ungesicherte Instanzen wertvolle Informationen für Angreifer. Im Darknet werden solche Daten häufig mit bereits bekannten Leaks kombiniert und zu umfassenden Zielprofilen angereichert.

Kaspersky-Empfehlung: Digitale Angriffsfläche sichtbar machen

Datenleaks, Angriffe oder Cyber-Profiling lassen sich in einer vernetzten Welt kaum vollständig vermeiden. Entscheidend ist daher, die eigene digitale Angriffsfläche aus Sicht potenzieller Angreifer zu kennen. Kaspersky Digital Footprint Monitoring [2] unterstützt Unternehmen dabei, indem es Daten aus dem öffentlichen Internet, dem Deep Web und dem Dark Web kontinuierlich analysiert. So lassen sich kompromittierte Zugangsdaten, exponierte Datenbanken, Phishing-Domains oder technische Schwachstellen frühzeitig erkennen und priorisieren – bevor sie für einen Angriff genutzt werden können.

„Cyberkriminalität ist heute hochgradig organisiert. Zugänge, Daten und Angriffswerkzeuge werden arbeitsteilig gehandelt und kombiniert“, erklärt Waldemar Bergstreiser, General Manager DACH bei Kaspersky. „Die aktuellen Zahlen zeigen deutlich, wie erfolgreich dieses Modell ist: Ransomware-Angriffe erreichen neue Höchststände, während Millionen kompromittierter Accounts den Rohstoff für weitere Attacken liefern. Schon ein einzelner ungesicherter Zugang kann ausreichen, um ein Unternehmen für Angreifer interessant zu machen. Deshalb ist es entscheidend, digitale Angriffsflächen kontinuierlich zu überwachen und Risiken frühzeitig zu schließen.“

 

[1] Analyse durch das Team von Kaspersky Digital Footprint Intelligence für die DACH-Region.

[2] https://dfi.kaspersky.com/de


Nützliche Links:

 

Über Vorjahresniveau: Ransomware nimmt in der DACH-Region zu

384 Ransomware-Angriffe in Deutschland, 49 in Österreich und 80 in der Schweiz
Kaspersky logo

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Die tiefgreifende Threat Intelligence und die Sicherheitsexpertise von Kaspersky bilden die Basis für innovative Lösungen und Dienstleistungen zum Schutz von Privatanwendern, Unternehmen, kritischen Infrastrukturen und Regierungen weltweit. Bis heute hat Kaspersky über eine Milliarde Geräte vor neu auftretenden Cyberbedrohungen und gezielten Angriffen geschützt. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden digitalen Schutz für private Geräte, spezialisierte Sicherheitsprodukte und -dienstleistungen für Unternehmen sowie Lösungen für die Cyber-Immunität zur Bekämpfung komplexer und sich ständig weiterentwickelnder digitaler Bedrohungen. Wir helfen Millionen von Privatanwendern und fast 200.000 Unternehmenskunden, das zu schützen, was ihnen am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Verwandter Artikel Pressemitteilungen