Thought Leadership
Die Bedrohung durch Ransomware bleibt für deutsche Unternehmen hoch. Laut einer Analyse von Digital Recovery PHD sind vor allem Betriebe des produzierenden Gewerbes betroffen, die mit 34,1 % den größten Anteil der Angriffe ausmachen.
Chemie-, Automobil- und Lebensmittelhersteller sind besonders gefährdet, da ein Ausfall kritischer IT-Systeme direkte Auswirkungen auf die Produktionsabläufe hat.
Weitere stark betroffene Branchen sind Dienstleistungen mit 21,4 %, darunter Beratungsunternehmen, Anwalts- und Steuerkanzleien sowie das Gastgewerbe. Der Handel und die Logistik folgen mit 16,3 %, hier sind Groß- und Einzelhandel, Autohäuser und internationale Logistiker betroffen.
Umfang und Dunkelziffer der Angriffe
Im Jahr 2025 wurden in Deutschland mindestens 276 Ransomware-Angriffe öffentlich bekannt. Hochgerechnet auf die Dunkelziffer bedeutet das, dass etwa alle 27 Stunden ein Unternehmen angegriffen wurde, was über 325 betroffene Unternehmen im Jahr entspricht. Studien von Bitkom, BSI und Sophos deuten darauf hin, dass ein erheblicher Teil der Angriffe unentdeckt bleibt oder die Lösegeldzahlungen nicht veröffentlicht werden.
Der produktivste Monat war der März 2025 mit 44 dokumentierten Angriffen. Die Sommermonate und der Dezember zeigten dagegen die geringste Aktivität.
Führende Ransomware-Gruppen in Deutschland
Von 49 aktiven Gruppen entfielen 38 % der Angriffe auf die drei größten Betreiber: Safepay, Akira und Inc. Ransom. Besonders im produzierenden Gewerbe sind Safepay, Akira und Qilin aktiv.
Das Geschäftsmodell RaaS (Ransomware-as-a-Service) ermöglicht den Tätern eine arbeitsteilige Vorgehensweise: Ein Entwickler stellt die Schadsoftware anderen Kriminellen zur Verfügung, übernimmt Support und beteiligt sich an den Einnahmen. Dadurch können neue Akteure schnell in das Geschäft einsteigen, während KI-gestützte Werkzeuge die Ausnutzung von Sicherheitslücken erleichtern.
Die aktivsten Gruppen arbeiten wie internationale Unternehmen, mit klaren Abläufen und „Kundenservice“. Safepay ist vor allem im angloamerikanischen Raum tätig, Akira gehört zu den fünf größten Gruppen in den USA, und Qilin wird mit russischer hybrider Kriegsführung in Verbindung gebracht. Ihre Aktivitäten in Deutschland zeigen, dass global operierende Erpresser auch hierzulande das produzierende Gewerbe gezielt attackieren.
Handlungsempfehlungen und Bedeutung von Cybersicherheit
Die Analyse macht deutlich: Cybersecurity ist für Unternehmen nicht nur Verwaltung, sondern überlebenswichtig. Schwache IT-Architekturen, viele externe Zugänge und schwer patchbare Systeme erhöhen das Risiko. Wer nicht in Prävention, Monitoring und Schulung investiert, setzt sich erheblichen wirtschaftlichen Schäden aus.
