Thought Leadership
Die Zahl der Ransomware-Opfer steigt weltweit um fast 60 Prozent. Deutschland belegt 2026 einen Spitzenplatz. Alles über die neuen Angriffsstrategien.
Die Bedrohungslage für die deutsche Wirtschaft hat einen neuen kritischen Stand erreicht. Laut dem aktuellen Annual Threat Dynamics 2026 Bericht der Beratungsgesellschaft PwC ist die Zahl der Ransomware Opfer weltweit innerhalb eines Jahres um etwa 58 Prozent gestiegen. Während im Jahr 2024 noch 4.837 Fälle dokumentiert wurden, erhöhte sich diese Zahl im Jahr 2025 auf insgesamt 7.635 Betroffene. Deutschland belegt in dieser internationalen Statistik einen vorderen Platz und rangiert bei den Veröffentlichungen auf sogenannten Leak Sites weltweit auf Rang drei.
Benutzeridentitäten als entscheidender Angriffspunkt für Ransomware
Auf diesen Plattformen stellen Erpresserbanden gestohlene Daten öffentlich zur Schau, um den Druck auf die betroffenen Unternehmen zu erhöhen und Lösegeldzahlungen zu erzwingen. In Deutschland ist die Professionalisierung dieser kriminellen Gruppen besonders deutlich sichtbar. Allein die Gruppe SafePay traf im vergangenen Jahr 77 deutsche Betriebe. Auch andere Akteure wie Qilin mit 29 Vorfällen und Akira mit 28 Fällen verzeichneten eine hohe Aktivität auf dem deutschen Markt.
Die Geschwindigkeit, mit der sich das Ransomware-Ökosystem professionalisiert, ist alarmierend. Angreifer loggen sich immer häufiger mit gestohlenen Zugangsdaten ein, statt technische Schwachstellen auszunutzen. Das macht klassische Schutzkonzepte zunehmend wirkungslos.
Lorenz Kuhlee, Director Incident Response bei PwC Deutschland
Ein zentrales Ergebnis des Berichts ist der strategische Wandel der Angreifer hin zu identitätsgetriebenen Attacken. Statt mühsam technische Sicherheitslücken in der Software zu suchen, nutzen Hacker immer öfter kompromittierte Benutzerkonten oder Schwachstellen in Anmeldesystemen wie Single Sign On und OAuth. Besonders kleine und mittlere Unternehmen geraten hierbei in Schwierigkeiten, da sich viele Organisationen noch in der Umstellung auf moderne Zero Trust Architekturen befinden. Ohne eine lückenlose Zugriffskontrolle über alle Netzwerkgrenzen hinweg bleiben die Benutzeridentitäten der entscheidende Angriffspunkt.
Über 100 deutschsprachige Fake-Websites
Die rasante Entwicklung der künstlichen Intelligenz verschärft die Situation zusätzlich, da sie die Hemmschwelle für neue Angreifer senkt. KI-Funktionen machen Täuschungsversuche wie Phishing-Nachrichten deutlich glaubwürdiger und verkürzen die Zeitspanne zwischen der Vorbereitung eines Angriffs und dessen Schadwirkung. Die Anzahl der aktiven Ransomware-Gruppen ist dementsprechend von 92 auf 135 angestiegen, was die zunehmende Breite dieses kriminellen Marktes unterstreicht.
Cybersicherheit ist zudem verstärkt ein geopolitischer Faktor geworden. Der Bericht dokumentiert über 100 deutschsprachige Fake-Websites, welche seriöse Absender imitieren, sowie KI-generierte Videos zur Desinformation. Diese staatlich gesteuerten Operationen zielen darauf ab, Unsicherheit zu verbreiten und das Vertrauen in Institutionen zu schwächen. Obwohl 60 Prozent der Führungskräfte ihre Investitionen in die Abwehr bereits erhöht haben, trauen sich lediglich sechs Prozent der Organisationen zu, Angriffe über sämtliche Wege hinweg abzuwehren. Experten raten dazu, den Schutz von Identitäten sowie das Management von Risiken in der Lieferkette und in Cloud-Umgebungen vorrangig zu behandeln.
