Thought Leadership
Kleine und mittelständische Unternehmen geraten immer stärker ins Visier von Cyberkriminellen.
Das zeigt der aktuelle Threat Report von Arctic Wolf, der auf der Analyse hunderter Incident-Response-Fälle aus dem Jahr 2025 basiert. Demnach setzen Angreifer weiterhin überwiegend auf bewährte Methoden – mit großem Erfolg.
Ransomware, Business E-Mail Compromise und sogenannte Data Incidents machten zusammen 92 Prozent aller untersuchten Sicherheitsvorfälle aus. Neue, hochkomplexe Angriffstechniken sind dafür offenbar nicht zwingend erforderlich.
Alte Schwachstellen, neue Dynamik
Besonders auffällig ist der Anstieg reiner Datenerpressung. Während entsprechende Fälle im Vorjahr nur zwei Prozent der untersuchten Vorfälle ausmachten, stieg ihr Anteil 2025 auf 22 Prozent. Angreifer verzichten dabei zunehmend auf Verschlüsselung und setzen stattdessen auf die Androhung der Veröffentlichung sensibler Daten.
Zudem erfolgen 65 Prozent der Nicht-BEC-Angriffe über den Missbrauch legitimer Fernzugänge wie VPN, RDP oder Remote-Management-Tools. Anstatt Sicherheitslücken durch aufwendige Exploits auszunutzen, greifen Täter auf vorhandene Zugänge zurück, die unzureichend abgesichert sind.
Ismael Valenzuela, Vice President of Labs, Threat Research and Intelligence bei Arctic Wolf, bringt es auf den Punkt: „Auffällig ist, dass Angreifer nicht unbedingt neue Tricks versuchen, denn die alten funktionieren oft immer noch viel zu gut.“ Weiter erklärt er: „Bedrohungsakteure sind nicht deshalb erfolgreich, weil sie besonders raffiniert vorgehen, sondern weil sie schwache Passwörter, schlecht verwaltete Fernzugriffe und Lücken in alltäglichen Systemen, auf die Unternehmen angewiesen sind, ausnutzen können.“
Deutschland im Fokus von Ransomware
Eine ergänzende EMEA-Auswertung des Reports zeigt, dass Westeuropa besonders stark betroffen ist. Frankreich, Deutschland und das Vereinigte Königreich führen die Opferstatistiken an. In Deutschland häufen sich Veröffentlichungen auf sogenannten Leak-Sites vor allem in der Bau- und Finanzbranche, bei IT-Dienstleistern sowie im Großhandel. Besonders häufig betroffen sind kleine und mittelständische Unternehmen.
Regulatorische Rahmenbedingungen verschärfen die Lage zusätzlich. Durch Offenlegungspflichten, etwa im Rahmen der DSGVO, steigt die Wahrscheinlichkeit, dass Vorfälle öffentlich werden. Damit wächst der Druck auf Unternehmen, da neben finanziellen Schäden auch Reputationsverluste und Compliance-Risiken drohen.
Christopher Fielder, Field CTO von Arctic Wolf, betont: „Gerade in Deutschland sehen wir, dass regulatorische Anforderungen und öffentliche Offenlegungspflichten den Druck im Ernstfall massiv erhöhen.“ Unternehmen sollten deshalb nicht nur präventive Maßnahmen ergreifen, sondern insbesondere Remote-Zugänge absichern, Datenabflüsse frühzeitig erkennen und Notfallprozesse regelmäßig testen. „Resilienz entscheidet heute darüber, ob ein Angriff zur existenziellen Krise wird oder beherrschbar bleibt.“
Industrie als attraktives Ziel
Als stark vernetzter Industriestandort mit komplexen Lieferketten bleibt Deutschland ein lukratives Ziel. Besonders Fertigungsunternehmen stehen unter hohem Zeitdruck, da Produktionsausfälle unmittelbare wirtschaftliche Folgen haben. Dieser Druck kann von Angreifern gezielt ausgenutzt werden.
Valenzuela weist darauf hin, dass technologische Spitzenlösungen allein nicht ausschlaggebend sind: „Die Organisationen, die besser abschneiden, sind nicht unbedingt diejenigen, die die neueste Technologie priorisieren.“ Entscheidend seien vielmehr Transparenz, sauberes Identitätsmanagement und disziplinierte Zugriffskontrollen. Wenn diese Grundlagen stimmen, lassen sich Vorfälle häufig frühzeitig erkennen und eindämmen.
Gerade für kleine und mittelständische Unternehmen bedeutet das: Solide Sicherheitsgrundlagen, klare Prozesse und getestete Reaktionspläne sind wichtiger denn je. Denn in einem Umfeld steigender regulatorischer Anforderungen und wachsender öffentlicher Aufmerksamkeit kann ein einzelner Vorfall schnell existenzielle Ausmaße annehmen.
