Die Ransomware-Lage in Deutschland und Europa bleibt angespannt. Laut der Dragos Industrial Ransomware Analysis Q2 2025 wurden im zweiten Quartal dieses Jahres weltweit 657 Angriffe auf Industrieunternehmen registriert.
Damit liegt die Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa zeigte sich jedoch das Gegenteil: Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg. Besonders stark betroffen sind Deutschland, Großbritannien und Italien. Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden.
Ransomware trifft Kernbranchen der Industrie
Die 173 Angriffe auf europäische Industrieunternehmen machen rund 26 % aller weltweiten Ransomware-Vorfälle im zweiten Quartal aus. Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen. Die Bauindustrie verzeichnete weltweit 110 Angriffe, im Maschinen- und Anlagenbau wurden 63 Fälle dokumentiert. In der Automobilindustrie waren es 38 Angriffe, in der Chemie 20. Insgesamt geriet das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier und stand damit für 65 % aller dokumentierten Fälle. Zusätzlich wurden 77 Angriffe auf Transport- und Logistikunternehmen gezählt. Im Bereich industrielle Steuerungssysteme und Engineering registrierten die Analysten 75 Attacken, mehr als doppelt so viele wie im ersten Quartal. Besonders dieser Anstieg betrifft zahlreiche deutsche Unternehmen, die in diesem Sektor international führend sind.
Qilin: Die aktivste Gruppe im Ransomware-Ökosystem
Im zweiten Quartal 2025 entwickelte sich Qilin zur aktivsten Ransomware-Gruppe im Industriesektor. Die Angreifer verübten 101 dokumentierte Attacken und waren damit für rund 15% der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal lag die Zahl noch bei 21. Qilin positionierte sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie LockBit und RansomHub.
Die Gruppe betreibt eine Ransomware-as-a-Service-Plattform, über die sie erfahrene Affiliates rekrutiert und unterstützt. Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen. Auch technisch hebt sich Qilin deutlich ab. Die Gruppe nutzt automatisierte Tools, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa CVE-2024-21762 und CVE-2024-55591. Darüber gelingt rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermöglicht. Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko.
Im März 2025 wurde Qilin operativ von der nordkoreanischen, staatlich unterstützten Hackergruppe Moonstone Sleet übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund. Die Aktivitäten zeigen zunehmend geopolitische Ausrichtung und zielen verstärkt auf kritische Infrastrukturen.
Die Bedrohungslage verschärft sich
Die Zahl der Ransomware-Angriffe in Europa nimmt weiter zu und Deutschland ist als industrialisiertes Land besonders häufig betroffen. Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und industrielle Stuerungssysteme. Mit Qilin hat sich zudem eine Ransomware-Gruppe etabliert, die sowohl technisch als auch organisatorisch neue Maßstäbe setzt.
Angesichts dieser Entwicklung reicht es nicht aus, sich auf etablierte Standards zu verlassen. Unternehmen sollten sich bei ihren Verteidigungsstrategien an den fünf kritischen Maßnahmen des SANS Institute orientieren. Dieser Rahmen hilft dabei, Incident Response, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellenmanagement systematisch umzusetzen. So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und kritische Infrastrukturen ins Visier nehmen.
Autor: Abdulrahman H. Alamri, Principal Threat Intelligence Analyst bei Dragos