Thought Leadership
Die Bedrohung durch Ransomware wächst weiter. Kaspersky registrierte 2025 in Deutschland 384 Angriffe – ein deutlicher Anstieg im Vergleich zu 233 im Jahr 2024.
Auch Österreich verzeichnet mit 49 Angriffen einen Zuwachs, während die Schweiz mit 80 Angriffen einen moderaten Anstieg erlebt. Verantwortlich sind dutzende kriminelle Gruppen, die arbeitsteilig vorgehen – von der Beschaffung kompromittierter Zugänge bis zur Durchführung der Verschlüsselungsangriffe.
Arbeitsteilung im Darknet als Erfolgsmodell
Viele Attacken beginnen nicht direkt mit Schadsoftware, sondern mit der systematischen Beschaffung von Informationen im Darknet. Zugangsdaten, Malware-Dienste und fertige Angriffsketten werden gehandelt und kombiniert, wodurch ein arbeitsteiliger Markt für Cyberkriminalität entsteht. Ransomware ist dafür ein Paradebeispiel: Während sogenannte Initial Access Broker kompromittierte Zugänge bereitstellen, führen andere Gruppen die eigentlichen Verschlüsselungsangriffe durch oder bieten Ransomware-as-a-Service an.
In Deutschland waren 2025 61 Gruppen aktiv, in Österreich 26 und in der Schweiz 32. Diese Arbeitsteilung senkt die Einstiegshürden für Angreifer und erklärt den Anstieg der Fallzahlen.
Millionen kompromittierter Accounts als Grundlage für Angriffe
Auch wenn die Gesamtzahl kompromittierter Accounts im Darknet leicht rückläufig ist, bleibt sie hoch. In Deutschland wurden 2025 rund 3,5 Millionen kompromittierte Konten identifiziert (2024: über 6 Millionen). In Österreich lag die Zahl bei rund 590.000, in der Schweiz bei etwa 532.000.
Diese Daten dienen als Grundlage für Cyber-Profiling, Phishing-Kampagnen und Credential-Stuffing. Schon wenige Informationen reichen, um digitale Profile von Unternehmen und Mitarbeitenden zu erstellen – oft lange bevor ein eigentlicher Angriff erfolgt.
Nicht nur gestohlene Konten, sondern auch ungesicherte Datenbanken erhöhen die Angriffsfläche. 2025 wurden in Deutschland 159 offen zugängliche Datenbanken entdeckt, in Österreich 12 und in der Schweiz 7. Selbst wenn diese Zahlen unter dem Niveau des Vorjahres liegen, bieten einzelne ungesicherte Instanzen wertvolle Informationen für Angreifer. Im Darknet werden solche Daten häufig mit anderen Leaks kombiniert und zu umfassenden Zielprofilen angereichert.
Digitale Angriffsflächen proaktiv überwachen
Unternehmen können ihre Sicherheit verbessern, indem sie ihre digitale Angriffsfläche kontinuierlich überwachen. Kaspersky bietet mit Digital Footprint Monitoring eine Lösung, die Daten aus dem öffentlichen Internet, Deep Web und Dark Web analysiert. So lassen sich kompromittierte Zugänge, exponierte Datenbanken, Phishing-Domains oder technische Schwachstellen frühzeitig erkennen und priorisieren – bevor sie für Angriffe genutzt werden.
Waldemar Bergstreiser, General Manager DACH bei Kaspersky, betont: „Cyberkriminalität ist heute hochgradig organisiert. Schon ein einzelner ungesicherter Zugang kann ein Unternehmen für Angreifer interessant machen. Es ist entscheidend, digitale Angriffsflächen kontinuierlich zu überwachen und Risiken frühzeitig zu schließen.“
