Thought Leadership
Deutschland steht laut eines neuen Reports im internationalen Vergleich bei Ransomware an der Spitze. Der Bericht zeichnet eine deutlich angespannte Lage, besonders für Industrie, Technologie und Gesundheitswesen.
Deutschland wird zum Ransomware-Hotspot
Im aktuellen Cyberthreats Report 2025 analysiert Acronis die Bedrohungslage des gesamten vergangenen Jahres mit Schwerpunkt auf das zweite Halbjahr. Das Ergebnis ist aus deutscher Sicht alarmierend. Mit 13 bis 27 Ransomware-Erkennungen pro 10.000 Endpoints liegt Deutschland im Vergleich der untersuchten Länder vorne. Selbst bei einer Normalisierung nach Endpoint-Anzahl bleibt die Bundesrepublik vor Südkorea und Japan auf Platz eins.
Aus Sicht der Analysten gelten insbesondere Fertigungsunternehmen, Technologieanbieter und Einrichtungen im Gesundheitswesen als bevorzugte Ziele. Hintergrund sind hohe Anforderungen an Verfügbarkeit sowie komplexe und verteilte IT-Landschaften. Deutschland wird damit ausdrücklich als strategischer Fokus für Ransomware-Aktivitäten eingestuft.
PowerShell bleibt bevorzugtes Werkzeug
Ein weiteres zentrales Ergebnis betrifft den Missbrauch legitimer Tools. Weltweit ist PowerShell das am häufigsten zweckentfremdete Werkzeug. Diese Entwicklung zeigt sich besonders deutlich in Deutschland sowie in den USA und Brasilien. Angreifer nutzen bestehende Systemfunktionen, um unauffällig in Infrastrukturen einzudringen und Sicherheitsmechanismen zu umgehen.
Der halbjährlich erscheinende Bericht stützt sich auf Analysen der Acronis Threat Research Unit sowie auf Telemetriedaten des Herstellers. Der Schwerpunkt liegt auf Windows-Systemen, da diese bekanntermaßen deutlich stärker verbreitet sind als macOS oder Linux.
KI verändert die Angriffsstrategie
2025 markiert einen Wendepunkt beim Einsatz von Künstlicher Intelligenz im Cybercrime. Bedrohungsakteure integrieren KI zunehmend in operative Abläufe. Sie nutzen die Technologie für Aufklärung, für automatisierte Erpressungsversuche im Rahmen von Ransomware-Kampagnen sowie für ausgefeilte Social-Engineering-Angriffe.
Ransomware bleibt dabei die dominierende Bedrohungsform. Weltweit wurden mehr als 7.600 öffentlich bekannte Opfer registriert. Besonders betroffen waren Managed Service Provider und Telekommunikationsunternehmen. Rund 150 Organisationen aus diesem Umfeld gerieten gezielt ins Visier.
Zu den aktivsten Gruppierungen zählten Qilin mit 962 bekannten Betroffenen, Akira mit 726 sowie Cl0p mit 517 Opfern.
Collaboration Tools rücken ins Fadenkreuz
Auffällig ist die zunehmende Fokussierung auf Collaboration Anwendungen. Der Anteil fortgeschrittener Angriffe auf entsprechende Plattformen stieg von 12 Prozent im Jahr 2024 auf 31 Prozent im Jahr 2025. Dies deutet auf eine strategische Verschiebung hin. Neben klassischen Eintrittspunkten werden verstärkt sekundäre Kanäle mit hohem Schadenspotenzial genutzt.
MSPs besonders stark betroffen
Phishing bleibt ein zentrales Einfallstor. E-Mail-basierte Angriffe nahmen im Jahresvergleich um 16 Prozent zu. Zwischen Juli und Dezember 2025 entfielen 83 Prozent aller E-Mail-Bedrohungen auf Phishing-Kampagnen.Managed Service Provider stehen dabei besonders im Fokus. Mehr als die Hälfte aller gegen MSPs gerichteten Attacken waren Phishing-Angriffe. Hinzu kommen gezielte Angriffe auf Lieferketten und Fernwartungstools.
Angreifer missbrauchten Remote Monitoring und Management-Lösungen wie AnyDesk und TeamViewer. Mehr als 1.200 Drittanbieter und Unternehmen innerhalb von Lieferketten waren betroffen. Die meisten registrierten Opfer entfielen auf die USA. Auch hier traten Akira und Cl0p als dominierende Akteure auf.
Kritische Schwachstellen bei MSP-Plattformen
Ein weiteres Risiko ergibt sich aus Schwachstellen in MSP-Plattformen. Sämtliche im Jahr 2025 veröffentlichten CVEs in diesem Bereich wurden trotz vergleichsweise geringer Anzahl als hoch oder kritisch eingestuft. Für IT-Dienstleister und ihre Kunden entsteht dadurch ein erhebliches Gefährdungspotenzial.
Für deutsche Unternehmen bedeutet das: Ransomware Deutschland bleibt 2025 ein zentrales Risikothema. Ohne konsequente Härtung der Systeme, durchgängiges Monitoring und belastbare Incident Response-Strategien dürfte sich die Spitzenposition im Ländervergleich kaum verändern.
„Angesichts der rasanten Entwicklung von Cyberbedrohungen hat sich im Jahr 2025 gezeigt, dass Cyberkriminelle nicht nur traditionelle Methoden wie Phishing und Ransomware skalieren, sondern auch KI einsetzen, um schneller, effizienter und in größerem Maßstab zu agieren“, kommentiert Gerald Beuchelt, CISO bei Acronis. „Angreifer integrieren zunehmend KI in ihre Operationen; die Cybersicherheitslandschaft tritt damit in eine neue Ära ein. Dieser Wandel erfordert, dass Organisationen Bedrohungen antizipieren, Abwehrmaßnahmen automatisieren und resiliente Systeme aufbauen, die sowohl traditionellen als auch KI-gestützten Angriffen standhalten können.“
Weitere Informationen:
Der vollständige Acronis Cyberthreats Report für das Jahr 2025 mit Fokus auf das zweite Halbjahr ist hier verfügbar.
(up/Acronis)
