Ransomware-Angriffe erreichen neue Dimension

Deutschlands Industrie und kritische Infrastrukturen stehen im Fokus einer neuen Welle von Cyber-Erpressungsangriffen. Weltweit stiegen die Vorfälle im vergangenen Jahr um 50 Prozent, wie der jüngste Bericht des IT-Sicherheitsunternehmens NCC Group zeigt. Die Angreifer ändern ihre Taktik: Statt klassischer Schadsoftware nutzen sie gestohlene Identitäten und zielen direkt auf die Architektur vernetzter IoT-Geräte und Betriebstechnologie (OT). Für deutsche Unternehmen bedeutet das eine existenzielle Bedrohung.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen Gesetze die Haftung verschärfen, erfahren Sie in diesem Experten-Report. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Industrie und Infrastruktur im Visier

Die Angreifer konzentrieren sich gezielt auf Branchen, die sich keinen Stillstand leisten können. Laut dem am 6. März 2026 veröffentlichten NCC-Bericht war der Industriesektor mit fast 2.200 Angriffen am stärksten betroffen – ein Plus von 54 Prozent im Vergleich zum Vorjahr. Die Erpresser gehen dabei immer tiefer: Sie attackieren nicht mehr nur Dateien, sondern fundamentale Systeme wie Hypervisoren. Ein erfolgreicher Angriff auf diese Virtualisierungsschicht kann ganze IT-Landschaften und vernetzte Geräte-Ökosysteme lahmlegen.

Diese aggressive Entwicklung bestätigt auch der jährliche Bedrohungsreport von Cloudflare vom 3. März. Demnach entfallen über 50 Prozent aller gezielten Angriffe auf Fertigungsunternehmen und Betreiber kritischer Infrastrukturen. Diese Sektoren sind auf ununterbrochenen Betrieb angewiesen und gelten bei den Tätern als besonders zahlungsbereit. Die meisten Angriffe verzeichnet Nordamerika, gefolgt von Europa. Besorgniserregend ist der Anstieg in Asien um 59 Prozent.

Der gefährliche Trend zu Identitätsdiebstahl und IoT-Schwachstellen

Die Methoden der Hacker haben sich mit der zunehmenden Vernetzung gewandelt. Cloudflare stellt fest: Identitätskompromittierung hat bösartigen Code als größte Bedrohung abgelöst. Schwache Passwörter und gestohlene, legitime Zugangsdaten ermöglichen es Angreifern, sich unerkannt im Netzwerk zu bewegen. Herkömmliche Perimeter-Abwehrmechanismen werden so umgangen.

Diese Taktik wird besonders verheerend, wenn sie auf das Internet der Dinge (IoT) trifft. Weltweit operieren Milliarden oft schlecht gesicherter vernetzter Geräte. Viele Unternehmen haben Schwierigkeiten, ihre Smart Devices angemessen zu schützen. Ein einziges unsicheres IoT-Gerät – eine Überwachungskamera oder ein Industriesensor – kann als Einfallstor für Angriffe auf sensible OT-Netzwerke dienen. Managed Service Provider warnen: Vernetzte Geräte sind vom Kollateralschaden zum Hauptziel geworden.

Da Kriminelle immer häufiger psychologische Schwachstellen und Identitätsdiebstahl nutzen, benötigen Unternehmen eine proaktive Abwehrstrategie. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing und Hacker-Angriffen schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Neue Akteure und geopolitische Motive

Das Ökosystem der Cyber-Erpressung befindet sich im Umbruch. Neue Gruppen drängen nach vorn, während etablierte Akteure an Bedeutung verlieren. Die Gruppe Qilin ist laut NCC-Bericht derzeit der aktivste Bedrohungsakteur. Traditionsreiche Syndikate wie LockBit sind dagegen aus den Top Ten gefallen.

Parallel dazu verschärfen staatlich unterstützte und ideologisch motivierte Hacker die Lage. Eine Analyse des Sicherheitsunternehmens Halcyon vom 5. März 2026 zeigt, wie pro-iranische und pro-palästinensische Hacktivisten ihre Ransomware-Operationen bündeln. Die Betreiber der Sicarii-Plattform leiten ihre Partner zu einem neuen System namens BQTLock weiter. In einem neuartigen Rekrutierungsmodell bieten die Entwickler von BQTLock kostenlosen Zugang zu ihrer Ransomware-as-a-Service-Plattform an – vorausgesetzt, die Angreifer zielen auf kritische Infrastrukturen und Militäreinrichtungen in Israel, den USA und den Vereinigten Arabischen Emiraten. Diese Vermischung krimineller Taktiken mit geopolitischen Zielen stellt eine immense Herausforderung dar.

Wirtschaftliche Auswirkungen: Weniger Gesamtsumme, höhere Einzelzahlungen

Trotz der Rekordzahl an Angriffen verändert sich die finanzielle Dynamik der Ransomware-Branche. Ein umfassender Krypto-Kriminalitätsbericht von Chainalysis vom 26. Februar 2026 zeigt: Während die gemeldeten Angriffe um 50 Prozent stiegen, sanken die gesamten Blockchain-Zahlungen an Erpresser um etwa 8 Prozent auf knapp über 800 Millionen US-Dollar.

Experten führen diese Stagnation auf eine verbesserte Resilienz der Unternehmen und eine wachsende Zahlungsunwilligkeit der Opfer zurück. Die finanzielle Bedrohung für einzelne Organisationen bleibt jedoch akut. Die durchschnittliche Höhe einer Lösegeldzahlung stieg um über 360 Prozent auf fast 60.000 US-Dollar. Um ihre Erlöse zu sichern, verfeinern die Kriminellen ihre Strategien. Statt nur Daten zu stehlen, verschlüsseln sie zunehmend mission-kritische Infrastrukturen und vernetzte Geräte. Der daraus resultierende Geschäftsstillstand lässt den betroffenen Firmen oft keine andere Wahl, als zu verhandeln.

Ausblick: KI und Cloud beschleunigen das Risiko

Die Integration von künstlicher Intelligenz (KI) und Cloud-Architekturen wird die Häufigkeit und Präzision von Angriffen auf vernetzte Infrastrukturen voraussichtlich noch beschleunigen. Sicherheitsforscher prognostizieren, dass generative KI es Angreifern ermöglichen wird, Social Engineering und das Hijacking von Kommunikationsfäden massenhaft zu automatisieren. Dies würde die Kompromittierung legitimer Zugangsdaten weiter vereinfachen.

Als Reaktion darauf werden Regulierungsbehörden und Versicherer enormen Druck auf Hersteller und Betreiber kritischer Infrastrukturen ausüben, systemische Risiken zu quantifizieren und zu mindern. Das Verteidigungsparadigma muss sich hin zu Zero-Trust-Architekturen, robuster API-Sicherheit und rigorosem Identitätsmanagement verschieben. Unternehmen, die ihre expandierenden IoT-Ökosysteme nicht absichern, laufen Gefahr, in die operative Lähmung getrieben zu werden. Die Erpressergruppen werden ihre Strategien weiter verfeinern, um die schwächsten Glieder in der hypervernetzten Welt auszunutzen.