Ransomware-Attacken erreichen 2025 historischen Höchststand

Die Zahl der Ransomware-Angriffe auf Unternehmen ist im vergangenen Jahr auf einen historischen Höchststand geschnellt – mit dramatischen Folgen für die Datensicherheit von Verbrauchern weltweit. Das zeigt ein aktueller Bericht des GuidePoint Research and Intelligence Team (GRIT). Demnach stieg die Zahl öffentlich gemeldeter Opfer im Jahresvergleich um 58 Prozent. Es war die aktivste Phase digitaler Erpressung, die je aufgezeichnet wurde. Diese alarmierende Entwicklung unterstreicht auch der jüngste Angriff auf den südkoreanischen Mischkonzern Kyowon Group. Er legte Teile des Betriebs lahm und gefährdete Kundendaten. Die Zersplitterung großer Cyberkrimineller-Syndikate führt zu einer höheren Angriffsrate, die direkt die persönlichen und finanziellen Daten von Verbrauchern bedrohen.

Rekordjahr der digitalen Erpressung

Der GRIT 2026 Ransomware & Cyber Threat Report analysiert ein Rekordjahr für Cyber-Erpressung und einen signifikanten Wandel der Bedrohungslage. Der massive Anstieg der Opferzahlen um 58 Prozent ist laut dem am 15. Januar veröffentlichten Bericht teilweise auf die Zersplitterung großer Ransomware-as-a-Service (RaaS)-Ökosysteme nach Strafverfolgungsmaßnahmen zurückzuführen. Dies hat Cyberkriminelle nicht abgeschreckt, sondern zur Bildung kleinerer, agilerer Gruppen geführt. Diese setzen auf hochvolumige, wiederholbare Angriffe.

Eine der bedeutendsten Entwicklungen ist der Aufstieg der Qilin-Ransomware-Gruppe. Ihre Aktivität hat inzwischen das bisherige Spitzenniveau des einst dominierenden LockBit-Syndikats übertroffen. Die Analyse legt nahe: Obwohl Behörden einige Hauptakteure erfolgreich bekämpft haben, hat sich das Ökosystem angepasst. Die globale Bedrohung ist diversifizierter und aggressiver geworden und zielt weiterhin auf Unternehmen jeder Größe ab – mit deren Betriebsdaten und den Informationen ihrer Kunden als Geisel.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind – und welche einfachen Maßnahmen Ihre Kundendaten sofort besser schützen. Der kostenlose E‑Book‑Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen (inkl. Ransomware‑Taktiken wie Double‑Extortion) zusammen und liefert praxisnahe Schritte: von Identitäts‑ und Zugriffsschutz über Mitarbeiterschulungen bis zu Notfallabläufen nach einem Einbruch. Ideal für Geschäftsführer und IT‑Verantwortliche, die ihre Cyber‑Resilienz schnell stärken wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Die menschlichen Kosten: Konzerne und Kunden im Visier

Die realen Konsequenzen dieses Anstiegs zeigten sich diese Woche beim Angriff auf die Kyowon Group. Der südkoreanische Mischkonzern mit Geschäften in Bildung, Medien und Technologie bestätigte am 15. Januar einen Ransomware-Angriff vom 10. Januar. Das Unternehmen musste betroffene Server isolieren und mehrere Websites von Tochterfirmen vom Netz nehmen. Die Angreifer nutzten einen nach außen exponierten Server, um in das interne Netzwerk einzudringen und die Schadsoftware über Tochtergesellschaften zu verbreiten.

Das volle Ausmaß des Datenlecks wird noch untersucht. Kyowon räumte jedoch Anzeichen für einen Datendiebstahl ein – ein Alarmsignal für Millionen Kunden. Solche Vorfälle zeigen den Kaskadeneffekt von Ransomware: Auf die Verschlüsselung der Systeme folgt oft die Drohung, gestohlene Daten zu veröffentlichen. Diese enthalten häufig Namen, Kontaktdaten, Adressen und Kaufhistorie der Verbraucher. Diese „Double-Extortion“-Taktik setzt Unternehmen enorm unter Druck, Lösegeld zu zahlen – nicht nur zur Wiederherstellung ihrer Systeme, sondern auch zur Abwendung einer verheerenden Datenschutzkrise für ihre Kundschaft.

Innovation im Untergrund: Neue Bedrohungen tauchen auf

Mit der Anzahl der Angriffe wächst auch die Raffinesse der Werkzeuge und Taktiken. Eine technische Analyse von SOC Prime vom 14. Januar 2026 beschreibt die Operationen der neu aufgetauchten Gruppe „SafePay“. Anders als beim affiliate-basierten RaaS-Modell scheint SafePay eine zentralisiertere und streng kontrollierte Operation zu sein. Ihr Playbook umfasst die übliche Double-Extortion-Methode: Zuerst werden sensible Daten gestohlen, dann das Netzwerk verschlüsselt. Die Gruppe ist für ihre Geschwindigkeit bekannt. Oft komprimiert sie den gesamten Angriffszeitraum von Erstzugriff bis Vollverschlüsselung auf ein 24-Stunden-Fenster. Der Zugang wird häufig über offen liegende Remote-Desktop- oder VPN-Konten erlangt.

Eine weitere innovación beschreibt ein Bericht von Group-IB vom 15. Januar zur Ransomware-Familie DeadLock. Diese Gruppe nutzt einen neuartigen Ansatz: Sie verwendet Polygon-Smart-Contracts auf der Blockchain, um die Adressen ihrer Command-and-Control-Server zu rotieren. Dieser dezentrale Ansatz macht die Infrastruktur der Ransomware widerstandsfähiger und erschwert es Sicherheitsforschern und Strafverfolgungsbehörden, sie zu verfolgen und zu zerschlagen. Diese Entwicklungen zeigen, dass Cyberkriminelle ihre Methoden aktiv verfeinern, um traditionelle Sicherheitsmaßnahmen zu umgehen und ihre Operationen aufrechtzuerhalten.

Analyse: Ein sich veränderndes Cyber-Schlachtfeld

Die aktuelle Lage spiegelt eine bedeutende Evolution der Cyberkriminalitäts-Ökonomie wider. Laut Recherchen von Recorded Future aus dem frühen Januar 2026 erlebt das Ökosystem ein Paradox: Trotz eines Anstiegs öffentlich gemeldeter Angriffe um 47 Prozent im Jahr 2025 schienen Ransomware-Gruppen insgesamt weniger Geld zu verdienen. Dies könnte den taktischen Schwenk zu höheren Volumina und diverseren Erpressungsmethoden antreiben.

Sicherheitsanalysten sagen voraus, dass 2026 durch einen Wechsel weg von Netzwerk-Exploits hin zu identitätszentrierten Angriffen geprägt sein wird. Der primäre Weg für Angreifer, Erstzugang zu erlangen, sind nun gestohlene Zugangsdaten, Session Hijacking und die Umgehung der Multi-Faktor-Authentifizierung. Für Unternehmen bedeutet das: Die Sicherheit der Identitäten ihrer Mitarbeiter und Kunden ist die neue Frontlinie im Kampf gegen Ransomware. Die Globalisierung der Bedrohung beschleunigt sich ebenfalls. Experten prognostizieren, dass 2026 das erste Jahr sein könnte, in dem neue Ransomware-Akteure außerhalb Russlands jene innerhalb des Landes zahlenmäßig überholen.

Ausblick: Proaktive Verteidigung ist entscheidend

Die Trends des frühen Jahres 2026 deuten darauf hin, dass das hohe Tempo der Ransomware-Angriffe anhalten wird. Der Erfolg fragmentierter Gruppen und die ständige Innovation der Angriffsmethoden bedeuten, dass sich Unternehmen keine passive Cybersicherheits-Strategie leisten können. Der Fokus muss sich von einfacher Prävention hin zu umfassender Cyber-Resilienz verschieben.

Experten und Sicherheitsbehörden empfehlen eine mehrschichtige Verteidigungsstrategie. Dazu gehören die verpflichtende Multi-Faktor-Authentifizierung für alle Remote-Zugangspunkte, die Segmentierung von Netzwerken zur Begrenzung der lateralen Bewegung von Angreifern und die sorgfältige Überwachung auf anomalen Gebrauch legitimer Administrationswerkzeuge, die oft von Ransomware-Betreibern übernommen werden. Da Bedrohungsakteure zunehmend Zugangsdaten ins Visier nehmen, ist ein robustes Identity- und Access-Management wichtiger denn je. Während die internationale Strafverfolgung weiterhin große Cyberkriminalitäts-Operationen stört, beweist die anpassungsfähige Natur des Ransomware-Ökosystems: Technische Verteidigung und die Wachsamkeit der Mitarbeiter sind entscheidend, um Betriebsabläufe und sensible Verbraucherdaten zu schützen.

PS: Sie möchten Ransomware-Angriffe früher erkennen und Ihre Mitarbeiter praktisch schützen? Der kostenlose Cyber‑Security‑Guide liefert sofort umsetzbare Maßnahmen – von Anti‑Phishing‑Checklisten über Identity‑Hygiene bis zu klaren Sofortmaßnahmen nach einem Einbruch. Nutzen Sie das kompakte E‑Book, um Ihre Cyber‑Resilienz systematisch zu erhöhen und das Risiko von Datenlecks zu minimieren. Kostenlosen Cyber‑Security‑Guide anfordern