Threat Report

Check Point veröffentlicht Cyber Threat Report für Dezember 2025

, Check Point | Autor: Herbert Wieler

Check Point veröffentlicht Cyber Threat Report für Dezember 2025

Check Point Research (CPR) hat seinen Monthly Cyber Threat Report für Dezember 2025 veröffentlicht

In Deutschland erlitten Unternehmen fünf Prozent mehr Cyber-Attacken als im Vorjahr. Im DACH-Raum gingen die Angriffe insgesamt jedoch um vier Prozent zurück.

Im vergangenen Monat verzeichneten Unternehmen durchschnittlich 2027 Cyber-Angriffe pro Woche. Dies entspricht einem Anstieg von einem Prozent gegenüber dem Vormonat und einem Anstieg von neun Prozent gegenüber dem Vorjahreszeitraum. In der Schweiz gingen die Angriffe um 19 Prozent auf 1033 monatliche Angriffe zurück, in Österreich dagegen stieg die Anzahl leicht um zwei Prozent auf 1525. Im DACH-Raum lag das durchschnittliche Angriffsvolumen insgesamt bei 1260, was einer Verringerung um vier Prozent entspricht (siehe Abbildung 1).

wöchentliche Cyberangriffe Abbildung 1: Durchschnittliche Anzahl wöchentlicher Cyber-Angriffe pro Organisation nach Ländern und Regionen im Dezember 2025, inklusive Vorjahresvergleich (Quelle: Check Point Software Technologies Ltd.).

Lagebericht für Deutschland

In Deutschland sind die Vorfälle im Vergleich zum Vorjahreszeitraum mit 1223 wöchentlichen Angriffen pro Organisation um fünf Prozent zurückgegangen. Verglichen mit dem Novemberwert stiegen die Angriffe jedoch um fünf Prozent. Auch im DACH-Raum sank die Zahl mit 1268 Attacken um zehn Prozent (Abbildung 1). Hierzulande waren die folgenden Sektoren am meisten von Cyber-Angriffen betroffen (Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat November):

  1. ↑ Energie & Versorgungsunternehmen
  2. ↓ Bildung
  3. ↑ Telekommunikation
  4. ↓ Software
  5. ↑ Bauwesen & Ingenieurwesen

Cyber-Angriffe nach Sektoren und Regionen

Das Bildungswesen blieb im Dezember 2025 mit durchschnittlich 4349 Angriffen pro Organisation und Woche der am stärksten betroffene Bereich, was einem Anstieg um zwölf Prozent gegenüber dem Vorjahr entspricht. Der Sektor beschäftigt mit Beamten, Schülern, Studenten und Angestellten besonders viele Menschen und ist somit für Hacker eine Goldgrube personenbezogener Daten. Zudem ist er wegen seiner oft veralteten technischen Infrastruktur und den begrenzten Sicherheits-Ressourcen einem erhöhten Risiko ausgesetzt. An zweiter Stelle lagen öffentliche Einrichtungen und Behörden mit 2666 Angriffen pro Organisation und Woche (ein Plus von zwei Prozent), dicht gefolgt von Verbänden und gemeinnützigen Organisationen mit 2509 Angriffen – ein starker Anstieg um 56 Prozent (siehe Abbildung 2).

wöchentliche Cyberangriffe Abbildung 2: Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Dezember 2025 verglichen mit Dezember 2024 (Quelle: Check Point Software Technologies Ltd.).

Sowohl Europa mit 1677 (plus neun Prozent) als auch Nordamerika mit 1438 Angriffen (plus 15 Prozent) verzeichneten zwar ein vergleichsweise geringes absolutes Angriffsvolumen. Allerdings stellen die Zahlen für beide Regionen einen deutlichen Anstieg gegenüber dem Vorjahr dar. Lateinamerika verzeichnete mit 3065 Cyber-Angriffen und einem Anstieg von 26 Prozent gegenüber Dezember 2024 von allen Regionen den weltweit stärksten Zuwachs im Jahresvergleich. Es folgte die APAC-Region mit 3017 Angriffen (plus zwei Prozent), während Afrika 2752 Angriffe erlitt – ein Rückgang um zehn Prozent.

Die Spurensuche führt abermals zu generativer KI

Ein wesentlicher Grund für die weiterhin prekäre Sicherheitslage ist die Offenlegung sensibler Daten durch generative KI (GenAI). Die Einführung von GenAI-Tools in Unternehmen birgt weiterhin das Risiko von Datenabfluss. Im Dezember 2025:

  • stellte jeder 27. Prompt (Eingabeaufforderung in KI-Chatbots) aus Unternehmensnetzwerken ein hohes Risiko für die Offenlegung sensibler Daten dar.
  • waren 91 Prozent der Unternehmen, die GenAI-Tools einsetzen, risikoreichen Eingabeaufforderungen ausgesetzt.
  • enthielten 25 Prozent der Anfragen potenziell sensible Informationen.
  • nutzten Unternehmen im Laufe des Monats durchschnittlich elf verschiedene GenAI-Tools.
  • generierte der durchschnittliche Unternehmensnutzer 56 GenAI-Anfragen pro Monat, was die wachsende operative Abhängigkeit von GenAI-Plattformen unterstreicht.

Sensible Unternehmensdaten werden zunehmend ohne angemessene Kontrollen, Bereinigung oder Überwachung in generative KI-Dienste von Drittanbietern hochgeladen. Oft geschieht das außerhalb der etablierten Sicherheitsrichtlinien. Am häufigsten werden personenbezogene Daten (PII), interne Netzwerk- und IT-Artefakte sowie proprietärer Quell-Codes offengelegt. Da Mitarbeiter mittlerweile durchschnittlich elf verschiedene GenAI-Tools verwenden, müssen Unternehmen in der Lage sein, zu überwachen und zu beschränken, welche Daten mit den einzelnen Plattformen geteilt werden. GenAI wird zwar zunehmend in den täglichen Geschäftsbetrieb eingebettet, doch ohne ausreichende Transparenz, Kontrolle oder Governance steigt das Risiko von Datenverlusten und Cyber-Angriffen erheblich.

60 Prozent mehr Ransomware-Angriffe als im Vorjahr weltweit – in Deutschland fünf Prozent mehr

Im Dezember 2025 wurden 945 Ransomware-Angriffe öffentlich von den Tätern gemeldet*, was einem Anstieg von 60 Prozent gegenüber Dezember 2024 entspricht. Nordamerika war mit 52 Prozent der gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 23 Prozent. Die Vereinigten Staaten blieben mit 48 Prozent der gemeldeten Ransomware-Opfer der am stärksten betroffene Staat, gefolgt vom Vereinigten Königreich, Deutschland und Kanada mit jeweils etwa vier bis fünf Prozent. Nach Branchen waren Unternehmensdienstleistungen am stärksten betroffen (12 Prozent der Opfer), gefolgt vom Bauwesen und Ingenieurwesen sowie industrieller Fertigung mit jeweils 11 Prozent.

wöchentliche Cyberangriffe Abbildung 3: Anzahl der auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen nach Regionen im Dezember 2025 (Quelle: Check Point Software Technologies Ltd.)

Anmerkung: Diese Erkenntnisse stammen von sogenannten Ransomware-Shame Sites, die von Erpressergruppen genutzt werden, um ihre Opfer öffentlich aufzulisten. Diese Angaben sind zwar von Natur aus selektiv, bieten jedoch einen wertvollen Einblick in das Ausmaß, die Verbreitung und die sich entwickelnden Taktiken des Ransomware-Ökosystems.

Die aktivsten Ransomware-Gruppen

Die folgenden Daten basieren ebenfalls auf Shame Sites, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen.

  1. Unter den Ransomware-Betreibern war Qilin im Dezember die aktivste Gruppe und für 18 Prozent der veröffentlichten Angriffe verantwortlich. Qilin, eine seit 2022 bestehende Ransomware-as-a-Service-Gruppe (RaaS), hat seit Anfang 2025 seine Affiliate-Rekrutierung und die Offenlegung von Opfern erheblich ausgeweitet.
  2. LockBit5 belegte mit 12 Prozent der Angriffe den zweiten Platz, nachdem Ende Dezember 2025 die Zahl der Opferlisten sprunghaft angestiegen war. Analysen zeigen, dass viele dieser Offenlegungen aber Duplikate früherer Vorfälle waren, eine Taktik, die bereits bei früheren LockBit-Kampagnen beobachtet wurde und wahrscheinlich dazu dient, die Sichtbarkeit und das Interesse der Partner aufrechtzuerhalten.
  3. Akira, verantwortlich für 7 Prozent der Angriffe, zielte weiterhin auf Windows-, Linux- und ESXi-Umgebungen ab. Die Gruppe konzentriert sich zunehmend auf Unternehmensdienstleistungen und industrielle Fertigungsunternehmen und wird dabei durch fortschrittliche auf Rust basierte Verschlüsselungsprogramme unterstützt, die entwickelt wurden, um Analysen zu umgehen und die Ausrichtung auf virtualisierte Systeme zu optimieren. Die Daten für Dezember 2025 spiegeln eine Bedrohungslage wider, die weniger durch dramatische Spitzen im Gesamtangriffsvolumen auffällt, sondern durch anhaltenden Druck der von Ransomware-Operationen und unternehmensinterne Risiken aufgrund der unkontrollierten Nutzung von GenAI ausgeht. Auch zu Beginn des Jahres 2026 bleiben die Verbesserung der Ransomware-Resilienz und die Durchsetzung von GenAI-Governance-Kontrollen somit wichtige Prioritäten, um das Risiko für den Betrieb und die Daten zu verringern.

Omer Dembinsky, Data Research Manager bei Check Point Research (CPR), kommentiert den Bericht: „Die Daten vom Dezember 2025 zeigen, dass es bei Cyber-Risiken nicht mehr um hochfrequentierte Angriffe geht, sondern um anhaltenden Druck. Ransomware breitet sich durch professionelle Operationen, die einer florierenden Schattenindustrie entspringen, weiter aus. Währenddessen führt die unkontrollierte Nutzung von GenAI zu einer weitreichenden Gefährdung von Daten auf Unternehmensebene. Mit Blick auf das Jahr 2026 müssen Unternehmen vorbeugende Sicherheitsmaßnahmen, Echtzeit-KI-Bedrohungsinformationen und eine strenge Governance hinsichtlich der Nutzung von KI-Tools im gesamten Unternehmen priorisieren.“

Über die Datengrundlage

Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150 000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.