Cyber Threat Report

Check Point Cyber Threat Report September 2025: DACH-Region mit Verschnaufpause

, Check Point | Autor: Herbert Wieler

Check Point Cyber Threat Report September 2025: DACH-Region mit Verschnaufpause

Ein kleiner Lichtblick für Unternehmen in Deutschland, Österreich und der Schweiz: Laut dem aktuellen Global Cyber Threat Report von Check Point Research (CPR) ist die Zahl der Cyberangriffe im September 2025 leicht zurückgegangen. Besonders deutlich zeigte sich der Rückgang in der Schweiz. Weltweit bleibt die Lage jedoch angespannt – vor allem durch den massiven Anstieg von Ransomware-Attacken und den wachsenden Einfluss generativer KI in Cyberkampagnen.

Cyberangriffe im DACH-Raum: leichter Rückgang

Weltweit waren Unternehmen im September durchschnittlich 1900 Cyberangriffen pro Woche ausgesetzt – vier Prozent weniger als im August, aber ein Prozent mehr als im Vorjahr. In Deutschland sank die Zahl der wöchentlichen Attacken pro Organisation um fünf Prozent auf 1151. Im gesamten DACH-Raum lag der Durchschnitt bei 1227 Angriffen pro Woche – ein Minus von rund 10,5 Prozent gegenüber August.

Regionale Unterschiede im globalen Vergleich

Die Entwicklungen unterscheiden sich weltweit deutlich:

  • Europa: 1 577 Angriffe pro Woche (+1 % gegenüber Vorjahr)
  • DACH-Region: 1 227 Angriffe (-10,5 % ggü. August)
  • Afrika: 2 902 Angriffe (-10 %) – weiterhin die Region mit den meisten Attacken
  • Asien-Pazifik: 2 668 Angriffe (-10 %)
  • Lateinamerika: 2 826 Angriffe (+7 %)
  • Nordamerika: 1 468 Angriffe (+17 %) – der stärkste Anstieg weltweit Die Zahlen zeigen: Während Mitteleuropa kurzzeitig aufatmen kann, intensivieren Angreifer ihre Aktivitäten vor allem in Nord- und Südamerika.

Deutschland: Bildungssektor bleibt im Fokus

In Deutschland trifft es weiterhin am häufigsten das Bildungswesen, gefolgt von den Branchen Energie & Versorgung, Telekommunikation, Medien & Unterhaltung sowie Informationstechnologie. Die Rangfolge blieb im Vergleich zum Vormonat weitgehend stabil.

Globaler Blick: Landwirtschaft im Visier, Bildung weiter Hauptziel

Weltweit bleibt der Bildungssektor mit durchschnittlich 4 175 Angriffen pro Organisation und Woche der am stärksten betroffene Bereich – trotz eines Rückgangs um drei Prozent im Vergleich zum Vorjahr.

An zweiter Stelle folgt die Telekommunikation (2 703 Angriffe, +6 %), während staatliche Institutionen mit 2 512 Angriffen (-6 %) etwas entlastet wurden. Besonders auffällig: Die Landwirtschaft verzeichnete den größten Zuwachs – +57 % gegenüber dem Vorjahr. Die zunehmende Digitalisierung mit IoT-Sensoren, automatisierten Systemen und Drohnentechnologien macht den Sektor besonders angreifbar. Gleichzeitig investieren viele Betriebe weniger in Cyber-Sicherheit – eine gefährliche Kombination, die Hacker gezielt ausnutzen.

Eine erfolgreiche Attacke auf die Lebensmittelproduktion kann nicht nur finanzielle Schäden verursachen, sondern auch die Versorgungssicherheit gefährden – und in geopolitischen Konflikten sogar als strategische Waffe dienen.

Ransomware nimmt weiter zu – vor allem in Nordamerika

Ransomware bleibt die größte Bedrohung im digitalen Raum. Im September wurden 562 Ransomware-Angriffe öffentlich gemeldet – 46 % mehr als im Vorjahr.

  • Nordamerika war mit 54 % aller Vorfälle am stärksten betroffen.
  • Europa folgte mit 19 %,
  • die USA allein machten 52 % aller Fälle aus.
  • Auch Südkorea (5 %), Großbritannien (4 %) und Deutschland (4 %) gehören weiterhin zu den Hauptzielen.

Besonders betroffene Branchen bei Ransomware

  • Bau- und Ingenieurwesen: 11,4 % der Opfer
  • Unternehmensdienstleistungen: 11 %
  • Industrielle Fertigung: 10,1 % Auch das Gesundheitswesen, Finanzdienstleister und Konsumgüterhersteller verzeichneten zahlreiche Angriffe.

Die aktivsten Ransomware-Gruppen im September

  • Qilin (↔) bleibt mit 14,1 % der veröffentlichten Attacken die aktivste Gruppe. Die Gruppe – früher bekannt als Agenda – setzt auf einen Rust-basierten Verschlüsseler und eine stark ausgebaute Ransomware-as-a-Service-Infrastruktur.
  • Play (↑) folgt mit 8 % und konzentriert sich auf Industrie- und Unternehmensziele.
  • Akira (↓), auch bekannt als PlayCrypt, attackiert Organisationen in Nord-, Südamerika und Europa. Sie nutzt gezielt Schwachstellen, etwa in Fortinet SSL-VPNs, und agiert mit sogenannten Living-off-the-Land-Taktiken, um unentdeckt zu bleiben.

Fazit: Weniger Angriffe – aber mit wachsender Raffinesse

Während die Zahl der Angriffe insgesamt leicht zurückgeht, werden die Methoden der Angreifer komplexer, schneller und gezielter. Ransomware bleibt die zerstörerische Hauptbedrohung. Gleichzeitig entstehen durch generative KI neue Risiken – etwa durch automatisierte Phishing-Kampagnen oder manipulierte Datenlecks.

Omer Dembinsky, Data Research Group Manager bei Check Point

Omer Dembinsky, Data Research Manager bei Check Point Software , fasst zusammen: „Die Zahlen zeigen: Zwar ist die Gesamtzahl der Attacken leicht rückläufig, aber die Professionalität der Angriffe nimmt zu. Ransomware bleibt eine der gefährlichsten Bedrohungen, und der Missbrauch von generativer KI schafft neue Risiken. Nur wer auf präventive Echtzeit-Sicherheit setzt – gestützt auf KI und über alle Netzwerke, Clouds, Endpunkte und Identitäten hinweg – kann heute noch Schritt halten.“

Über die Datengrundlage

Die Analyse basiert auf Daten aus Check Points ThreatCloud, einer KI-basierten Plattform, die täglich Millionen Indikatoren für Kompromittierungen (IoCs) auswertet. Mit Informationen aus über 150 000 Netzwerken und Millionen Endpunkten liefert ThreatCloud einen der umfassendsten Echtzeitüberblicke über die globale Cyber-Bedrohungslage.