1235 wöchentliche Attacken auf deutsche Organisationen

In seiner neuen monatlichen Analyse berichtet CPR von einem Zuwachs an Cyber-Angriffen in Europa um 15 Prozent und damit den stärksten Anstieg im regionalen Vergleich. Im DACH-Raum sind die Zahlen rückläufig. Global ist das Bildungswesen mit 4248 Angriffen mit Abstand am stärksten betroffen.

Check Point Research (CPR) hat seinen Global Cyber Threats Report für Juli 2025 veröffentlicht. Im Juli waren Unternehmen im globalen Vergleich durchschnittlich 2011 Cyber-Angriffen pro Woche ausgesetzt. Das ist ein Anstieg von drei Prozent gegenüber dem Vormonat und zehn Prozent gegenüber dem Vorjahr. In Deutschland ist die Zahl wöchentlicher Cyber-Attacken pro Organisation nur leicht um 0,1 Prozent auf 1235 gestiegen. Für den DACH-Raum ist die Anzahl mit durchschnittlich 1356 leicht rückläufig um 4 Prozent.

Hinweis: Der neue Bericht löst die bisherige Top-Malware-Rangliste ab und wird monatlich umfangreich über Cyber-Attacken, Ransomware-Fälle, Malware-Trends und Hacker-Gruppen informieren sowie länderspezifische Daten heranziehen. Damit erweitert CPR den bisherigen Erkenntnisrahmen der Top Malware um Statistiken zur Gefahrenlage in den wichtigsten Regionen, Ländern und Wirtschaftssektoren.

Zunehmende Angriffe in vielen Staaten und Branchen

Die Bedrohungslage variiert stark nach Region, verschärft sich jedoch in der Tendenz. In Europa stellte CPR den schlechtesten Trend fest: Das Volumen der Angriffe liegt zwar hinter anderen Regionen, verzeichnete jedoch mit 15 Prozent den stärksten Anstieg von allen (siehe Abbildung 1). Der asiatisch-pazifische Raum (APAC) verzeichnete mit 3403 Angriffen pro Organisation und Woche den höchsten Durchschnitt – ein Anstieg von drei Prozent gegenüber dem Vorjahr. Lateinamerika folgte mit 2917 Angriffen pro Woche, was einem Anstieg von vier Prozent gegenüber Juli 2024 entspricht. In Nordamerika gab es 2870 Angriffe pro Unternehmen, was einem Anstieg von fünf Prozent entspricht.

Wie eingangs erwähnt, betrug im Juli die durchschnittliche wöchentliche Anzahl von Cyber-Angriffen pro Organisation weltweit 2011. Das entspricht einem Anstieg von drei Prozent gegenüber dem Vormonat und von zehn Prozent gegenüber Juli 2024. Der stetige Anstieg unterstreicht, wie hartnäckig und anpassungsfähig die Cyber-Kriminellen nach wie vor sind. Die Daten deuten auf einen weltweiten Anstieg der Cyber-Risiken hin, aber der starke Anstieg in Europa lässt vermuten, dass sich die Angreifer auf bisher weniger betroffene Regionen konzentrieren.

Abbildung 1: Durchschnittliche Anzahl wöchentlicher Angriffe pro Organisation nach Ländern und Regionen, inklusive Vorjahresvergleich (Quelle: Check Point Software Technologies Ltd.).

Angriffe nach Sektoren: Bildungssektor weltweit unter Dauerbeschuss

In Deutschland waren die folgenden Bereiche und Wirtschaftssektoren am meisten von Cyber-Angriffen betroffen:

1. Bildungswesen
2. Energie & Versorgung
3. Telekommunikation
4. Gesundheitswesen & Medizin
5. Informationstechnologie

Auch in der globalen Betrachtung sind einige Wirtschaftsbranchen weitaus stärker betroffen als andere: An der Spitze der Liste steht auch hier der Bildungssektor mit durchschnittlich 4248 Angriffen pro Organisation und somit der höchsten absoluten Anzahl an Cyber-Angriffen pro Woche – ein Anstieg von elf Prozent gegenüber dem Vorjahr (siehe Abbildung 2). Der Telekommunikationssektor folgte mit 2769 Angriffen pro Woche, was einem Anstieg von 24 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Behörden lagen mit 2745 Angriffen pro Woche nicht weit dahinter, ein Anstieg von sechs Prozent gegenüber dem Vorjahr.

Am auffälligsten ist der Zuwachs im Agrarsektor mit 81 Prozent, was auf seine steigende Attraktivität als leichtes Ziel hindeutet. Es zeigt sich: Von Bildungsnetzwerken über Telekommunikationsriesen bis hin zu landwirtschaftlichen Betrieben – keine Branche ist immun, und einige werden zu bevorzugten Zielen der Hacker.

Abbildung 2: Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Juli 2025 verglichen mit Juli 2024 (Quelle: Check Point Software Technologies Ltd.).

Ransomware-Angriffe nach Regionen und Branchen

Im Juli 2025 beobachtete CPR 518 aus Tätersicht gelungene Ransomware-Angriffe, was einem Anstieg von 28 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Nordamerika war mit 52 Prozent aller gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 25 Prozent (siehe Abbildung 3).

Abbildung 3: Anzahl der auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen nach Regionen im Juli 2025 (Quelle: Check Point Software Technologies Ltd.)

Weltweit war der Sektor Konsumgüter und Dienstleistungen mit einem Anteil von zwölf Prozent der gemeldeten Angriffe am stärksten betroffen. Es folgten die Sektoren Bauwesen und Ingenieurwesen mit rund zehn Prozent und Unternehmensdienstleistungen mit gerundet 10 Prozent (siehe Abbildung 4).

Abbildung 4: Anteil der Sektoren an allen auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen im Juli 2025 (Quelle: Check Point Software Technologies Ltd.)

Hinweis: Diese Daten stammen von Shame Sites für Ransomware, die von Double-Extortion-Gruppen betrieben werden, die Informationen über ihre Opfer veröffentlichen. Diese Quellen sind zwar von Natur aus voreingenommen und unvollständig, bieten jedoch wertvolle Einblicke in Ransomware-Trends und die Opferzahl.

Aktivste Ransomware-Gruppen

Im Juli 2025 dominierten drei Ransomware-as-a-Service-Gruppen (RaaS) und waren für einen großen Teil der öffentlich bekannt gewordenen Angriffe verantwortlich. Dieser Abschnitt basiert ebenfalls auf Daten von Ransomware-Shame-Sites.

• Qilin war für zwölf Prozent aller veröffentlichten Angriffe verantwortlich und damit die aktivste Gruppe in diesem Monat. Qilin, früher bekannt als Agenda, ist seit 2022 aktiv und hat seine Infrastruktur stetig ausgebaut. Im September 2022 gab sich die Gruppe einen neuen Namen und führte einen auf Rust basierenden Encrypter ein. Seit März 2025 – nach der Stilllegung von RansomHub – hat Qilin die Rekrutierung von Affiliates intensiviert und die Zahl der veröffentlichten Opfer drastisch erhöht. Affiliates erhalten ein voll funktionsfähiges Admin-Panel, eine Verhandlungsinfrastruktur und Support-Services.
• Ransom war für neun Prozent der Angriffe verantwortlich. Die Gruppe ist seit Mitte 2023 aktiv und hat ein ausgeprägtes Opferprofil: 33 Prozent ihrer Ziele im zweiten Quartal 2025 stammten aus dem Gesundheitswesen und zehn Prozent aus dem Bildungsbereich – Sektoren, die von einigen Gruppen oft als tabu angesehen werden. Sie betreibt außerdem eine Infrastruktur mit zwei Standorten: ein durch Anmeldedaten geschütztes Verhandlungsportal und eine öffentliche Website für die Veröffentlichung von Daten. Inc. Ransom unterstützt sowohl Windows- als auch Linux-Payloads und wächst stetig in Umfang und Leistungsfähigkeit.
• Akira beanspruchte acht Prozent der gemeldeten Angriffe für sich. Akira wurde erstmals Anfang 2023 identifiziert und zielt auf Windows-, Linux- und ESXi-Systeme ab. Die Opferstatistik für das zweite Quartal 2025 zeigt einen Schwerpunkt auf Unternehmensdienstleistungen (19 Prozent) und die industrielle Fertigung (18 Prozent). Im Jahr 2024 veröffentlichte sie eine für ESXi-Umgebungen optimierte Rust-basierte Variante mit selektiver Verschlüsselung, VM-Targeting, Laufzeitkontrollen und einem Rust-Build-ID-Schutz, der Reverse Engineering verhindern soll.

Diese Gruppen entwickeln sich sowohl hinsichtlich ihrer Tools als auch ihrer Ziele weiter und gehören damit zu den gefährlichsten Akteuren, die in den kommenden Monaten zu beobachten sind.

Fazit

Der im Juli 2025 beobachtete Anstieg von Ransomware setzt einen Trend fort, der sich kontinuierlich durch das laufende Jahr zieht und drei Schlussfolgerungen zulässt: die vergrößerte Reichweite von Hackern, die Weiterentwicklung von Ransomware-as-a-Service-Ökosystemen und den wachsenden Druck auf kritische Sektoren. Diese Trends sind jedoch nur ein Teil des Gesamtbildes. Die hier dargestellten Daten bieten nur einen kleinen Einblick in die sich wandelnde Landschaft der Ransomware und Cyber-Angriffe. Da die Cyber-Kriminellen ihre Techniken verfeinern und ihre Reichweite maximieren, müssen Unternehmen über Gefahren informiert bleiben und präventive Verteidigungsmaßnahmen etablieren.

„Die Daten für Juli zeigen, dass Ransomware nicht nur die größte Gefahr im Cyberspace bleibt, sondern sich auch rasch weiterentwickelt. Gefährliche Gruppen wie Qilin weiten ihren Einflussbereich auf hochwertige Ziele aus“, so Lotem Finkelstein, Director, Threat Intelligence and Research bei Check Point Software Technologies: „Diese Angriffe treffen jeden Winkel der Welt und jede Art von Organisation. Präventionsstrategien auf Basis künstlicher Intelligenz sind die einzige Möglichkeit, um gegenüber den Drahtziehern einen Vorsprung zu behalten.“

Eine detailliertere Analyse, einschließlich gruppenspezifischer Taktiken, regionaler Dynamiken und praktischer Verteidigungsstrategien, finden Sie im vollständigen Ransomware-Bericht für das zweite Quartal 2025 . Dieser bietet einen detaillierten Einblick in jene Bedrohungen, welche die zweite Jahreshälfte prägen werden.

Über die Datengrundlage

Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150 000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.