Angriffe steigen um 124 Prozent

Die Cyberlage in Deutschland, Österreich und der Schweiz spitzt sich dramatisch zu: Laut dem aktuellen „DACH Threat Landscape 2025 “-Report von Check Point haben Cyberangriffe in der Region innerhalb eines Jahres um 124 Prozent zugenommen.

Besonders alarmierend: Politisch motivierte Hackergruppen nutzen geopolitische Konflikte zunehmend für groß angelegte DDoS-Angriffe, Defacements und gezielte Störungen kritischer Infrastrukturen. Gleichzeitig professionalisieren sich Ransomware-Banden weiter – mit erheblichen Risiken für Unternehmen, Behörden und Lieferketten.

Cyberangriffe in der DACH-Region erreichen neuen Höchststand

Der neue Report von Check Point Software Technologies zeigt eine drastische Verschärfung der Bedrohungslage im deutschsprachigen Raum. Rund 18 Prozent aller in Europa registrierten Cybervorfälle entfielen 2025 auf die DACH-Region. Deutschland allein war für 13 Prozent aller europäischen Angriffe verantwortlich und bleibt damit das Hauptziel internationaler Bedrohungsakteure.

Besonders stark eskalierten die Attacken im Sommer 2025 nach der von Europol koordinierten „Operation Eastwood“. Dabei wurden mehr als 100 Server der pro-russischen Hackergruppe NoName057(16) abgeschaltet. Die Reaktion folgte unmittelbar: Unter dem Hashtag #FuckEastwood starteten Hacktivisten massive Vergeltungsangriffe auf öffentliche Einrichtungen und Unternehmen in Deutschland sowie den Nachbarstaaten.

Deutschland besonders betroffen

Mit 82 Prozent aller registrierten Vorfälle innerhalb der DACH-Region war Deutschland mit Abstand am stärksten betroffen. Dahinter folgen die Schweiz mit 12 Prozent und Österreich mit 8 Prozent.

Auffällig ist vor allem die Dominanz ideologisch motivierter Angriffe:

• 66 Prozent aller Vorfälle waren Defacements und DDoS-Kampagnen
• Hauptakteure waren pro-russische und politisch motivierte Gruppen wie NoName057(16)
• Rund 30 Prozent der Vorfälle entfielen auf Ransomware-Angriffe durch Gruppen wie Safepay, Akira und Qilin

Die Angreifer konzentrierten sich insbesondere auf Business Services, Behörden und kritische Infrastrukturen. Laut Report nutzen Cyberkriminelle gezielt die hohe Vernetzung und Abhängigkeit moderner Lieferketten in der DACH-Region aus.

Ransomware wird professioneller und gefährlicher

Während Hacktivisten maximale öffentliche Aufmerksamkeit suchen, agieren moderne Ransomware-Gruppen zunehmend verdeckt und hochprofessionell. Besonders aktiv waren laut Check Point die Gruppen Safepay, Akira und Qilin.

Safepay setzte verstärkt auf sogenannte „Double Extortion“-Strategien, bei denen gestohlene Daten zusätzlich zur Verschlüsselung veröffentlicht oder verkauft werden. Akira fokussierte sich auf hybride Windows- und Linux-Umgebungen und nutzte fehlende Multi-Faktor-Authentifizierung gezielt aus. Das Qilin-Kartell wiederum setzte auf plattformübergreifende Malware in Rust und betrieb eigene Leak-Portale im Darknet.

Kritische Infrastruktur und Lieferketten im Fokus

Wie real die Gefahr inzwischen ist, zeigen mehrere gravierende Vorfälle aus dem Jahr 2025:

• Ein Angriff auf das Boarding-System eines Luftfahrtunternehmens führte zu massiven Störungen an europäischen Flughäfen – darunter auch am BER in Berlin.
• Ein Ministerium musste nach einer schweren Malware-Infektion zeitweise sämtliche E-Mail- und IT-Dienste abschalten.
• Beim Supply-Chain-Angriff „Shai Hulud 2.0“ wurden über 600 npm-Pakete und rund 25.000 GitHub-Repositories kompromittiert. Zehntausende Entwicklerzugänge galten dadurch als gefährdet.
• Europol gelang mit der „Operation Endgame“ ein bedeutender Schlag gegen internationale Botnetze wie Rhadamanthys, die weltweit mehr als 100.000 Krypto-Wallets kompromittiert hatten.

Experten warnen vor weiterer Eskalation 2026

„Der alarmierende Anstieg der Angriffe um 124 Prozent im Vergleich zum Vorjahr verdeutlicht, dass die DACH-Region weiterhin attraktiv für Cyberkriminelle bleibt“, erklärt Daniel Dreier, Area Manager DACH bei Check Point Exposure Management. „Insbesondere deutsche Unternehmen und Behörden stehen im Fokus von Hacktivisten. Sie nutzen geopolitische Spannungen für disruptive Kampagnen oder Erpressung aus. Angriffe zielen allerdings oft weniger auf finanziellen Gewinn ab, sondern wollen maximale öffentliche Aufmerksamkeit und Störungen verursachen.“

Besonders Unternehmen und Behörden in Deutschland stünden zunehmend im Fokus politisch motivierter Kampagnen und digitaler Erpressung.

Für 2026 erwarten die Sicherheitsforscher eine weitere Verschärfung der Lage. Vor allem das Gesundheitswesen, Energieversorger und industrielle Netzwerke könnten verstärkt attackiert werden. Zusätzlich sehen Experten Risiken bei der Umsetzung regulatorischer Vorgaben wie NIS2 in Deutschland und dem NISG 2026 in Österreich. Übergangsphasen bei der technischen Implementierung könnten neue Angriffsfenster schaffen.

Auch politische Ereignisse wie Landtagswahlen in Deutschland oder Referenden in der Schweiz gelten als potenzielle Katalysatoren für Desinformationskampagnen und koordinierte DDoS-Angriffe.

Diese Maßnahmen empfehlen Sicherheitsexperten

Um sich gegen die steigende Bedrohungslage zu schützen, empfehlen die Analysten unter anderem:

• KI-gestützte Angriffserkennung zur Identifikation verdächtiger Aktivitäten
• Kontinuierliches Schwachstellen-Management für Cloud- und On-Prem-Systeme
• Strenge Sicherheitsprüfungen bei Drittanbietern und Lieferketten
• Ausbau und regelmäßiges Testen von Incident-Response-Strategien
• Konsequente Einführung von Multi-Faktor-Authentifizierung