Hacker zielen verstärkt auf deutsche Wirtschaft und Bildung

Cyberkriminelle nehmen immer häufiger Ziele in Deutschland ins Visier. 1.286 Angriffe muss jedes deutsche Unternehmen inzwischen im Durchschnitt pro Woche abwehren, im Bildungssektor sind es sogar fast viermal so viele. Zugleich passen die Hacker ihre Angriffsvektoren mit KI-Unterstützung immer individueller an einzelne Branchen und Opfer an.

Manuel Kirchesch soll ViewSonic mit seiner reichhaltigen Erfahrung helfen, den dvLED-Bereich weiter auszubauen (Foto: Check Point)

Während viele Branchen derzeit mit schweren Verwerfungen aufgrund der globalen Kriege und Krisen zu kämpfen haben, verleihen diese dem Geschäft der Cyberkriminellen kräftigen Auftrieb. Wie sehr die von organisierten Cyberbanden beherrschte digitale Schattenwelt brummt, lässt sich gut anhand des aktuellen Global Cyber Attack Reports von Check Point Research für das zweite Quartal 2025 ablesen. Dieser verzeichnet zwischen April und Juni weltweit einen Anstieg der durchschnittlich jede Woche auf ein Unternehmen einprasselnden Cyberangriffe auf 1.984. Nicht nur im dystopisch orwellschen Sinne lässt diese Zahl aufhorchen, ganz faktisch bedeutet sie eine weitere Zunahme der Attacken um 21 Prozent gegenüber dem Vorjahreszeitraum und um fast 60 Prozent gegenüber dem Q2 2023.

1.984 Angriffe pro Woche prasseln im Durchschnitt jede Woche auf ein Unternehmen ein (Foto: Check Point)

Deutschland im Fokus der Angreifer

In der genaueren Betrachtung fällt zudem auf, dass Europa und Deutschland offenbar besonders interessant für die Aktivitäten der Gauner und Erpresser sind. Mit einem Plus von gut 22 Prozent ist Europa dem Report zufolge die Region mit dem größten Zuwachs der wöchentlichen Angriffe pro Einrichtung. Sie stiegen auf 1.669, womit Europa Nordamerika (1.430) inzwischen klar hinter sich lässt. Im DACH-Gebiet ist die wöchentliche Angriffsdichte mit 1.717zwar weiterhin in Österreich am größten, allerdings wächst sie in Deutschland mit 22 Prozent deutlich schneller als bei unseren südöstlichen Nachbarn (6 Prozent). Klassenprimus im DACH-Raum bleibt die Schweiz, deren Einrichtungen nur 1.097 Cyber-Sicherheitsvorfällen pro Woche ausgesetzt sind, was zugleich einer moderaten Steigerung von 9 Prozent entspricht.

Die höchste absolute Durchschnittszahl an wöchentlichen Angriffen wird mit 3.365 weiterhin in Afrika verzeichnet, gefolgt von APAC mit 2.874. Die Zunahme des Angriffsvolumens liegt hier mit 14 beziehungsweise 15 Prozent allerdings deutlich unter dem weltweiten Durchschnitt. Beim drittplatzierten Südamerika sind es sogar nur 5 Prozent mehr, und somit 2.803 Cyberangriffe pro Unternehmen und Woche. Diese Entwicklung deutet darauf hin, dass sich die Prioritäten verschieben. Gerade die professionellen Gruppen suchen sich immer häufiger lukrative Ziele aus als einfache. Dementsprechend investieren sie mehr Ressourcen in die entsprechenden Einzelangriffe gegen ausgesuchte Ziele mit großem Erpressungs- und Zahlungspotenzial. Unter Zuhilfenahme von KI-Tools werden die Attacken individueller und gefährlicher und richten potenziell größeren Schaden an.

"Der starke Anstieg der Cyber-Angriffe in diesem Quartal zeigt, wie schnell sich die Bedrohungslage entwickelt – auch hier in Deutschland", fasst Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point, die aktuelle Entwicklung zusammen.

Immer häufiger konzentrieren sich die Angreifer auf Firmen in Europa und Nordamerika (Foto: Check Point)

Bildung, Regierungen und Telekommunikation unter verstärktem Beschuss

Noch interessanter als die regionale Verteilung ist für die tägliche Praxis der Unternehmen und ihrer Dienstleistungspartner im Sicherheitsbereich allerdings die Betrachtung einzelner Branchen und Institutionsformen. Denn hier zeigen sich gravierende Unterschiede in der Gefährdungslage. Am größten ist diese weltweit im Bildungsbereich, in dem Organisationen in einer durchschnittlichen Woche mit 4.388 (Plus 31 Prozent) Cyberattacken zu kämpfen haben. Offenbar rechnen sich die Angreifer hier durch die Kombination aus oft unterfinanzierter Absicherung bei gleichzeitig hoher Nutzerzahl und der finanziellen Rückendeckung durch Länder und Staaten besonders große Erfolgschancen aus.

Selbst Regierungseinrichtungen werden mit nur etwas mehr als halb so vielen (2.632) Angriffen traktiert, ähnlich wie Telekommunikationsunternehmen (2.612) und Firmen sowie Einrichtungen im Bereich Healthcare und Medical (2.527). Auch hier sind besonders robuste Konzepte und Lösungen zur Absicherung besonders dringlich gefragt, zumal die Zahl der Angriffe mit 26 Prozent in den Bereichen Government und Healthcare und sogar 38 Prozent bei den TK-Unternehmen zugleich überdurchschnittlich stark zunimmt. Während es die Cyberkriminellen im Verwaltungsbereich besonders auf Geheimnisse abgesehen haben, hoffen sie im TK-Bereich vor allem auf Zugriff auf die immensen Datenbanken mit sensiblen Informationen der Kunden. Auf dem fünften Rang folgen schließlich Verbände und Non-Profit-Organisationen, die jede Woche 2.185 Cyberangriffe (Plus 36 Prozent) verzeichnen.

Der Bildungsbereich steht besonders unter Druck, aber auch Regierungen und Telekommunikationsanbieter müssen sich in Acht nehmen (Foto: Check Point)

Mehr Cyberattacken auf die IT-Branche

Doch auch die IT-Branche selbst nehmen die Cybergangster nur zu gerne und immer häufiger ins Visier. So werden auf Unternehmen aus den Bereichen Hardware und Halbleiter durchschnittlich 2.164 Attacken pro Woche gefahren, 53 Prozent mehr als im zweiten Quartal 2024. Für die Softwarebranche verzeichnet der Bericht 33 Prozent mehr wöchentlichen Angriffe, insgesamt 1.769-mal wird die Abwehr jedes Unternehmens in diesem Bereich in einer Woche geprüft. Für andere Unternehmen aus der Informationstechnologie werden 1.141 entsprechende Angriffe gelistet, und damit ebenfalls ein deutlich überdurchschnittliches Plus von 29 Prozent.

Den stärksten Anstieg aller Branchen gibt es in der Landwirtschaft, deren Vertreter mit 1.452 fast doppelt so oft (Plus 91 Prozent) angegriffen werden wie noch im Vorjahr. Auf Rang zwei liegt hier der Bereich des Freizeit- und Gastgewerbes mit einem Zuwachs von 64 Prozent auf 1.840 Angriffe pro Woche.

Erpressung bleibt Trumpf

Das beliebteste Instrument der Angreifer bleibt Ransomware, wobei es auch hier eine zunehmende Differenzierung verschiedener Varianten und Ziele gibt. Einerseits entfällt weiterhin große Anzahl auf die klassischen, meist auf breiter Front gefahrenen, Angriffe, die darauf abzielen, Daten zu verschlüsseln, um ein Lösegeld zu erpressen. Andererseits werden immer gezielter potenziell lohnende Opfer gesucht und mit Malware infiltriert. Statt einer Verschlüsselung setzten die Erpresser als Druckmittel hier gerne auf die angedrohte Veröffentlichung von entwendeten Geschäftsgeheimnissen und anderen Interna. Oft findet der aktive Teil der Angriffe nicht unmittelbar statt, sondern erst zu einem späteren Zeitpunkt (APT).

Die großen Fälle der Datenerpressung betreffen insbesondere Organisationen aus den Industrienationen (Foto: Check Point)

Die Security-Experten identifizierten im zweiten Quartal weltweit rund 1.600 entsprechender Bloßstellungen durch die Angreifer auf sogenannten "Shamesites". Etwas mehr als die Hälfte (53 Prozent) dieser meist größeren Fälle betrifft Unternehmen und Einrichtungen aus Nordamerika, weitere 25 Prozent solche aus Europa. Gleichzeitig stammt nur ein Prozent der Vorfälle aus Afrika, obwohl die Angriffsdichte dort am höchsten ist. Auch wenn die Meldungen auf solchen Seiten nur ein unvollständiges Bild abgeben, spiegeln sie dennoch den Gesamttrend allzu deutlich wieder. Während es den Angreifern in einigen Regionen vor allem um die Quantität in Form möglichst hoher Opferzahlen mit vergleichsweise geringem Lösegeld geht, setzen sie in den Industrieländern immer mehr auf eine hohe Angriffsqualität gegen gezielt ausgesuchte potenzielle Opfer, was zwar mehr Invest erfordert, aber auch deutlich mehr Ertrag verspricht.

Dementsprechend richten sich die Ransomware-Angriffe aktuell besonders häufig gegen Unternehmen und Einrichtungen aus den Bereichen Unternehmensdienstleistungen (10,7 Prozent), industrielle Fertigung (9,8 Prozent), Bau- und Ingenieurwesen (9,5 Prozent), Gesundheitswesen (7,8 Prozent) sowie Konsumgüter und Dienstleistungen (7,6 Prozent). Fast jeder 20. Erpressungsfall (4,4 Prozent) betraf zudem ein Unternehmen aus der IT-Branche selbst.

Auch die IT-Branche selbst wird immer wieder gezielt angegriffen (Foto: Check Point)

Die Professionalisierung der Angriffe wird sich nicht zuletzt durch die Möglichkeiten von KI-Tools künftig weiter verstärken. Umso dringender brauchen viele Unternehmen und Behörden professionelle Dienstleister an ihrer Seite, die ihnen helfen, den Wechsel von den alten reaktiven Sicherheitsmodellen hin zu proaktiven Schutzstrategien zu planen und umzusetzen. Besonders dringlich ist das bei den obersten Zielen auf der Liste, wie Boele betont: "Da Branchen wie Bildung, Behörden und Telekommunikation unter ständigem Druck stehen, müssen Unternehmen die Prävention priorisieren, für eine erhöhte Transparenz innerhalb ihrer IT-Umgebungen sorgen und Angreifern idealerweise einen Schritt voraus sein, bevor es zu Störungen oder Infiltrationen durch Cyber-Kriminelle kommt." Ein Rat, der angesichts der Verschiebungen bei den Angriffszielen und -methoden aber genauso für alle anderen Unternehmen und Einrichtungen gilt.

So können IT-Dienstleister Unternehmen vor Cyberangriffen schützen

Die sechs wichtigsten Schritte zu einer proaktiven Absicherung für mehr Resilienz gegen Cyberangriffe benennt der Security-Anbieter wie folgt:

Investition in Bedrohungsabwehr: Der Einsatz fortschrittlicher Sicherheitstechnologien wie Intrusion Prevention Systems (IPS), Anti-Ransomware-Tools und Threat Intelligence hilft, Angriffe frühzeitig zu blockieren, bevor sie Schaden anrichten.
Stärkung der Endpunkt- und Netzwerkabwehr: Robuste Firewalls, E-Mail-Sicherheitslösungen und Plattformen zum Schutz von Endgeräten reduzieren die Angriffsfläche wirkungsvoll.
Förderung des Benutzerbewusstseins: Regelmäßige Schulungen und simulierte Phishing-Übungen unterstützen Mitarbeiter dabei, verdächtige Aktivitäten zu erkennen und zu melden.
Sicherstellung von Backup- und Recovery-Bereitschaft: Aktuelle, segmentierte Backups sowie regelmäßig getestete Wiederherstellungsprozesse begrenzen Ausfallzeiten bei Ransomware-Angriffen oder anderen Störungen.
Umsetzung von Zero-Trust-Prinzipien: Kontinuierliche Überprüfung von Zugriffsberechtigungen und Segmentierung von Netzwerken minimieren laterale Bewegungen von Angreifern.
Aktualität und Wachsamkeit: Die kontinuierliche Beobachtung von Bedrohungsdaten und Branchenwarnungen ermöglicht es, aufkommende Gefahren frühzeitig zu erkennen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden