Ransomware-Angriffe auf Rekordniveau – Deutschland unter den Top drei weltweit.
TrendAI, der Enterprise-Cybersecurity-Geschäftsbereich von Trend Micro, veröffentlicht seinen Cyber Risk Report 2026. Der Bericht zeichnet ein zwiespältiges Bild der globalen Bedrohungslage: Während sich Unternehmen in Cybersicherheitsfragen messbar besser aufstellen, nimmt gleichzeitig die Zahl erfolgreicher Ransomware-Angriffe weltweit deutlich zu.
Zusammenfassung (TL; DR):
- Deutschland zählt laut dem TrendAI Cyber Risk Report 2026 mit 433 Vorfällen zu den drei am stärksten von Ransomware betroffenen Ländern weltweit. Das allgemeine Cyberrisiko in Unternehmen hat sich leicht verbessert hat.
- Angreifer nutzen zunehmend ungepatchte Schwachstellen und Schwächen im Identitätsmanagement für vollständige Angriffsketten, wobei insbesondere kleine Unternehmen als Einfallstor dienen.
- Angesichts einer stark fragmentierten Bedrohungslandschaft empfiehlt der Bericht einen risikobasierten Ansatz, der den Schutz von Identitäten in den Vordergrund stellt.
Deutschland zählte 2025 mit 433 bestätigten Ransomware-Angriffen (laut beobachteten Leak-Seiten von Cyberkriminellen) zu den drei weltweit am stärksten betroffenen Ländern. Nur die USA (4.893) und Kanada (520) verzeichnen noch mehr erfolgreiche Angriffe.

- Das globale Cyberrisiko sank im Jahresdurchschnitt leicht von 38,5 auf 35,8 Punkte. Der Trend verlief jedoch sehr volatil. Im April stieg das Risiko durch neue IT-Projekte auf 37,4 Punkte. Insgesamt verharren alle Unternehmen im mittleren Risikobereich.
- Risikoniveau im Branchenvergleich: Bergbau führte 2025 mit einem CRI von 42,5 erstmals die Rangliste der Branchen mit dem höchsten Risiko an. Diese sind gefolgt vom Gesundheitswesen und der Landwirtschaft (je 40,3), der Telekommunikation (39,9) und dem Bildungswesen (39,8) sowie Behörden und öffentlichen Einrichtungen (39,7).
- Kleine Unternehmen zunehmend als Einfallstor im Visier: Unternehmen mit bis zu 100 Mitarbeitenden sind zwar weiterhin die Gruppe mit dem niedrigsten Risiko, zugleich aber das einzige Größensegment, dessen CRI 2025 gestiegen ist. Dies deutet darauf hin, dass Angreifer kleine Unternehmen zunehmend als Einfallstor in größere Lieferketten nutzen.
- Cloud-Zugriffe und veraltete Konten bleiben Hauptrisikofaktoren: Wie im Vorjahr führen riskante Zugriffe auf Cloud-Applikationen und veraltete Microsoft Entra ID-Konten die Liste der am häufigsten erkannten Risikoereignisse an. Konten mit deaktivierter Multi-Faktor-Authentifizierung (MFA) zählen weiterhin zu den größten Schwachstellen. Neu in den Top 5: Verstöße gegen Zero-Trust-Zugriffsregeln (ZTSA), ein Zeichen für die wachsende, aber noch nicht überall konsequent durchgesetzte Zero-Trust-Adoption.
- Schwachstellenmanagement braucht mehr als CVSS-Werte: Unter den zehn am häufigsten erkannten, ungepatchten Schwachstellen (CVEs) befinden sich drei mit lediglich mittlerem Schweregrad. Diese ermöglichen jedoch im Zusammenspiel mit hochkritischen Sicherheitslücken für Remote-Codeausführung und Rechteausweitung besonders gefährliche Angriffsketten.
Attack Path Prediction zeigt reale Angriffswege auf
- Attack Path Prediction zeigt reale Angriffswege auf: Die erstmals ausgewertete Attack Path Prediction-Funktion von TrendAI Vision One zeigt, dass ungepatchte Schwachstellen mit Abstand am häufigsten den Ausgangspunkt vollständiger Angriffspfade bilden (über 2,3 Millionen erkannte Pfade), gefolgt von Password-Spraying- und Password-Guessing-Angriffen auf schwach abgesicherte Konten (zusammen über 2 Millionen Pfade). Am Ende der Angriffskette steht in den meisten Fällen ein Benutzerkonto als Ziel – mit durchschnittlich rund 33.000 anvisierten Konten pro Tag nahezu doppelt so häufig wie Endgeräte auf Platz zwei.
- Die Ransomware-Landschaft fragmentiert sich rasant und wird deutlich aktiver. Die Opferzahlen der zehn aktivsten Gruppen stiegen um 236 Prozent auf 5.096 Unternehmen. Dabei übernehmen neue Akteure die Spitze des Rankings. Qilin führt die Rangliste mit 1.262 erfolgreichen Angriffen an, gefolgt von Akira auf Platz zwei.Der Cyber-Markt verändert sich extrem schnell. Gleich fünf neue Gruppen stiegen in die Top Ten ein, während ehemals dominante Akteure massiv an Bedeutung verloren. Eine Verteidigungsstrategie, die nur bekannte Gruppen abwehrt, greift daher zu kurz. Unternehmen hinken der Entwicklung so permanent hinterher. Die wirksamste Verteidigung konzentriert sich stattdessen auf das Reduzieren der eigenen Schwachstellen. Es ist letztlich egal, welcher Angreifer die Sicherheitslücke ausnutzt.
Empfehlungen für Unternehmen
Um das Cyberrisiko nachhaltig zu senken, rät der japanische Sicherheitsanbieter Unternehmen zu einem konsequent risikobasierten Sicherheitsansatz:
- Konfigurationen aktiv optimieren: Schutzmechanismen wie Web-Reputation oder Scans erfordern kontinuierliche Nachbesserung. Bereits einzelne Fehlkonfigurationen schwächen den Schutz erheblich. [1, 2]
- IAM konsequent durchsetzen: Veraltete Konten müssen gelöscht und riskante Konten deaktiviert werden. Sichere Passwörter und flächendeckende MFA verhindern Password-Spraying. [1]
- Schwachstellen risikobasiert priorisieren: Auch mittlere Schwachstellen erfordern Beachtung. Im Zusammenspiel mit anderen Lücken ermöglichen sie gefährliche Angriffsketten. [1]
- Angriffspfade ganzheitlich betrachten: Attack Path Prediction hilft bei der Priorisierung realer Risiken. Die Wahrscheinlichkeit eines Erfolgs zählt mehr als die Häufigkeit.
- Sicherheitsplattformen operativ nutzen: Vorhandene Tools müssen im Alltag ankommen. Nutzen Sie dafür automatisierte Playbooks und KI-gestützte Priorisierung.
TrendAI Vision One Cyber Risk Exposure Management (CREM) verwendet einen Risikoereigniskatalog, um eine Risikobewertung für jeden Anlagentyp und eine Indexbewertung für Unternehmen zu formulieren. Dazu werden die Gefährdungs- und Sicherheitskonfiguration einer Anlage mit der Kritikalität der Anlage multipliziert. Das Ergebnis ist eine ganze Zahl zwischen null und 100, die in eine von drei Stufen fällt: Geringes Risiko (0-30), mittleres Risiko (31-69) und hohes Risiko (70-100).



