Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Produktion, Dienstleistung und Handel stehen deshalb bei ihnen besonders im Fokus. Drei professionalisierte RaaS-Gruppen dominieren dabei die deutsche Bedrohungslandschaft. Die Frage ist nicht mehr ob, sondern wann der Angriff kommt.
Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft.
Die Zahlen sind eindeutig: 34,1 Prozent aller öffentlich bekannten Ransomware-Angriffe in Deutschland treffen das produzierende Gewerbe. Das sind mehr als jeder dritte erfasste Cyberangriff. Diese Konzentration ist kein Zufall, sondern das Ergebnis einer kühlen Kosten-Nutzen-Rechnung krimineller Gruppen. Die Auswertung von 276 öffentlich bekannten Fällen aus dem Jahr 2025 zeigt: Die Lage verschärft sich, und die Bedrohung wird weiter zunehmen.
Der produzierende Sektor ist aus einem einfachen Grund das attraktivste Ziel: Stillstand kostet hier unmittelbar Geld. Während ein IT-Ausfall in anderen Branchen zu Verzögerungen führt, stoppt er in Produktionsbetrieben die Wertschöpfung sofort. Lieferketten reißen, Aufträge können nicht bedient werden und womöglich drohen Vertragsstrafen. Dieser wirtschaftliche Druck macht Unternehmen zahlungswillig, so das Kalkül der Erpresser.
Die Zahlen sprechen eine deutliche Sprache: Nach dem produzierenden Gewerbe folgen Dienstleistungen mit 21,4 Prozent und Handel & Logistik mit 16,3 Prozent. Deutschland ist ein Exportland. Es stellt her und liefert aus. Das wirtschaftliche Volumen, was dahinter steht, macht die Branchen so attraktiv. Im Vergleich dazu ist das Fallvolumen in der Finanz (2,9 Prozent) und im öffentlichen Sektor (4 Prozent) vergleichsweise gering.
Drei internationale Gruppen dominieren die Bedrohungslandschaft
Eine weitere bemerkenswerte Erkenntnis: 38 Prozent aller erfassten Angriffe gehen auf nur drei internationale Hackergruppen zurück – Safepay, Akira und Inc. Ransom. Diese Konzentration ist typisch für einen professionalisierten Markt. Die Gruppen operieren arbeitsteilig, verfügen über spezialisierte Ressourcen und nutzen erprobte Angriffsmuster. Sie haben sich auf bestimmte Branchen spezialisiert und optimieren ihre Taktiken kontinuierlich. Safepay führt die Liste mit 68 erfassten Fällen an, gefolgt von Akira mit 36 und Inc. Ransom mit 30 Angriffen.
Typische Taktiken
Safepay: Nutzt aggressives Social Engineering (Vishing) und flutet Unternehmen mit Spam-E-Mails. Geben sich anschließend als Microsoft Support aus (Infos).
Akira: Setzt auf verletzliche VPN oder RDP Zugänge und zielt auf bestimmte Schwachstellen in Software ab (Infos).
Inc. Ransom: Nutzt Spear-Phishing-Attacken oder komplexe Schwachstellen in Netzwerk-Software (Infos).
Bei unserer Analyse müssen wir von einer erheblichen Dunkelziffer ausgehen. Ransomware-Gruppen veröffentlichen typischerweise nur die Opfer, die sich weigern zu zahlen – als Druckmittel und Abschreckung. Unternehmen, die Lösegeld zahlen, bleiben meist unsichtbar. Das BSI geht davon aus, dass rund 15 Prozent der betroffenen deutschen Unternehmen Lösegeld zahlen. Daraus lässt sich hochrechnen: Die reale Zahl der Angriffe liegt bei mindestens 325 pro Jahr. Wahrscheinlich deutlich höher.
Diese Dunkelziffer erschwert die Bewertung der Gesamtbedrohung erheblich. Viele Unternehmen scheuen die öffentliche Kommunikation aus Angst vor Reputationsschäden, rechtlichen Konsequenzen oder weiteren Angriffen. Das macht es für Branchen und Wettbewerber schwerer, aus den Erfahrungen anderer zu lernen und Schutzmaßnahmen abzuleiten.
Für 2026 erwarten wir eine weitere Verschärfung der Lage. Drei Trends sind dafür verantwortlich:
Verwundbare Wertschöpfung im Exportland Deutschland: Industrie-IT, Lieferketten und OT-Systeme bleiben strukturell verwundbar. Viele Produktionsanlagen wurden nicht mit Blick auf Cybersecurity konzipiert. Legacy-Systeme lassen sich nicht einfach patchen, industrielle Steuerungsanlagen sind oft jahrzehntealt. Die Konvergenz von IT und OT, also klassischer Informationstechnologie und Operational Technology in Fabriken, schafft neue Angriffsvektoren, die viele Unternehmen noch nicht ausreichend absichern.
Vibe Coding & KI: Künstliche Intelligenz beschleunigt Angriffsmuster. KI-Tools helfen Angreifern, Schwachstellen schneller zu identifizieren, Spear-Phishing-Mails überzeugender zu formulieren und Verteidigungsmaßnahmen zu umgehen. Gleichzeitig entstehen mit sogenanntem Vibe Coding neue Werkzeuge, die es ermöglichen, Schadsoftware noch schneller und mit weniger Programmier-Expertise zu entwickeln.
Ransomware-as-a-Service: Ransomware-as-a-Service senkt die Einstiegshürden dramatisch. Kriminelle müssen keine eigene Schadsoftware mehr entwickeln. Sie mieten fertige Lösungen inklusive Support. Das Geschäftsmodell funktioniert nach dem Franchise-Prinzip: Entwickler erhalten einen Anteil am erpressten Lösegeld, Anwender führen die Angriffe durch. Diese Arbeitsteilung skaliert das Problem und ermöglicht es auch technisch weniger versierten Akteuren, schweren Schaden anzurichten.
Die gute Nachricht: Wirksamer Schutz ist möglich, aber er erfordert eine ganzheitliche Strategie. Cyber-resiliente Backup-Architekturen sind die letzte Verteidigungslinie. Backups müssen offline, unveränderbar und regelmäßig getestet werden. Der beste Schutz gegen Verschlüsselung ist ein Backup, das selbst im Angriffsfall nicht kompromittiert werden kann.
Darüber hinaus sind regelmäßige Security-Audits, Mitarbeiterschulungen und moderne Endpoint-Detection-Systeme unverzichtbar. Unternehmen sollten Incident-Response-Pläne entwickeln und regelmäßig durchspielen. Im Ernstfall zählt jede Minute – wer vorbereitet ist, minimiert Schaden und Ausfallzeiten.
Die Frage ist nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann. Wer das produzierende Gewerbe, kritische Infrastrukturen oder Lieferketten betreibt, steht bereits im Fadenkreuz. Die Uhr für präventive Maßnahmen tickt.
Über den Autor: Christoph Demiriz ist Experte für präventive und reaktive Cybersecurity. Als Geschäftsführer von Digital Recovery begleitet er Unternehmen im DACH-Raum nach Cyber-Angriffen – vom Produktionsstillstand bis zur vollständigen Wiederherstellung. Seine Erfahrung aus über dreihundert Fällen fließt in cyber-resiliente Backup-Architekturen ein, die selbst modernsten Angriffsszenarien standhalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/b4/d2b43b2301a8e26f7bcd93dea6c10d2d/0130920718v2.jpeg "Hinter der mutmaßlichen Spionagekampagne werden staatlich gesteuerten Cyberakteure aus Russland vermutet. (Bild: © kittikunfoto - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/2a/192a8d8c0b5cbafd2470af4b3fef7d76/0130667250v2.jpeg "Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft. (Bild: © Shutter2U - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c5/97c5e41a155d082355f34621af2f5791/0130857540v2.jpeg "Das anfälligeMicrosoft Repository „Windows-driver-samples“ ist ein öffentliches Microsoft-GitHub-Repository mit Beispiel- und Referenztreibern, das Unternehmen als Vorlage und Lernquelle für die Entwicklung, das Prototyping, das Testen sowie den Aufbau von Build- und Signierprozessen für Windows-Treiber nutzen. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/9d/bc9dcfdd933e98b243a9169450660359/0130898231v2.jpeg "Laut einem US‑Memo sollen in China ansässige Akteure mit Tarnkonten und Jailbreaking proprietäre Informationen sowie Modellausgaben führender US‑KI‑Systeme abgegriffen und zur Wissensdestillation eigener Modelle genutzt haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/58/7258f6552beb31078b4d0eb9a0e70a85/0130783444v2.jpeg "Um auch KI-Agenten abzusichern, die außerhalb der Überwachung klassischer EDR-Lösungen liegen, hat Palo Alto das Unternehmen Koi übernommen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a7/91/a79190a9b1c73a949ce511dceea7a21b/0130651929v2.jpeg "Acronis hat eine neue MDR-Plattform für Managed Service Provider vorgestellt. Damit sollen MSP jeder Größe ihren Kunden fortschrittliche Security-Services anbieten können. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/00/620002bdac5139da25d0556b44dcddcf/0130918121v1.jpeg "Im Jahr 2025 gab es 1.273 Microsoft-Schwachstellen, davon waren 157 kritisch. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/64/8564a8af5f8d3eddada95d651475d651/0130869867v2.jpeg "Thomas Kurian, CEO von Google Cloud, eröffente am 22. April die Next 2026. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fc/82/fc82eaa59557c92d7089239ed452921a/0130073814v1.jpeg "„Die Vorbereitung auf die Post-Quanten-Ära darf nicht aufgeschoben werden, bis der erste Quantencomputer den ‚Q-Day‘ einleitet“, warnt Dr. Sebastian Hausmann von NetApp. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/94/dc9415a5d9a392653404bb6a8fa81544/0130898040v2.jpeg "Die Schwachstelle EUVD-2026-25052 / CVE-2026-28950 führte dazu, dass als gelöscht markierte Benachrichtigungen in der Protokollierung von iOS und iPadOS verblieben und dadurch die Vorschauen privater Nachrichten auch nach dem Löschen ausgelesen werden konnten. (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/a8/1ea82c9ede1cb4112b01467d1a12ac5c/0130636224v2.jpeg "KI-Agenten sind weder klassische Nutzer noch Service Accounts. Unternehmen brauchen eine neue Identitätskategorie mit dynamischer Governance für autonome Agenten. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/93/2193abe92b41b79430ede4d31963ace8/0130666104v2.jpeg "Shadow Agentic AI ist ein blinder Fleck für CISOs. Autonome KI-Agenten handeln oft ohne Wissen der IT-Abteilung und ohne Governance-Richtlinien. (Bild: © Calado - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cd/22/cd221e0a638fcb236dbc04b8c0510c9f/0129879317v2.jpeg "TrustConnect ist eine neue Malware-as-a-Service, die sich als legitimes Remote-Management-Tool tarnt. Für 300 Dollar monatlich erhalten Cyberkriminelle Zugriff auf ein professionelles C2-Dashboard mit vorkonfigurierten Installern. (Bild: © James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/1e/2c1e3989b1b90904872cabde7eb0a6a4/0129888862v2.jpeg "Viele KMU verlassen sich auf Maßnahmen, die kaum Schutz bieten: klassische Antivirenprogramme erkennen moderne Ransomware oft nicht mehr zuverlässig, Backups sind häufig ungetestet und einmalige Awareness-Schulungen schaffen kein echtes Sicherheitsbewusstsein. (Bild: © Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/2a/f52ae5932796c8711c2309a85a2710a3/0125772619v2.jpeg "Die Auswirkungen von Ransomware sind in vielen Fällen so massiv, dass sich Unternehmen oftmals genötigt fühlen, die Lösegelder zu bezahlen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/90/12/901236e33feec719cf7db81c6ee57258/0125931804v1.jpeg "Die Analysten von Check Point werfen einen Blick auf die aktuellen Techniken, Taktiken und Verkaufsmodelle von Ransomware-Akteuren. (Bild: mikkelwilliam via Getty Images)")