Daten von Google Threat Intelligence aus dem Jahr 2025 zeigen, dass die Anzahl der auf Datenleck-Seiten gelisteten deutschen Organisationen um 92 Prozent gestiegen ist – dreimal so stark wie der europäische Durchschnitt.
Im Jahr 2025 wurde Deutschland wieder zu einem zentralen Zielgebiet für Cyber-Erpressungsoperationen in Europa. Die Veröffentlichungen auf Datenleck-Seiten, die deutsche Organisationen auflisteten, nahmen laut Google Threat Intelligence deutlich zu. Weltweit stieg die Zahl solcher Veröffentlichungen im Jahr 2025 um fast 50 Prozent. Der in Deutschland beobachtete Zuwachs übertraf die Rate in den Nachbarländern und kehrte zu den Aktivitätsniveaus zurück, die zuletzt in den Jahren 2022 und 2023 verzeichnet wurden.
Die Positionierung Deutschlands folgte 2024 einem anderen Muster, als das Vereinigte Königreich die höchste Zahl gelisteter Opfer verzeichnete. 2025 rückte Deutschland an die Spitze. Dieser Wandel lässt sich nicht allein auf die Gesamtzahl der in dem Land tätigen Unternehmen zurückführen. Deutschland verfügt über weniger aktive Unternehmen als Frankreich oder Italien. Die Anziehungskraft für Erpressungsgruppen ergibt sich vielmehr aus dem fortgeschrittenen Charakter der deutschen Wirtschaft und dem Ausmaß der Digitalisierung in ihrer industriellen Basis.
Die Zahl der auf Datenleck-Seiten gelisteten deutschen Opfer stieg zwischen 2024 und 2025 um 92 Prozent. Dieser Zuwachs entsprach dem Dreifachen des durchschnittlichen Wachstums, das europaweit verzeichnet wurde. Die Aktivitäten gegen Organisationen im Vereinigten Königreich gingen im gleichen Zeitraum zurück, während die Volumina in nicht-englischsprachigen Ländern zunahmen. Mehrere miteinander verbundene Faktoren erklären diese Entwicklung. Cyber-Kriminelle Gruppen haben künstliche Intelligenz-Tools eingesetzt, um die Lokalisierung von Angriffen und die zugehörigen Kommunikationen zu automatisieren. Die Technologie hat die schützende Wirkung verringert, die Sprachunterschiede früher boten. Gleichzeitig haben die Gruppen ihre Aufmerksamkeit auf den deutschen Mittelstand gelenkt. Dieses Segment der Wirtschaft besteht aus kleinen und mittleren Unternehmen, die häufig in spezialisierten Fertigungs- und Ingenieurbranchen tätig sind und einen zentralen Bestandteil der deutschen Industrieproduktion bilden.
Größere Organisationen in Nordamerika und im Vereinigten Königreich haben ihre Sicherheitsmaßnahmen verbessert oder Vorfälle durch private Vereinbarungen mit Unterstützung von Cyber-Versicherungen gelöst. Das Ergebnis war eine Verlagerung der Bedrohungsakteure hin zu Märkten, die sie als erfolgversprechender einschätzen. Hinweise auf diese gezielte Ausrichtung finden sich in öffentlichen Anzeigen, die Akteure auf kriminellen Foren platziert haben. Einige Akteure haben nach Geschäfts partnerschaften gesucht, die Zugang zu deutschen Unternehmen ermöglichen, und eine Beteiligung an den daraus resultierenden Erpressungszahlungen angeboten. Ein als Sarcoma bekannter Akteur verfolgt solche Arrangements seit November 2024 und zielt dabei auf Unternehmen in mehreren entwickelten Volkswirtschaften einschließlich Deutschland ab.
Zahlen aus Datenleck-Seiten müssen mit Vorsicht interpretiert werden. Diese Plattformen veröffentlichen Informationen nur in Fällen, in denen Opfer Verhandlungen nicht einleiten oder abschließen. Ein dokumentierter Rückgang des Anteils von Organisationen, die Lösegeld zahlen, kann daher zum höheren Volumen der Veröffentlichungen beitragen. Die Gruppen setzen die öffentliche Auflistung gestohlener Daten offenbar als sekundären Druckmechanismus ein, sobald erste Forderungen abgelehnt werden.
Das Cyber-Kriminelle Ökosystem selbst erlebte 2025 interne Turbulenzen und externen Druck. Strafverfolgungsmaßnahmen und Konflikte innerhalb großer Gruppen wie LockBit und Alphv reduzierten die Dominanz einer kleinen Zahl großer Operationen. Die daraus resultierende Kapazitätslücke am oberen Ende des Marktes ermöglichte es einer breiteren Gruppe mittelgroßer Akteure, ihren Anteil an den Aktivitäten auszubauen. In Deutschland führte diese Umverteilung zu einer vielfältigeren Verteilung der Angriffe.
SafePay verzeichnete 2025 Veröffentlichungen zu 76 deutschen Unternehmen. Diese Zahl entsprach 25 Prozent aller im Jahr auf Datenleck-Seiten gelisteten deutschen Opfer. Qilin steigerte sein operatives Tempo in Deutschland im dritten Quartal 2025 um das Dreifache. Die Gruppe setzte das Muster Anfang 2026 mit 13 weiteren gelisteten deutschen Opfern fort. Die Expansion in Deutschland erfolgte parallel zum internationalen Wachstum der Gruppe, behielt jedoch einen konsequenten Schwerpunkt auf deutschen Zielen bei.
Daten zur Größe der betroffenen Organisationen verdeutlichen das Zielmuster weiter. Unternehmen mit weniger als 5.000 Beschäftigten machten 96 Prozent aller ransomware-bezogenen Datenlecks aus, die 2025 in Deutschland verzeichnet wurden. Der Anteil entspricht weitgehend der Gesamtstruktur der deutschen Wirtschaft, in der kleine und mittlere Unternehmen überwiegen. Die Zahl widerspricht der Annahme, dass nur große Konzerne Aufmerksamkeit erregen. Kleinere Organisationen verfügen häufig über begrenztere dedizierte Sicherheitskräfte und spezialisierte Ressourcen. Dadurch werden sie für Gruppen zu praktikablen Zielen, die zuverlässige Erträge bei geringerem Widerstand suchen.
Die Konzentration auf kleinere Unternehmen hat sekundäre Auswirkungen auf größere Betriebe. Viele große deutsche Unternehmen unterhalten umfangreiche Netzwerke von Lieferanten und Auftragnehmern. Diese Drittparteien verarbeiten oft sensible Daten oder behalten privilegierten Zugang zu Unternehmenssystemen. Angreifer können solche Verbindungen nutzen, um sich lateral in Richtung höherwertiger Ziele zu bewegen. Organisationen an der Spitze von Lieferketten können ihre Exposition verringern, indem sie über die passive Überwachung von Lieferanten hinausgehen. Strukturierte Ansätze zum Management von Drittrisiken, die eine Einstufung von Lieferanten und die Durchsetzung von Sicherheitskontrollen wie Mehrfaktorauthentifizierung umfassen, begrenzen die von aktuellen Angriffsmethoden bevorzugten Wege.
Die Verteilung der Opfer über die Wirtschaftssektoren zeigt sowohl Kontinuität als auch Veränderung. Die Fertigungsindustrie blieb mit 23 Prozent aller verzeichneten Leaks der am stärksten betroffene Sektor. Rechts- und professionelle Dienstleistungen folgten mit 14 Prozent und verzeichneten im Jahr ein Wachstum. Bau- und Ingenieurwesen machten 11 Prozent aus, der Einzelhandel 10 Prozent. Der Anstieg im Bereich der Rechts- und professionellen Dienstleistungen spiegelt die Art der Informationen wider, die diese Unternehmen routinemäßig verwalten. Sie fungieren als Verwalter von Kundendaten, die geistiges Eigentum, Finanzstrategien und Pläne zu Fusionen und Übernahmen umfassen. Solches Material bietet Erpressungsgruppen Hebelwirkung, die über das unmittelbare Opfer hinaus auf eine breitere Kundenbasis reicht.
Die im Jahr 2025 verzeichneten Entwicklungen deuten darauf hin, dass das Volumen der Cyber-Erpressungsaktivitäten, die Deutschland betreffen, zu den erhöhten Niveaus von 2022 und 2023 zurückgekehrt ist. Das europäische Bedrohungsumfeld ist vielfältiger geworden. Die Aktivitäten erstrecken sich nun über eine breitere Palette von Sprachen und nationalen Märkten. Der Rückgang ehemals dominanter Gruppen hat ein wettbewerbsintensiveres Feld geschaffen, das von agilen mittelgroßen Akteuren bevölkert wird. Gruppen wie SafePay und Qilin haben ihre Präsenz in Deutschland parallel zu ihren internationalen Operationen ausgebaut. Ihre Aktivitäten konzentrieren sich auf den Mittelstand und den Sektor professioneller Dienstleistungen, in dem Lieferkettenverbindungen zusätzliche Angriffspunkte schaffen. Schwachstellen auf der Ebene kleinerer Organisationen können sich daher durch industrielle Netzwerke nach oben fortpflanzen.
Diese Muster werden voraussichtlich auch 2026 bestehen bleiben. Organisationen aller Größen in Deutschland und Europa müssen ein Umfeld beobachten, das durch eine größere Vielfalt an Akteuren und anhaltenden Druck auf nicht-englischsprachige Volkswirtschaften gekennzeichnet ist. Die Kombination aus technologischer Anpassung der Kriminellen und strukturellen Merkmalen der deutschen Wirtschaft hat die Position des Landes innerhalb der europäischen Cyber-Erpressungslandschaft aufrechterhalten.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de