Zum Inhalt springen
Viele Angriffe beginnen heute im Darknet

Mehr Ransomware-Angriffe in Deutschland als im vergangenen Jahr

Ransomware ist und bleibt in der DACH-Region ein zentraler Risikotreiber, wie Zahlen von Kaspersky belegen. Bis September 2025 wurden in Deutschland bereits 268 Angriffe registriert, in der Schweiz 47 Angriffe und in Österreich 24. Zudem ist eine Vielzahl an kompromittierten Accounts im Darknet zu finden: Deutschland verzeichnet bisher 1.974.060 kompromittierte Konten; Österreich kommt auf 322.671 und die Schweiz auf 254.655. Kompromittierte Accounts und offene Datenbanken liefern die Grundlage für zielgerichtetes Cyber-Profiling – und machen deutlich, dass die Bedrohung nicht erst mit der eigentlichen Attacke beginnt.

Autor: Jörg Schröper • 8.10.2025 • ca. 3:00 Min

Ransomware-Attacke
In diesem Jahr gibt es in Deutschland 1.974.060 kompromittierte Konten, in Österreich 322.671 und in der Schweiz 254.655.
© Andrey_Popov - shutterstock.com

Viele Angriffe auf Unternehmen beginnen heute im Darknet – mit der Beschaffung von Informationen oder auch mit dem Kauf von Malware(-Services) von und durch Cyberkriminelle. Dabei funktioniert das Darknet heute wie ein organisierter Markt mit festen Rollen, Abläufen und sogar Vertrauensdiensten. Diese Arbeitsteilung erlaubt es selbst weniger technisch versierten Akteuren, hochwirksame Angriffe durchzuführen. Cyber-Profiling und der Handel mit sensiblen Informationen sind dabei längst gelebte Praxis, wie aktuelle Kaspersky-Zahlen für die DACH-Region zeigen.

Demnach zählt Ransomware nach wie vor zu den größten Gefahren. In Deutschland wurden bis September bereits 268 Angriffe durch 49 aktive Gruppen registriert – und damit mehr als im gesamten Jahr 2024 (insgesamt 233 Angriffe durch 53 Gruppen). In der Schweiz sank die Zahl der Attacken zwar von 70 im Vorjahr auf 47 Fälle, dennoch zeigt die Aktivität von 20 verschiedenen Gruppen, dass auch hier keine Entwarnung gegeben werden kann. Österreich verzeichnet bisher einen Rückgang mit 24 Angriffen gegenüber 32 im Vorjahr, bleibt aber weiterhin ein attraktives Ziel für Cyberkriminelle. Ransomware ist ein Paradebeispiel für die arbeitsteilige Struktur im Darknet: Während beispielsweise Initial Access Broker kompromittierte Zugänge handeln, übernehmen andere Akteure die eigentlichen Verschlüsselungsangriffe oder bieten fertige Ransomware-as-a-Service-Kits an – ein Modell, das die anhaltend hohen Zahlen erklärt.

Cyberprofiling durch kompromittierte Accounts und Datenbanken im Darknet

Die Anzahl kompromittierter Accounts im Darknet ist in der DACH-Region zwar rückläufig: In der Schweiz ist sie von 852.820 im Jahr 2024 auf bereits mehr als 254.655 im laufenden Jahr gesunken, in Deutschland von 6.191.245 auf rund 1.974.060 und in Österreich ebenfalls von 958.234 auf 322.671 kompromittierte Konten. Für Angreifer sind solche Zugangsdaten dennoch die wertvolle Grundlage systematischen Cyber-Profilings: Sie erlauben es, Phishing-Kampagnen vorzubereiten oder Log-in-Daten direkt im Darknet zu (ver-)kaufen. Stealer-Logs mit Passwörtern oder Cookies wechseln dort schon für wenige Dollar den Besitzer – ein Grund, warum selbst massive Mengen kompromittierter Konten schnell in Umlauf geraten.

Auch die Anzahl der entdeckten exponierten Datenbanken ist insgesamt rückläufig: Deutschland meldet für 2025 bislang 118 Fälle, nach 135 im Vorjahr. In der Schweiz verringerte sich die Zahl von 40 auf fünf, in Österreich von 15 auf acht. Trotz der rückläufigen Entwicklung liefern offene Datenbanken Cyberkriminellen sensible Unternehmensinformationen, die von Leak-Kombinatoren im Darknet mit bereits bekannten Leaks angereichert werden. So entstehen vollständige digitale Steckbriefe von Unternehmen, die gezielte Angriffe ermöglichen. Schon eine einzige ungesicherte Instanz kann daher reichen, um Cyberkriminellen die nötige Grundlage für die nächste Attacke zu verschaffen.

Angriffsflächen im Blick behalten

Cyber-Profiling ist in einer vernetzten Welt unvermeidbar und entscheidend ist, die eigene digitale Präsenz aus Sicht potenzieller Angreifer zu verstehen. Kaspersky Digital Footprint Monitoring soll dies unterstützen, indem es die externe Angriffsfläche kontinuierlich erfasst und bewertet. Der Service bezieht dabei Daten aus dem öffentlichen Internet, dem Deep Web und dem Dark Web ein. So werden kompromittierte Zugangsdaten, exponierte Datenbanken, gefälschte Profile oder Phishing-Domains frühzeitig sichtbar. Zusätzlich identifiziert die Lösung technische Schwachstellen wie ungesicherte Schnittstellen oder Fehlkonfigurationen, die von Angreifern als Einstieg genutzt werden könnten. Unternehmen erhalten dadurch ein vollständiges Lagebild ihrer digitalen Angriffsfläche. Risiken können priorisiert, bewertet und vor der eigentlichen Attacke geschlossen werden. Sichtbarkeit wird damit zum zentralen Faktor einer wirksamen Cyberabwehr.

„Viele Angriffe haben ihren Ursprung im Darknet. Dort funktioniert Cyberkriminalität heute wie ein Markt mit klarer Arbeitsteilung: Zugänge werden verkauft, Daten angereichert und fertige Angriffspakete angeboten. Ransomware ist ein typisches Beispiel – Initial Access Broker liefern die Eintrittspunkte, andere Gruppen setzen die Verschlüsselung um oder bieten sie als Service an“, erklärte dazu Waldemar Bergstreiser, General Manager DACH bei Kaspersky. „Die aktuellen Zahlen zeigen, wie wirksam dieses Modell ist: In Deutschland wurden bis September mehr Angriffe registriert als im gesamten Vorjahr und auch in der Schweiz und Österreich bleiben zahlreiche Gruppen aktiv. Kompromittierte Accounts und exponierte Datenbanken liefern den Rohstoff für dieses Geschäft. Sie dienen als Grundlage für Phishing, Credential-Stuffing oder den Weiterverkauf im Untergrund. Schon ein einziger ungesicherter Zugang reicht aus, um ein Unternehmen ins Visier zu rücken. Deshalb ist es entscheidend, die eigene Angriffsfläche kontinuierlich zu überwachen und Leaks oder Schwachstellen frühzeitig zu schließen.“

Das könnte Sie auch interessieren
6G Connectivity, IoT
Cybersicherheit im Zeitalter vernetzter Systeme Hyper-Connected = Hyper-Vulnerable
Ein Proof-of-Concept zeigt, dass ein manipulierter MCP-Server genutzt werden kann, um sensible Unternehmensdaten abzugreifen.
Kaspersky-Experten warnen MCP als Einfallstor für Supply-Chain-Angriffe
Öl-/Gas-Raffinerie, Energiesektor
Kritische Infrastruktur im Fadenkreuz Cyberangriffe auf Energiebranche: Risiken und Abwehr
Captchas auf Laptop
Wenn Sicherheit zur Falle wird Captchas zweckentfremdet: Wie Angreifer Schutzmechanismen umgehen
Hacker, Cybercrime
Mehr Ransomware-Angriffe Deutschland gerät stärker ins Fadenkreuz
Ransomware
Ransomware-Lage verschärft sich Mehr Angriffsversuche und aggressivere Erpressungstaktiken
Cyberangriff
Acronis Cyberthreats Update Juni 2025 Malware-Angriffe und Datenschutzverletzungen nehmen stark zu
Cyberangriffe im Fokus, Entwickler, Code
Cybercrime-Lagebild 2024 Professionalisierte Angriffe treffen Wirtschaft und Verwaltung
Mehr passende Artikel
Eine Umfrage von Saily zeigt, dass nahezu drei Viertel aller Deutschen auf Reisen öffentliches WLAN nutzen, trotz erheblicher Sicherheitsrisiken.
Erhebliche Sicherheitsrisiken ignoriert 71 Prozent aller deutschen Reisenden nutzen öffentliches WLAN
Nikolas Schran, G Data
Neuausrichtung von Vertrieb und Marketing G Data ernennt Nikolas Schran zum Vertriebschef
rene-hofmann-securepoint
Ausbau des Security-Portfolios Securepoint übernimmt Whitelisting-Anbieter Seculution
Ransomware-Attacke
Viele Angriffe beginnen heute im Darknet Mehr Ransomware-Angriffe in Deutschland als im vergangenen Jahr
Security im Mittelstand - Studie
Cisco-Studie warnt Mittelstand nur selten optimal vor Cyber-Attacken geschützt
Weiter zur Startseite