logo lineofbiz

Cyber-Angriffe steigen in Deutschland und global nach Rückgang wieder anDie Verschnaufpause ist vorbei

21. Mai 2026
Abbildung Durchschnittliche weltweite Anzahl wöchentlicher Cyber Angriffe nach Sektoren im April verglichen mit April
Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im April 2026 verglichen mit April 2025 (Quelle: Check Point Software Technologies Ltd.).

Der Monthly Cyber Threat Report für April 2026 aus dem Hause Checkpoint zeigt einen globalen Wiederanstieg der Cyber-Attacken um acht Prozent. Deutschland verzeichnete vier Prozent mehr Angriffe.

Im April 2026 verzeichneten Unternehmen weltweit durchschnittlich 2201 Cyber-Angriffe pro Woche. Dies entspricht einem Anstieg von zehn Prozent gegenüber dem Vormonat und von acht Prozent gegenüber dem Vorjahreszeitraum. Nach der kurzzeitigen Entspannung im März bestätigen die April-Daten, dass die Bedrohungsakteure ihre Kampagnen neu ausgerichtet haben, anstatt nachzulassen.

Im DACH-Raum kehrt der Aufwärtstrend zurück: In Deutschland stiegen die Angriffe um vier Prozent auf 1377 pro Woche, in Österreich deutlich um 17 Prozent auf 2122. Die Schweiz blieb mit einem minimalen Anstieg von einem Prozent auf 1246 nahezu stabil. Österreich verzeichnete damit die höchste Angriffsfrequenz im deutschsprachigen Raum und liegt auch deutlich über dem europäischen Durchschnitt von 1848 Attacken (siehe Abbildung 1).

Hierzulande waren die folgenden Sektoren am meisten von Cyber-Angriffen betroffen:

  • 1. Energie & Versorgungsunternehmen,
  • 2. Bildung,
  • 3. Bau- & Ingenieurwesen,
  • 4. Telekommunikation sowie
  • 5. Unternehmensdienstleistungen.

Cyber-Angriffe nach Regionen und Sektoren (global)

Das Bildungswesen stand im April 2026 mit durchschnittlich 4946 Angriffen pro Organisation und Woche abermals am intensivsten unter Beschuss von allen erfassten Branchen und weist sogar noch einen Anstieg von acht Prozent gegenüber dem Vorjahr auf.

Der Regierungssektor folgte mit 2797 Angriffen pro Woche und einem leichten Rückgang um ein Prozent. Trotz der relativen Stabilisierung bleiben öffentliche Einrichtungen aufgrund kritischer Dienstleistungen und sensibler Daten ein ständiges Ziel. Die Telekommunikationsbranche rangierte mit 2728 Angriffen (plus drei Prozent) auf Platz drei.

Auffällig war erneut der Sektor Gastgewerbe, Tourismus und Freizeit, der seinen Aufwärtstrend fortsetzte. Im Vorfeld der Hauptreisezeit vergrößern erhöhtes Transaktionsvolumen, Drittanbieter-Abhängigkeiten und eine schnellere operative Taktung die Angriffsfläche – Bedingungen, die Cyber-Kriminelle gezielt ausnutzen.

Regional betrachtet verzeichneten im April erstmals alle Regionen einen Anstieg gegenüber dem Vormonat. Lateinamerika führte mit 3364 Angriffen und einem Plus von 20 Prozent im Jahresvergleich erneut die globale Statistik an. Die APAC-Region folgte mit 3213 Angriffen (plus vier Prozent), während Afrika mit 2940 Angriffen trotz eines Rückgangs um neun Prozent unter den am stärksten betroffenen Regionen bleibt. Europa verzeichnete mit 1848 Angriffen einen Anstieg von neun Prozent, Nordamerika mit 1499 ein marginales Plus.

GenAI-bedingte Risiken bleiben auf hohem Niveau

Trotz der Schwankungen im allgemeinen Angriffsvolumen blieben Risiken in Verbindung mit generativer KI im April durchgehend hoch. Die zunehmende Integration von GenAI in den Arbeitsalltag übersteigt weiterhin die Anpassungsfähigkeit von Governance- und Sicherheitskontrollen:

  • Jeder 28. GenAI-Prompt barg ein hohes Risiko der Preisgabe sensibler Daten.
  • 90 Prozent der Unternehmen, die regelmäßig GenAI-Tools verwenden, waren von diesem Risiko betroffen.
  • Weitere 19 Prozent der Prompts enthielten potenziell sensible Informationen.
  • Unternehmen nutzten durchschnittlich zehn verschiedene GenAI-Tools, was auf eine fragmentierte Einführung hindeutet.
  • Der durchschnittliche Unternehmensnutzer generierte 77 GenAI-Prompts pro Monat.

Während das Gesamtvolumen der Interaktionen gegenüber dem März stabil blieb, zeigt die anhaltend hohe Zahl risikoreicher Eingaben, dass Unternehmen weiterhin anfällig für Passwortlecks, Offenlegung geistigen Eigentums und unbeabsichtigte Verstärkung von Drittanbieter-Risiken sind.

Ransomware-Aktivität steigt weiter: Zwölf Prozent mehr als im Vorjahr

Ransomware blieb im April 2026 eine der ruinösesten Bedrohungen. Mit 707 öffentlich gemeldeten Angriffen stieg die Zahl um fünf Prozent gegenüber dem Vormonat und um zwölf Prozent gegenüber April 2025. Dies bestätigt, dass Ransomware als zentrale „Einkunftsquelle“ der Cyber-Kriminellen ungebrochen ist.

Die folgenden Erkenntnisse stammen von sogenannten Ransomware-Shame Sites, die von Erpressergruppen genutzt werden, um ihre Opfer öffentlich aufzulisten. Diese Angaben sind zwar von Natur aus selektiv, bieten jedoch einen wertvollen Einblick in das Ausmaß, die Verbreitung und die sich entwickelnden Taktiken des Ransomware-Ökosystems:

  • Nordamerika war mit 46 Prozent der gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 27 Prozent und dem asiatisch-pazifischen Raum mit 17 Prozent. Bemerkenswert: Der Anteil Europas blieb gegenüber dem März (24 Prozent) auf hohem Niveau und stieg sogar leicht an, was den anhaltenden Fokus der Angreifer auf hochwertige und stark regulierte Märkte unterstreicht.
  • Die Vereinigten Staaten blieben mit rund 42 Prozent der gemeldeten Ransomware-Opfer das am stärksten betroffene Land. Deutschland lag mit fünf Prozent auf Platz zwei, gefolgt von Kanada (fünf Prozent), Italien (vier Prozent) und dem Vereinigten Königreich (vier Prozent). Nach Branchen waren Unternehmensdienstleistungen mit gerundet 34 Prozent am stärksten betroffen, gefolgt von Konsumgütern und Dienstleistungen (14 Prozent) sowie industrieller Fertigung (zehn Prozent).

Die aktivsten Ransomware-Gruppen im April 2026

Die Ransomware-Landschaft blieb im April fragmentiert, wurde aber weiterhin von einer kleinen Gruppe hochproduktiver Akteure dominiert. Während die drei führenden Gruppen 34 Prozent aller gemeldeten Vorfälle verantworteten, griffen insgesamt 56 verschiedene Ransomware-Gruppen weltweit Organisationen an – ein neuer Höchststand, der die Breite und Widerstandsfähigkeit des Ökosystems unterstreicht:

  • Qilin führte mit 15 Prozent der veröffentlichten Angriffe. Die seit 2022 aktive Ransomware-as-a-Service-Gruppe (RaaS), früher unter dem Namen Agenda bekannt, betreibt ein ausgereiftes Partnernetzwerk mit Rust-basierten Verschlüsselungsprogrammen.
  • The Gentlemen, verantwortlich für zehn Prozent der Angriffe, ist eine schnell wachsende RaaS-Gruppe, die Mitte 2025 von einem russischsprachigen Betreiber gegründet wurde. Die Gruppe fungiert sowohl als RaaS-Anbieter als auch als Zugangsvermittler und bietet Affiliates Zugriff auf vorab kompromittierte Geräte.
  • DragonForce belegte mit neun Prozent der Angriffe den dritten Platz. Die RaaS-Gruppe operiert nach einem Kartellmodell, das Affiliates ermöglicht, unter eigenen Marken auf einer gemeinsamen Infrastruktur zu arbeiten.

Über die Datengrundlage

Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150 000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.(rhh)

Check Point Research

Lesen Sie auch

artificial intelligence Pixa LoB geralt

Eingebaute KI-Leitplanken reichen für Agentic AI nicht aus

ai generated LoB Pixa Dee

Jede zehnte Person in Deutschland allein im Vorjahr betroffen

ai generated pixa LoB origami

Regulatorische Anforderungen greifen in den Arbeitsalltag ein