Cyber-Erpressung boomt weltweitDeutschland mit plus 91 Prozent besonders betroffen
8. Dezember 2025
Die europäische Wirtschaft und insbesondere der deutsche Mittelstand geraten immer stärker ins Fadenkreuz professioneller Cyber-Kriminalität. Zu diesem Ergebnis kommt der aktuelle Security Navigator 2026 von Orange Cyberdefense.
Die Zahl der Opfer auf Unternehmensseite hat sich seit 2020 verdreifacht und ist allein im Jahr 2025 um 44,5 Prozent gestiegen. Für den Bericht wurden zwischen Oktober 2024 und September 2025 insgesamt 139.373 Sicherheitsvorfälle analysiert und 19.053 bestätigte Sicherheitsverletzungen ausgewertet.
Die Daten stammen aus europäischen und globalen Security Operations Centern, aus Incident-Response-Einsätzen, Darknet-Beobachtungen sowie aus eigenen Forschungsteams und Cyber-Threat-Intelligence-Quellen. Eine entsprechende Datenbank von Orange Cyberdefense listet mittlerweile 19.000 betroffene Organisationen weltweit. Die dominierende Bedrohung ist Cyber-Extortion (CyX, Cyber-Erpressung), bei der Angreifer Vertraulichkeit, Integrität oder Verfügbarkeit digitaler Unternehmenswerte kompromittieren, um Zahlungen zu erzwingen.
Besonders stark wächst das Problem in Deutschland. Die Zahl der bekannten Opfer steigt gegenüber dem Vorjahr um 91 Prozent. In Mitleidenschaft geraten vor allem kleine und mittlere Unternehmen bis 250 Beschäftigte. Viele von ihnen sind Teil eng geknüpfter Lieferketten und beliefern kritische Infrastrukturen oder Weltmärkte. Ein erfolgreicher Angriff wirkt in solchen Netzen weit über die unmittelbar betroffene Organisation hinaus.
Lieferketten als Verstärker
Die Auswertungen belegen deutliche Zuwächse in sensiblen Branchen. Im Gesundheitswesen steigt die Zahl der Fälle um 69 Prozent, in Finanz- und Versicherungsunternehmen um 71 Prozent, im Handel und in der Distribution um 80 Prozent. In Europa wiegen die Folgen schwer, weil Ausfälle schnell Versorgung und Vertrauen berühren sowie regulatorische Konsequenzen entsprechend DORA und NIS-2 nach sich ziehen.
Hinter den Angriffen steht ein arbeitsteiliges „Crime as a Service“-Gefüge. Zugangsdaten, Erpressungsplattformen, Ransomware Kits und Geldwäsche lassen sich modular anmieten. Künstliche Intelligenz erhöht Tempo und Präzision, etwa durch mehrsprachige Phishing Kampagnen und die rasante Auswertung gestohlener Daten. Zugleich zersplittert die Szene. Die Zahl aktiver Erpressergruppen im Navigator stieg seit 2020 von 33 auf 89.
Unterschätzte Hebelwirkungen
Die europäische Wirtschaft ist stark vernetzt und digitalisiert – aufgrund der gegenseitigen Abhängigkeiten kann eine einzige Schwachstelle zu massiven Kompromittierungen führen. Wer ein deutsches Industrieunternehmen oder einen europäischen Finanzdienstleister trifft, erzeugt schnell spürbare Effekte über Landesgrenzen hinweg. Diese Hebelwirkung mache Ziele in Europa besonders attraktiv.
Der Bericht beschreibt eine Aufspaltung des digitalen Raums in Blöcke. Staatliche Akteure, ideologisch motivierte Gruppen und klassische Kriminelle agieren in Teilen gemeinsam. Cyber-Angriffe dienen nicht nur der Kasse, sondern auch dazu, Lieferketten zu stören, Informationsflüsse zu manipulieren und vertrauliche Daten als Druckmittel einzusetzen. Für Betroffene ist die Zuordnung oft schwierig, die Folgen treffen Betrieb, Compliance und Reputation gleichermaßen.
Desinformation als zweite Front
Cyber-Angriffe und manipulative Informationskampagnen treten immer häufiger zusammen auf. Zu den kognitiven Angriffen zählen gefälschte Pressemitteilungen, inszenierte Leaks, soziale Medien mit manipulierten Inhalten und koordinierte DDoS Wellen gegen Medienhäuser und kritische Infrastrukturen. Ziel ist es, Vertrauen zu untergraben und Märkte sowie demokratische Prozesse zu beeinflussen. Unternehmen brauchen neben technischer Abwehr belastbare Strukturen für Krisenkommunikation.
Wie die Analyse von 418 Strafverfolgungsoperationen aus den Jahren 2021 bis 2025 zeigt, ist mittlerweile ein Umschwung zu verzeichnen. In 29 Prozent kam es zu Festnahmen, in 17 Prozent zur Stilllegung krimineller Infrastruktur, in 14 Prozent zu Anklagen.
Entscheidend dabei sind Allianzen zwischen Behörden und spezialisierten Unternehmen, die Technik, Telemetrie und Forensik einbringen. Dennoch schützt das die Betroffenen nicht vor den Konsequenzen eines erfolgreichen Hacking-Angriffes. Die entsprechenden Sicherheitsanforderungen, Notfallplan und Krisenstab sind verpflichtend, mindestens jedoch erforderlich.
Strengere Praxis durch strikte Vorgaben
In Europa erhöhen NIS 2, der Cyber Resilience Act und sektorspezifische Vorgaben den Druck, Risiken systematisch zu managen und Vorfälle zu melden. Für Unternehmen bedeutet das zusätzlichen Aufwand, aber auch mehr Transparenz und Vergleichbarkeit. Organisationen mit ausgereiften Prozessen und klarer Governance erkennen Angriffe früher und begrenzen Schäden besser.
Europa hat verstanden, dass Cybersecurity keine rein technische Frage ist. Sie entwickelt sich zu einem strategischen Standortfaktor. Die Kombination aus Regulierung, konsequenter Strafverfolgung und enger Zusammenarbeit mit der Wirtschaft erschwert es organisierten Tätern.
Security Navigator 2026
Der Security Navigator 2026 zählt zu den umfangreichsten europäischen Lagebildern zur Cyberbedrohung. Basis sind 139.373 untersuchte Vorfälle und 19.053 bestätigte Sicherheitsverletzungen. Vertiefungen behandeln generative KI in Angriffsketten, Post Quantum Kryptografie, OT-Sicherheit in Industrie und kritischen Infrastrukturen, Hacktivismus mit Europabezug, die Wirksamkeit von Strafverfolgung und den Umgang mit Fehlalarmen.
Charl van der Walt ist Head of Security Research bei Orange Cyberdefense.
