Deutschland war 2025 laut Google Threat Intelligence wieder das Hauptziel für Cyber-Erpresser. Seine Infrastruktur wird öfter und härter getroffen als die seiner Nachbarländer.

Googles Zahlen zeigen, dass Deutschland häufiger angegriffen wird als jedes andere europäische Land. Die aktuelle Situation deckt sich mit dem massiven Druck, der von 2022 bis 2023 auf die deutsche Infrastruktur ausgeübt wurde.

Den Analysten des Technologiekonzerns zufolge sei „Deutschlands anhaltende Attraktivität für Erpressungsgruppen auf seinen Status als fortgeschrittene europäische Volkswirtschaft mit einer zunehmend digitalisierten industriellen Basis zurückzuführen“.

Die Eskalation verläuft rasant. Nach einer relativen Beruhigung der Aktivitäten im Jahr 2024 verzeichnete Deutschland 2025 einen Anstieg von Datenlecks um 92 Prozent. Diese Rate übertrifft den europäischen Durchschnitt um das Dreifache, wie Google Threat Intelligence in einem Blogbeitrag mitteilte.

Die Forscher erkennen ein klares Muster. Beiträge auf Datenleckseiten über britische Organisationen werden seltener, während in nicht-englischsprachigen Ländern, allen voran Deutschland, ein deutlicher Anstieg zu beobachten ist. Mehrere zusammenwirkende Faktoren erklären diese Entwicklung.

„Die fortschreitende Reife des cyberkriminellen Ökosystems, einschließlich des Einsatzes von KI zur Automatisierung hochwertiger Lokalisierung, unterhöhlt den historischen Schutz, den Sprachbarrieren bislang boten“, erklärte Google Threat Intelligence.

Gleichzeitig verschiebt sich das Profil der Opfer. Da größere Ziele in Nordamerika und Großbritannien ihre Sicherheitslage verbessern oder Cyber-Versicherungen nutzen, um Vorfälle diskret beizulegen, richten Bedrohungsakteure ihr Augenmerk offenbar verstärkt auf den deutschen Mittelstand als lukratives Betätigungsfeld.

Der Mittelstand umfasst vor allem kleine und mittlere Unternehmen und gilt als Rückgrat der deutschen Wirtschaft.

Cyberkriminelle Gruppen schalten sogar gezielt Anzeigen, in denen sie Zugangsdaten zu deutschen Unternehmen suchen und eine Beteiligung an den eingetriebenen Erpressungsgeldern in Aussicht stellen.

So nahm beispielsweise der als Sarcoma bekannte Bedrohungsakteur im November 2024 Unternehmen in mehreren hochentwickelten Ländern ins Visier, darunter auch Deutschland.

Die Lage wirkt besorgniserregend, Google Threat Intelligence mahnt zur Vorsicht.

Den Sicherheitsforschern zufolge könne die ausschließliche Auswertung von Datenleckseiten in die Irre führen, da Bedrohungsakteure in der Regel nur jene Opfer veröffentlichten, die Erpressungsverhandlungen ablehnten oder abbrachen.

„Die öffentliche Berichterstattung über den Rückgang der Lösegeldzahlungen befeuert möglicherweise den stetigen Anstieg von Veröffentlichungen auf sogenannten Shaming-Sites als zusätzliches Druckmittel“, heißt es in dem Bericht.

„Der Anstieg in Deutschland bleibt zwar ein kritischer Trend, doch sollten diese Kennzahlen als eine Komponente einer umfassenderen und vielschichtigeren Bedrohungslandschaft betrachtet werden.“

Den Forschern zufolge könne die ausschließliche Auswertung von Datenleckseiten in die Irre führen, da Bedrohungsakteure in der Regel nur jene Opfer veröffentlichten, die Erpressungsverhandlungen ablehnten oder abbrachen.

Das Jahr 2025 war tatsächlich von erheblichen Turbulenzen im cyberkriminellen Ökosystem geprägt, ausgelöst durch interne Konflikte und aggressives Vorgehen der Strafverfolgungsbehörden gegen dominante „Big Game“-Operationen wie LockBit und ALPHV.

„Das dadurch entstandene Vakuum an der Spitze des Ransomware-Marktes hat zu einem dichteren Feld agiler Anbieter mittlerer Größe auf Datenleckseiten geführt. In Deutschland ist dieses Gleichgewicht besonders deutlich sichtbar. Mit dem Rückzug etablierter Akteure ist eine wachsende Zahl von Mitbewerbern in die entstandenen Marktlücken vorgestoßen“, erläuterte Google Threat Intelligence.

Ransomware-Gruppen wie SafePay und Qilin haben in der deutschen Bedrohungslandschaft inzwischen erheblich an Bedeutung gewonnen. SafePay beanspruchte 2025 allein 76 Angriffe auf deutsche Unternehmen für sich und war damit für 25 Prozent aller in diesem Jahr veröffentlichten deutschen Opfereinträge verantwortlich. Qilin hackte kürzlich die Partei Die Linke.

Auch Frankreich leidet unter einer Welle von Ransomware-Angriffen. Fast täglich gibt es neue Meldungen über Datenpannen, insbesondere seit 2025 – Zustände, die in den USA längst an der Tagesordnung sind.

Wie Deutschland zählt auch Frankreich aus mindestens zwei Gründen zu den attraktiven Angriffszielen: zum einen wegen seiner starken Volkswirtschaft, zum anderen wegen seiner geopolitischen Bedeutung innerhalb der Europäischen Union und der NATO.

---

Entdecke weitere exklusive Cybernews-Reportagen bei YouTube.