Ransomware auf Rekordkurs: Angriffswelle nimmt weltweit bedrohliche Ausmaße an
Cyberkriminelle legen nach: Ransomware-Gruppen attackieren häufiger, aggressiver und mit neuen Mitteln. Ein neuer Report Zscaler zeigt, wie dramatisch sich das Bedrohungsniveau innerhalb eines Jahres verschärft hat – und welche Gegenmaßnahmen jetzt entscheidend sind.
Die Zahl der Ransomware-Angriffe ist binnen eines Jahres explosionsartig gestiegen. Laut dem Zscaler ThreatLabz 2025 Ransomware Report hat sich die Zahl der in der Cloud abgewehrten Angriffsversuche um 146 Prozent erhöht. Besonders alarmierend: Statt auf Datenverschlüsselung setzen immer mehr Gruppen auf massive Datendiebstähle, um mit der Androhung öffentlicher Leaks höheren Druck auf ihre Opfer auszuüben. Insgesamt wurden 238 Terabyte an Daten gestohlen – ein Anstieg von 92 Prozent gegenüber dem Vorjahr.
Diese Entwicklung macht deutlich: Unternehmen müssen ihre Verteidigungsstrategien neu denken. Insbesondere die schnelle Erkennung und Isolation von Bedrohungen rückt in den Fokus – genauso wie der Schutz vor lateralen Bewegungen innerhalb des Netzwerks. Zscaler empfiehlt den Einsatz einer durchgängigen Zero Trust Everywhere-Strategie, um Ransomware frühzeitig zu stoppen.
Industrie, Tech, Gesundheit: Branchen mit hoher Angriffswahrscheinlichkeit
Die Analyse zeigt: Besonders häufig betroffen sind Organisationen mit sensiblen Daten oder kritischen Geschäftsprozessen. Ganz oben auf der Liste stehen die Fertigungsbranche (1.063 Vorfälle), der Technologiesektor (922) sowie das Gesundheitswesen (672). Diese Branchen sind nicht nur besonders anfällig, sondern auch hoch attraktiv für Erpressungsversuche, da Ausfälle unmittelbare Auswirkungen haben.
Einen besonders drastischen Anstieg verzeichnete der Öl- und Gassektor: über 900 Prozent mehr Angriffe als im Vorjahr. Gründe dafür sind die zunehmende Digitalisierung und Automatisierung in der Branche sowie Sicherheitslücken in veralteten Systemen.
USA als Hauptziel – Deutschland unter den meistbetroffenen Ländern
Die geografische Verteilung der Angriffe zeigt eine deutliche Konzentration auf die Vereinigten Staaten. Dort entfielen mit 3.671 Fällen rund 50 Prozent aller dokumentierten Ransomware-Angriffe. Andere stark betroffene Länder wie Kanada (5,2 Prozent), Großbritannien (4,6 Prozent) und Deutschland (3,6 Prozent) folgen mit großem Abstand.
Diese Daten basieren auf öffentlich zugänglichen Leak-Portalen, auf denen Ransomware-Gruppen kompromittierte Daten veröffentlichen, um Druck auf Unternehmen auszuüben. Die Auswertung legt nahe: Der Großteil der Angriffe konzentriert sich auf wirtschaftlich bedeutende Regionen mit hoher digitaler Vernetzung.
Neue und bekannte Gruppen dominieren die Szene
Angeführt wird das Ransomware-Ökosystem derzeit von RansomHub, das für 833 öffentlich bekannte Opfer verantwortlich ist. Dahinter folgen Gruppen wie Akira (520 Opfer) und Clop (488 Opfer). Während Akira durch Kooperationen mit Initial Access Brokern und Partnerschaften seine Reichweite ausgebaut hat, setzt Clop gezielt auf Lieferkettenangriffe – etwa über Schwachstellen in weit verbreiteter Drittsoftware.
Insgesamt identifizierte das ThreatLabz-Team 34 neue Ransomware-Familien im Berichtszeitraum. Die Gesamtzahl seit Beginn der Erhebungen liegt nun bei 425. Zscaler stellt seine Erkenntnisse über ein öffentliches GitHub-Repository bereit, das derzeit über 1.000 dokumentierte Ransomware-Varianten umfasst.
Zero Trust Everywhere: Verteidigung mit KI und klaren Prinzipien
Zscaler mahnt angesichts der zunehmenden Bedrohung zu einem ganzheitlichen Sicherheitsansatz. Statt auf klassische perimeterbasierte Netzwerke zu setzen, müssen Anwendungen, Nutzer und Daten direkt geschützt werden – unabhängig von Standort oder Infrastruktur. Der Fokus sollte auf der Minimierung der Angriffsfläche, dem Unterbinden lateraler Bewegungen sowie dem Schutz vor Datenexfiltration liegen. Zentrale Bestandteile entsprechender Lösungen sind unter anderem:
- Breach Prediction mit Künstlicher Intelligenz
- Inline-Sandboxing und C2-Erkennung
- Zero Trust Browser mit risikobasierten Richtlinien
- Dynamische Datenerkennung, Klassifizierung und DLP-Kontrollen
Ein solcher KI-gestützter Schutz verhindert, dass Angreifer sich in der Infrastruktur festsetzen, und macht Erpressungsversuche weitgehend wirkungslos.
Forschungsmethodik: Daten aus über 12 Monaten
Die Grundlage des Reports bilden Daten, die das ThreatLabz-Team zwischen April 2024 und April 2025 gesammelt hat. Neben Telemetriedaten aus der globalen Zscaler-Cloud flossen auch eigene Malware-Analysen sowie die Auswertung öffentlicher Ransomware-Leaks in die Untersuchung ein.
Der vollständige Report steht online zur Verfügung und liefert neben aktuellen Zahlen auch tiefere Einblicke in Taktiken, Tools und Zielstrukturen der Angreifer – sowie praxisnahe Empfehlungen zur Abwehr.
Ransomware-Angriffe im globalen Überblick
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
