Ransomware eskaliert trotz sinkender Angriffszahlen

Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies, meldet für Mai 2026 weltweit durchschnittlich 2055 Cyber-Angriffe pro Organisation und Woche. Das sind sieben Prozent weniger als im April, aber zwei Prozent mehr als im Vorjahreszeitraum. Von Entspannung kann dennoch keine Rede sein. Unter der Oberfläche verlagert sich die Bedrohung: Ransomware wächst dynamisch, Generative Künstliche Intelligenz (GenAI) schafft neue Datenrisiken, und in Deutschland rückt die Software-Branche stärker in den Fokus.

Deutschland bleibt stabil, aber nicht sicher

Im Raum Deutschland, Österreich und Schweiz (DACH) zeigt sich ein uneinheitliches Bild. Deutschland verzeichnete mit 1318 Angriffen pro Woche nahezu stabile Werte. Österreich lag bei 1823 Attacken, die Schweiz stieg um sieben Prozent auf 1224 Angriffe. In Deutschland führen Energie- und Versorgungsunternehmen, Bildung sowie Bauwesen und Ingenieurwesen das Branchenranking an. Auffällig ist der Aufstieg der Software-Branche auf Platz vier. Das ist strategisch brisant, weil Softwareanbieter häufig Zugang zu vielen nachgelagerten Kundenumgebungen haben.

Global bleibt das Bildungswesen mit 4641 Angriffen pro Organisation und Woche der am stärksten betroffene Sektor. Offene Netze, viele wechselnde Nutzer und knappe Sicherheitsbudgets machen Schulen und Universitäten besonders verwundbar. Dahinter folgen Regierung, Telekommunikation sowie Branchen mit wachsender digitaler Angriffsfläche wie Landwirtschaft, Tourismus und Bauwesen.

Ransomware erreicht neuen Höchststand

Der deutlichste Warnhinweis kommt von Ransomware. Im Mai wurden 698 Angriffe öffentlich gemeldet, 48 Prozent mehr als im Mai 2025. Der Anstieg betrifft alle großen Regionen: Asien legte um 119 Prozent zu, Europa, Naher Osten und Afrika (EMEA) um 40 Prozent, Amerika um 39 Prozent. Nordamerika blieb mit 49 Prozent der gemeldeten Fälle die am stärksten betroffene Region, Europa folgte mit 22 Prozent.

Besonders hart traf es Unternehmensdienstleistungen. Dieser Bereich stellte 35 Prozent aller Opfer und sprang von 54 auf 248 Vorfälle in nur einem Monat. Diese Daten stammen von sogenannten Ransomware-Shame-Sites, auf denen Erpressergruppen ihre Opfer veröffentlichen. Diese Quellen sind selektiv, liefern aber wichtige Hinweise auf Dynamik und Struktur des kriminellen Marktes.

Die drei aktivsten Gruppen verantworteten 39 Prozent der gemeldeten Angriffe. Qilin führte mit 14 Prozent, gefolgt von The Gentlemen und DragonForce. Dass sich 61 Prozent der Fälle auf 58 weitere Gruppen verteilen, zeigt die Fragmentierung eines hochindustrialisierten Ransomware-Ökosystems.

GenAI wird zum Datenleck-Risiko

Parallel verschärfen sich Risiken durch GenAI. Laut CPR enthielt jeder 25. GenAI-Prompt ein hohes Risiko für die Preisgabe sensibler Daten. 91 Prozent der Unternehmen, die regelmäßig GenAI-Werkzeuge verwenden, waren davon betroffen. Im Durchschnitt nutzten Unternehmen neun verschiedene GenAI-Tools. Diese Fragmentierung erschwert Kontrolle, Governance und Datensicherheit erheblich.

Patrick Fetter, Lead Sales Engineer und Cyber Security Evangelist bei Check Point, warnt deshalb vor falscher Sicherheit: „Sinkende Angriffszahlen sind nicht gleichbedeutend mit einer milderen Gefahrenlage.“ Angreifer passten Zeitpläne und Techniken laufend an. Organisationen müssten davon ausgehen, „dass sie ständig gefährdet sind“.

Der Mai-Bericht zeigt damit eine beunruhigende Realität: Weniger Angriffe bedeuten nicht weniger Risiko. Cyberkriminelle reorganisieren sich, Ransomware professionalisiert sich weiter, und GenAI öffnet neue Flanken im Unternehmensalltag. Gefragt sind präventive, KI-gestützte Sicherheitsstrategien, klare Regeln für GenAI und eine Resilienzplanung, die den Ernstfall nicht als Ausnahme, sondern als realistische Betriebsbedingung behandelt.

Detailliertere Zahlen und Analysen zum Thema gibt es hier.