Die Zahl der Ransomware-Fälle ist 2025 im Vergleich zu 2024 weltweit um rund 58 Prozent gestiegen – von 4.837 auf 7.635 Betroffene, die auf sogenannten Leak-Sites erfasst wurden. Angreifer veröffentlichen auf diesen Plattformen gestohlene Daten, um Lösegeld zu erzwingen. Das zeigt der Annual Threat Dynamics 2026-Bericht der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC.

Immer häufiger gestolene Zugangsdaten

Der Bericht bündelt Analysen aus dem Jahr 2025 und stützt sich auf praktische Erkenntnisse aus Incident-Response-Einsätzen, also strukturierte Schritte nach akuten Cyberangriffen, sowie auf den kontinuierlichen Austausch mit Kunden, Stakeholdern und Experten der Sicherheitsbranche.

Deutschland gehört zu den zehn Ländern, die weltweit am häufigsten von Erpressungssoftware, sogenannter Ransomware, betroffen sind und belegt bei den Leak-Site-Fällen sogar Platz drei. Leak-Site-Fälle sind Fälle im Zusammenhang mit Cyberangriffen, meist Ransomware, bei denen gestohlene Daten nicht nur verschlüsselt, sondern zusätzlich auf speziellen Veröffentlichungs-Websites im Internet, sogenannten Leak Sites, veröffentlicht werden. Allein die Ransomware-Gruppe Safepay traf 77 deutsche Unternehmen, gefolgt von Qilin und Akira mit 29 respektive 28 dokumentierten Vorfällen.

„Die Geschwindigkeit, mit der sich das Ransomware-Ökosystem professionalisiert, ist alarmierend. Angreifer loggen sich immer häufiger mit gestohlenen Zugangsdaten ein, statt technische Schwachstellen auszunutzen. Das macht klassische Schutzkonzepte zunehmend wirkungslos“, sagt Lorenz Kuhlee, Director Incident Response bei PwC Deutschland.

Mittelstand besonders anfällig

Der Bericht zeigt einen grundlegenden Wandel in der Angriffsstrategie: Cyberattacken sind heute überwiegend identitätsgetrieben. Kompromittierte Konten, SSO- oder OAuth-Zugänge und verknüpfte Anmeldesysteme dienen als Einfallstor. Besonders anfällig ist der Mittelstand, weil sich viele Unternehmen noch in der Umstellung auf Zero-Trust-Architekturen befinden. „Ohne durchgängige Zugriffskontrollen über alle Netzwerkgrenzen hinweg bleiben Benutzerkonten eine entscheidende Schwachstelle“, betont Kuhlee.

Zusätzlich verschärft wird die Lage durch Künstliche Intelligenz: Sie senkt die Einstiegshürden für Angreifer, lässt Social-Engineering-Kampagnen authentischer wirken und reduziert die Zeit zwischen Angriffsvorbereitung und Schadenswirkung erheblich.

Neue KI-Funktionen werden in immer kürzeren Abständen zweckentfremdet – eine Entwicklung, die sich 2026 aus Sicht des Experten weiter zuspitzen dürfte. Dass die Zahl aktiver Ransomware-Gruppen von 92 auf 135 gestiegen sei, zeige, dass sich das kriminelle Ökosystem nicht nur professionalisiere, sondern auch verbreitere.

Einzelne Schutzmaßnahmen reichen nicht mehr aus

Dokumentiert wurden auch staatlich gesteuerte Einfluss- und Cyberoperationen, die sich direkt gegen Deutschland richten, darunter mehr als 100 deutschsprachige Fake-Websites, die seriöse Absender imitieren, und KI-generierte Desinformationsvideos. Neben technischen Schäden verbreiten Cyberangriffe gezielt Unsicherheit – weit über IT-Abteilungen hinweg.

Als direkte Reaktion auf die geopolitische Volatilität erhöhen 60 Prozent der Führungskräfte ihre Cyberinvestitionen. Gleichzeitig trauen sich nur 6 Prozent der Organisationen zu, Cyberangriffe über sämtliche Angriffswege abzuwehren. Kuhlee sagt: „Einzelne Schutzmaßnahmen reichen nicht mehr aus. Unternehmen brauchen wenige, aber wirksame Kontrollpunkte. Das heißt: Zugangsdaten konsequent schützen, Cloud- und Lieferkettenrisiken aktiv steuern. Und im Ernstfall so schnell reagieren, wie die Angreifer agieren.“