Im zweiten Quartal 2025 wurden weltweit 276 öffentlich bekannte Ransomware-Vorfälle registriert, ein Anstieg von 63 % im Vergleich zum Vorjahreszeitraum. Doch dieser Wert zeigt nur die sichtbare Spitze eines deutlich größeren Problems. Denn der überwiegende Teil der Angriffe wird gar nicht öffentlich – rund 81 % der Vorfälle bleiben unterhalb der Wahrnehmungsschwelle.
Von Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4.
Betrachtet man die öffentlich bekannten Angriffe, zeigt sich der Gesundheitssektor weiterhin als bevorzugtes Ziel: Mit 52 Fällen war er erneut am stärksten betroffen. Auffällig ist allerdings der Einzelhandel. Gegenüber dem ersten Quartal 2025 stieg die Zahl der Angriffe dort um 58 % - so stark wie nie zuvor in einem zweiten Quartal. Besonders Einzelhändler im Vereinigten Königreich gerieten ins Visier von Erpressungskampagnen.
Auch andere Sektoren verzeichneten auffällige Zuwächse. In den Branchen Bauwesen, Gastgewerbe sowie Kunst und Unterhaltung wurden die höchsten Werte gemessen, die je für ein zweites Quartal erfasst wurden. Die Angreifer agieren dabei zunehmend opportunistisch - Branchen mit offenen digitalen Flanken geraten schnell ins Fadenkreuz.
Daten-Exfiltration als Druckmittel
Die Strategie der Angreifer ist dabei klar: Es geht nicht nur um die Verschlüsselung von Daten, sondern vor allem um deren gezielte Entwendung. In 95 % der öffentlich bekannt gewordenen Angriffe kam es zur Exfiltration sensibler Informationen. Damit setzen die Täter Unternehmen zusätzlich unter Druck - Lösegeldforderungen werden durch das Drohpotenzial der Datenveröffentlichung untermauert.
Diese Taktik verdeutlicht einen grundlegenden Wandel: Ransomware ist längst kein rein technisches Problem mehr, sondern zielt auf geschäftskritische Informationen – mit entsprechend hohen Reputations- und Folgekosten.
Gruppierungen im Hintergrund: Qilin besonders aktiv
Hinter den Angriffen steht eine Vielzahl gut organisierter Gruppen. Im zweiten Quartal 2025 waren 53 verschiedene Ransomware-Akteure aktiv. Unter ihnen trat die Gruppe Qilin besonders häufig in Erscheinung: Sie war für 10 % der öffentlich bekannten Angriffe verantwortlich und dominierte auch die Veröffentlichungen auf Darknet-Leak-Seiten.
Qilin hatte bereits in der Vergangenheit durch Attacken auf prominente Einrichtungen in den USA und Großbritannien Aufmerksamkeit erregt und wird von Sicherheitsbehörden als ernsthafte Bedrohung für kritische Infrastrukturen eingestuft.
Eine wachsende Bedrohung – oft unsichtbar
Die Zahlen aus dem zweiten Quartal 2025 machen deutlich, dass Ransomware-Angriffe nicht nur zunehmen, sondern sich in ihrer Auswirkung und Zielgenauigkeit weiterentwickeln. Sichtbar wird jedoch nur ein Bruchteil. Die hohe Dunkelziffer, die gezielte Exfiltration sensibler Daten und die zunehmende Branchenvielfalt zeigen: Unternehmen benötigen nicht nur technische Abwehrmechanismen, sondern auch ein waches Auge für die Dynamik eines Angriffs.
Ein entscheidender Hebel zur Risikominimierung liegt dabei im menschlichen Faktor. Denn viele Angriffe setzen auf das Fehlverhalten oder die Unachtsamkeit von Mitarbeitenden – sei es durch Phishing, unsichere Passwörter oder unkritisches Klickverhalten. Ein wirksames Human Risk Management, das Sicherheitsbewusstsein systematisch fördert und schult, kann hier entscheidend zur Widerstandsfähigkeit von Organisationen beitragen.