Check Point Research (CPR) hat seinen Global Cyber Threats Report für September 2025 veröffentlicht. Im vergangenen Monat waren Unternehmen im globalen Vergleich durchschnittlich 1900 Cyber-Angriffen pro Woche ausgesetzt. Das ist ein Rückgang um 4 % gegenüber dem Vormonat August, jedoch ein Anstieg von einem % gegenüber dem Vorjahreszeitraum.
In Deutschland ist die Zahl wöchentlicher Cyber-Attacken pro Organisation um 5 % auf 1151 gesunken. Für den DACH-Raum ist die Anzahl mit durchschnittlich 1227 weiterhin rückläufig um ungefähr 10,5 % im Vergleich zum August 2025.
Regionale Entwicklungen
Auf regionaler Ebene betrachtet zeigen sich unterschiedliche Trends:
- Europa verzeichnete einen Anstieg um 1 % im Jahresvergleich auf 1577 Angriffe pro Woche.
- Die DACH-Region erfuhr im Schnitt 1227 Angriffe, was einem Rückgang von 10,5 % zum August 2025 gleichkommt.
- Afrika zeigte mit 2902 Angriffen pro Woche und Organisation die höchste durchschnittliche Anzahl an Angriffen, aber auch einen Rückgang von 10 % im Vergleich zum Vorjahr.
- Der asiatisch-pazifische Raum (APAC) verzeichnete 2668 Angriffe pro Woche (-10 % im Vergleich zum Vorjahr).
- Lateinamerika liegt bei 2826 Angriffen (+7 % im Vergleich zum Vorjahr).
- Nordamerika stach mit dem höchsten Anstieg hervor: 17 % im Jahresvergleich auf 1468 Angriffe pro Organisation.
Angriffe nach Sektoren in Deutschland: Bildungswesen weiter am meisten betroffen
In Deutschland waren die folgenden Bereiche und Wirtschaftssektoren am meisten von Cyber-Angriffen betroffen (Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat):
- ↔ Bildungswesen
- ↔ Energie & Versorgung
- ↔ Telekommunikation
- ↑ Medien & Unterhaltung
- ↔ Informationstechnologie
Am meisten attackierte Sektoren weltweit
Der Bildungssektor blieb mit durchschnittlich 4175 Angriffen pro Organisation und Woche der am stärksten betroffene Sektor, was einem Rückgang von 3 % gegenüber dem Vorjahr entspricht (siehe Abbildung 2). An zweiter Stelle folgte der Telekommunikationssektor mit 2703 Angriffen pro Woche, was einem Anstieg von 6 % entspricht.
Staatliche Institutionen standen mit 2512 Angriffen pro Woche weniger unter Druck, was einem Rückgang von 6 % gegenüber dem Vorjahr entspricht. Die Landwirtschaft verzeichnete erneut mit einem bemerkenswerten Wachstum von 57 % gegenüber dem Vorjahr den stärksten Anstieg.
Die moderne Landwirtschaft ist stark von Technologie abhängig, darunter automatisierte Bewässerungssysteme, IoT-Sensoren, Drohnen und Plattformen für das Lieferketten-Management. Diese Abhängigkeit schafft eine große Angriffsfläche für Hacker. Darüber hinaus investieren viele landwirtschaftliche Organisationen im Vergleich zu anderen Sektoren weniger in Cyber-Sicherheit, wodurch kritische Systeme anfällig für Angriffe sind.
Infolgedessen betrachten Angreifer die Landwirtschaft als lukratives und strategisches Ziel. Eine Störung der Lebensmittelproduktion kann zu unmittelbaren finanziellen Verlusten führen, die Ernährungssicherheit gefährden und sogar als geopolitische Waffe eingesetzt werden.
Ransomware-Attacken reißen nicht ab
Ransomware bleibt eine zerstörerische Kraft im Cyberspace. Im September wurden 562 Ransomware-Angriffe öffentlich gemeldet, was einem Anstieg von enormen 46 % gegenüber dem Vorjahr entspricht.
- Nordamerika war mit 54 % der gemeldeten Vorfälle am stärksten betroffen (Abbildung 3).
- Europa folgte auf Platz zwei mit 19 %.
- Auf die Vereinigten Staaten entfielen 52 % aller beobachteten Fälle.
- Südkorea (5 %), Großbritannien (4 %) und Deutschland (4 %) gehörten ebenfalls zu den Hauptzielen.
Ransomware-Attacken nach Sektoren:
- Das Bau- und Ingenieurwesen führte mit 11,4 % der Opfer die Liste an.
- Auf Unternehmensdienstleistungen entfielen 11 %.
- Die industrielle Fertigung lag auf Platz drei mit 10,1 %.
Andere Sektoren, darunter Gesundheitswesen, Konsumgüter und Finanzdienstleistungen, waren ebenfalls erheblich betroffen.
Aktivste Ransomware-Gruppen
Die Daten vom September entstammen Ransomware-Shame-Sites und zeigen eine sich verändernde Dynamik unter den führenden Gruppen:
- ↔ Qilin dominierte mit 14,1 % der veröffentlichten Angriffe. Früher bekannt als Agenda, hat sich Qilin seit März 2025 aggressiv ausgebreitet und nutzt dabei einen Rust-basierten Verschlüsseler und eine verbesserte RaaS-Infrastruktur.
- ↑Play folgte mit 8 % und konzentrierte sich stark auf Unternehmensdienstleistungen und industrielle Fertigung. Sein sich weiterentwickelnder Rust-basierter Verschlüsseler zielt auf ESXi-Systeme mit fortschrittlichen Laufzeitkontrollen ab.
- ↓ Akira Diese Gruppe, auch bekannt als PlayCrypt, zielt auf Organisationen in Nordamerika, Südamerika und Europa ab. Sie nutzt offene Schwachstellen (insbesondere in Fortinet SSL-VPNs) aus und setzt Living-off-the-Land-Binärdateien (LOLBins) für verdeckte Operationen ein.
Während sich das Gesamtvolumen der Angriffe weiterhin zu stabilisieren scheint, zeigen die Daten deutlich, dass Angreifer ihre Bemühungen intensivieren, ihre Techniken verfeinern und Schwachstellen in verschiedenen Branchen und Regionen ausspähen und attackieren.
Bei Check Point zeigen die Untersuchungen weiterhin, dass die Komplexität und Geschwindigkeit der Bedrohungen eine mehrschichtige Reaktion erfordern. Herkömmliche Erkennungsmethoden reichen nicht mehr aus. Unternehmen benötigen präventive Echtzeit-Sicherheit, die Angriffe stoppen kann, bevor Schaden entsteht.
Omer Dembinsky, Data Research Manager bei Check Point Research, fasst zusammen: „Die Bedrohungsdaten für September zeigen, dass zwar die Gesamtzahl der Angriffe leicht zurückgegangen ist, die Auswirkungen und die Raffinesse der Cyber-Bedrohungen jedoch zunehmen. Ransomware bleibt die zerstörerische Kraft, während das Aufkommen von GenAI-bezogenen Datenlecks eine neue Risikodimension für Unternehmen darstellt.“
„Cyber-Kriminelle werden wahrscheinlich versuchen, jede Innovation schneller auszunutzen, als die Nutzer sich darauf einstellen können. Die einzige nachhaltige Verteidigung ist eine Präventionsstrategie, die auf Echtzeit-KI basiert und den Schutz des gesamten Netzwerks, der Cloud, der Endpunkte und der Identitäten gewährleistet. Nur mit diesem Ansatz können Unternehmen einen Vorsprung behalten und kritische Abläufe vor unerbittlichen Gegnern schützen.“