Im aktuellen Global Cyber Threats Report für Juli 2025 berichtet Check Point von einem Zuwachs an Cyberangriffen in Europa um 15 Prozent und damit den stärksten Anstieg im regionalen Vergleich. Im DACH-Raum sind die Zahlen rückläufig. Global ist das Bildungswesen mit 4.248 Angriffen mit Abstand am stärksten betroffen. [...]
Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies, hat ihren Global Cyber Threats Report für Juli 2025 veröffentlicht. Im Juli waren Unternehmen im globalen Vergleich durchschnittlich 2.011 Cyberangriffen pro Woche ausgesetzt. Das ist ein Anstieg von drei Prozent gegenüber dem Vormonat und zehn Prozent gegenüber dem Vorjahr. In Österreich ist die Zahl wöchentlicher Cyberattacken pro Organisation um 5 Prozent auf 1.728 gestiegen. Für den DACH-Raum ist die Anzahl mit durchschnittlich 1.356 um 4 Prozent leicht rückläufig.
Zunehmende Angriffe in vielen Staaten und Branchen
Die Bedrohungslage variiert stark nach Region, verschärft sich jedoch in der Tendenz. In Europa stellte CPR den schlechtesten Trend fest: Das Volumen der Angriffe liegt zwar hinter anderen Regionen, verzeichnete jedoch mit 15 Prozent den stärksten Anstieg von allen (siehe Abbildung 1). Der asiatisch-pazifische Raum (APAC) verzeichnete mit 3403 Angriffen pro Organisation und Woche den höchsten Durchschnitt – ein Anstieg von drei Prozent gegenüber dem Vorjahr. Lateinamerika folgte mit 2917 Angriffen pro Woche, was einem Anstieg von vier Prozent gegenüber Juli 2024 entspricht. In Nordamerika gab es 2870 Angriffe pro Unternehmen, was einem Anstieg von fünf Prozent entspricht.
Wie eingangs erwähnt, betrug im Juli die durchschnittliche wöchentliche Anzahl von Cyberangriffen pro Organisation weltweit 2011. Das entspricht einem Anstieg von drei Prozent gegenüber dem Vormonat und von zehn Prozent gegenüber Juli 2024. Der stetige Anstieg unterstreicht, wie hartnäckig und anpassungsfähig Cyberkriminelle nach wie vor sind.
Die Daten deuten auf einen weltweiten Anstieg der Cyberrisiken hin, aber der starke Anstieg in Europa lässt vermuten, dass sich die Angreifer auf bisher weniger betroffene Regionen konzentrieren.
| Region | Durchschn. wöchentl. Angriffe p. Organisation | Veränderung zum Vorjahreszeitraum |
| Deutschland | 1235 | +0,1% |
| Schweiz | 1105 | -17% |
| Österreich | 1728 | +5% |
| DACH | 1356 | -4% |
| Europa | 1468 | +15% |
| Nordamerika | 2870 | +5% |
| Lateinamerika | 2917 | +4% |
| Afrika | 1687 | +11% |
| Asien-Ozeanien | 3403 | +3% |
| Global | 2011 | +3% |
Angriffe nach Sektoren: Bildungssektor weltweit unter Dauerbeschuss
In Österreich waren die folgenden Bereiche und Wirtschaftssektoren im Juli am meisten von Cyberangriffen betroffen:
- Telekommunikation
- Industrielle Fertigung
- Behörden
- Informationstechnologie
- Konsumgüter und Dienstleistungen
Auch in der globalen Betrachtung sind einige Wirtschaftsbranchen weitaus stärker betroffen als andere: An der Spitze der Liste steht hier der Bildungssektor mit durchschnittlich 4.248 Angriffen pro Organisation und somit der höchsten absoluten Anzahl an Cyberangriffen pro Woche – ein Anstieg von elf Prozent gegenüber dem Vorjahr (siehe Abbildung 2). Der Telekommunikationssektor folgte mit 2.769 Angriffen pro Woche, was einem Anstieg von 24 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Behörden lagen mit 2.745 Angriffen pro Woche nicht weit dahinter, ein Anstieg von sechs Prozent gegenüber dem Vorjahr.
Am auffälligsten ist der Zuwachs im Agrarsektor mit 81 Prozent, was auf seine steigende Attraktivität als leichtes Ziel hindeutet. Es zeigt sich: Von Bildungsnetzwerken über Telekommunikationsriesen bis hin zu landwirtschaftlichen Betrieben – keine Branche ist immun, und einige werden zu bevorzugten Zielen der Hacker.
Ransomware-Angriffe nach Regionen und Branchen
Im Juli 2025 beobachtete CPR 518 aus Tätersicht gelungene Ransomware-Angriffe, was einem Anstieg von 28 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Nordamerika war mit 52 Prozent aller gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 25 Prozent (siehe Abbildung 3).
Weltweit war der Sektor Konsumgüter und Dienstleistungen mit einem Anteil von zwölf Prozent der gemeldeten Angriffe am stärksten betroffen. Es folgten die Sektoren Bauwesen und Ingenieurwesen mit rund zehn Prozent und Unternehmensdienstleistungen mit gerundet 10 Prozent (siehe Abbildung 4).
| Branche | Anteil an allen Ransomware-Opfern |
| Konsumgüter und Dienstleistungen | 12,0% |
| Bauwesen und Ingenieurwesen | 10,2% |
| Unternehmensdienstleistungen | 9,5% |
| Industrielle Fertigung | 8,7% |
| Gesundheitswesen und Medizin | 8,5% |
| Informationstechnologie | 5,2% |
| Verbände und gemeinnützige Organisationen | 4,1% |
| Finanzdienstleistungen | 3,5% |
| Behörden | 3,5% |
| Bildung | 3,1% |
| Medien und Unterhaltung | 2,9% |
| Immobilienvermietung und -leasing | 2,5% |
| Energie und Versorgungsunternehmen | 2,5% |
| Telekommunikation | 2,3% |
| Gastgewerbe, Reisen und Freizeit | 2,3% |
| Transport und Logistik | 2,3% |
| Großhandel und Vertrieb | 2,1% |
| Biotechnologie und Pharmazeutika | 1,9% |
| Software | 1,7% |
| Automobilindustrie | 1,4% |
| Landwirtschaft | 1,0% |
Hinweis: Diese Daten stammen von Shame Sites für Ransomware, die von Double-Extortion-Gruppen betrieben werden, die Informationen über ihre Opfer veröffentlichen. Diese Quellen sind zwar von Natur aus voreingenommen und unvollständig, bieten jedoch wertvolle Einblicke in Ransomware-Trends und die Opferzahl.
Aktivste Ransomware-Gruppen
Im Juli 2025 dominierten drei Ransomware-as-a-Service-Gruppen (RaaS) und waren für einen großen Teil der öffentlich bekannt gewordenen Angriffe verantwortlich. Dieser Abschnitt basiert ebenfalls auf Daten von Ransomware-Shame-Sites.
- Qilin war für zwölf Prozent aller veröffentlichten Angriffe verantwortlich und damit die aktivste Gruppe in diesem Monat. Qilin, früher bekannt als Agenda, ist seit 2022 aktiv und hat ihre Infrastruktur stetig ausgebaut. Im September 2022 gab sich die Gruppe einen neuen Namen und führte einen auf Rust basierenden Encrypter ein. Seit März 2025 – nach der Stilllegung von RansomHub – hat Qilin die Rekrutierung von Affiliates intensiviert und die Zahl der veröffentlichten Opfer drastisch erhöht. Affiliates erhalten ein voll funktionsfähiges Admin-Panel, eine Verhandlungsinfrastruktur und Support-Services.
- Inc. Ransom war für neun Prozent der Angriffe verantwortlich. Die Gruppe ist seit Mitte 2023 aktiv und hat ein ausgeprägtes Opferprofil: 33 Prozent ihrer Ziele im zweiten Quartal 2025 stammten aus dem Gesundheitswesen und zehn Prozent aus dem Bildungsbereich – Sektoren, die von einigen Gruppen oft als tabu angesehen werden. Sie betreibt außerdem eine Infrastruktur mit zwei Standorten: ein durch Anmeldedaten geschütztes Verhandlungsportal und eine öffentliche Website für die Veröffentlichung von Daten. Inc. Ransom unterstützt sowohl Windows- als auch Linux-Payloads und wächst stetig in Umfang und Leistungsfähigkeit.
- Akira beanspruchte acht Prozent der gemeldeten Angriffe für sich. Akira wurde erstmals Anfang 2023 identifiziert und zielt auf Windows-, Linux- und ESXi-Systeme ab. Die Opferstatistik für das zweite Quartal 2025 zeigt einen Schwerpunkt auf Unternehmensdienstleistungen (19 Prozent) und die industrielle Fertigung (18 Prozent). Im Jahr 2024 veröffentlichte sie eine für ESXi-Umgebungen optimierte Rust-basierte Variante mit selektiver Verschlüsselung, VM-Targeting, Laufzeitkontrollen und einem Rust-Build-ID-Schutz, der Reverse Engineering verhindern soll.
Diese Gruppen entwickeln sich sowohl hinsichtlich ihrer Tools als auch ihrer Ziele weiter und gehören damit zu den gefährlichsten Akteuren, die in den kommenden Monaten zu beobachten sind.
Fazit
Der im Juli 2025 beobachtete Anstieg von Ransomware setzt einen Trend fort, der sich kontinuierlich durch das laufende Jahr zieht und drei Schlussfolgerungen zulässt: die vergrößerte Reichweite von Hackern, die Weiterentwicklung von Ransomware-as-a-Service-Ökosystemen und den wachsenden Druck auf kritische Sektoren. Diese Trends sind jedoch nur ein Teil des Gesamtbildes. Die hier dargestellten Daten bieten nur einen kleinen Einblick in die sich wandelnde Landschaft der Ransomware- und Cyberangriffe. Da die Cyberkriminellen ihre Techniken verfeinern und ihre Reichweite maximieren, müssen Unternehmen über Gefahren informiert bleiben und präventive Verteidigungsmaßnahmen etablieren.
„Die Daten für Juli zeigen, dass Ransomware nicht nur die größte Gefahr im Cyberspace bleibt, sondern sich auch rasch weiterentwickelt. Gefährliche Gruppen wie Qilin weiten ihren Einflussbereich auf hochwertige Ziele aus“, sagt Lotem Finkelstein, Director, Threat Intelligence and Research bei Check Point Software Technologies: „Diese Angriffe treffen jeden Winkel der Welt und jede Art von Organisation. Präventionsstrategien auf Basis künstlicher Intelligenz sind die einzige Möglichkeit, um gegenüber den Drahtziehern einen Vorsprung zu behalten.“
Weitere Informationen finden Sie hier. Eine detailliertere Analyse, einschließlich gruppenspezifischer Taktiken, regionaler Dynamiken und praktischer Verteidigungsstrategien, finden Sie im vollständigen Ransomware-Bericht für das zweite Quartal 2025. Dieser bietet einen detaillierten Einblick in jene Bedrohungen, welche die zweite Jahreshälfte prägen werden.
Über die Datengrundlage
Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150 000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.
Be the first to comment