Deutschland ist 2025 zum bevorzugten Ziel von Cyber-Erpressern in Europa geworden. Das zeigt eine aktuelle Analyse der Google Threat Intelligence Group (GTIG). Die Zahl der deutschen Unternehmen, deren gestohlene Daten auf Leak-Seiten im Darknet veröffentlicht wurden, ist gegenüber dem Vorjahr um 92 Prozent gestiegen – ein Anstieg, der den europäischen Durchschnitt mehr als dreimal übertrifft. Dabei markiert 2025 laut GTIG eine Rückkehr auf das hohe Bedrohungsniveau, das Deutschland zuletzt in den Jahren 2022 und 2023 erlebt hatte. Den Zahlen zufolge hat Deutschland damit das Vereinigte Königreich, das 2024 noch die meisten Opfer auf Leak-Seiten verzeichnete, als Hauptziel abgelöst.

Mittelstand im Visier

Die Angreifer schlagen dabei keineswegs zufällig zu. Rund 96 Prozent der betroffenen deutschen Unternehmen haben weniger als 5000 Mitarbeitende – der klassische Mittelstand gerät also besonders häufig ins Visier. Jamie Collier, Lead Advisor Europe bei der GTIG und Co-Autor des Berichts, erklärt das so: "Während spektakuläre Angriffe auf große Unternehmen die Schlagzeilen bestimmen, zeigt die hohe Zahl von Data Leaks bei kleinen und mittelgroßen Unternehmen, dass sie für Cyberkriminelle äußerst attraktive Ziele sind – oft weil ihnen das Sicherheitspersonal und die umfangreichen spezialisierten Ressourcen fehlen, über die größere Organisationen verfügen." Hinzu kommt ein weiterer Faktor: Schadsoftware, die durch KI-gestützte Lokalisierung sprachlich angepasst wird, macht den historischen Schutz durch die deutsche Sprache zunehmend zunichte.

Besonders hart trifft es die Industrie: Rund 23 Prozent aller deutschen Fälle entfallen auf produzierende Unternehmen. Dahinter folgen Legal- und Professional-Services-Firmen mit 14 Prozent, die Bau- und Ingenieurbranche mit 11 Prozent sowie der Einzelhandel mit 10 Prozent. Auffällig ist vor allem der Anstieg im Bereich Rechts- und Beratungsdienstleistungen. Diese Kanzleien und Agenturen gelten als besonders lukrative Ziele, weil sie sensible Mandantendaten hüten – von Patentinformationen über Finanzstrategien bis hin zu Plänen für Fusionen und Übernahmen. Cyberkriminelle erhoffen sich so nicht nur ein Lösegeld vom unmittelbaren Opfer, sondern auch Druckmittel gegenüber dessen gesamter Kundschaft.

Neue Akteure im Spiel

Das Täterfeld hat sich 2025 spürbar verändert. Nachdem Strafverfolgungsbehörden die bis dahin dominierenden Gruppen LockBit und ALPHV empfindlich getroffen haben, sind neue Akteure in die entstandene Lücke gestoßen. Besonders auffällig ist dabei SAFEPAY, das laut GTIG allein für rund ein Viertel aller deutschen Opfer im Jahr 2025 verantwortlich war – konkret 76 Unternehmen. Auch die Gruppe Qilin hat ihre Aktivitäten in Deutschland im dritten Quartal 2025 verdreifacht und bis Anfang 2026 bereits 13 weitere Opfer verzeichnet. Das zeigt: Die Zerschlagung etablierter Ransomware-Marken führt nicht zu weniger Angriffen, sondern zu einem fragmentierteren Markt mit mehr, beweglicheren Gruppen.

Der GTIG-Bericht mahnt insbesondere Großkonzerne zur Wachsamkeit, die sich in vermeintlicher Sicherheit wiegen. Denn selbst wer intern gut geschützt ist, bleibt verwundbar – über die eigene Lieferkette. Zulieferer und Dienstleister aus dem Mittelstand verwalten oft sensible Daten oder besitzen privilegierte Zugänge zu den Systemen ihrer Auftraggeber. Die Empfehlung der GTIG-Analysten: Unternehmen sollen von passivem Monitoring zu aktivem Lieferantenrisikomanagement wechseln, Zugangsrechte konsequent staffeln und Mehrfaktor-Authentifizierung durchsetzen. Kurzum - es reicht nicht mehr, die eigene Burg zu sichern, wenn die Zugbrücke für Dritte dauerhaft offen steht.