Arctic Wolf veröffentlicht seinen jährlichen „Arctic Wolf Threat Report“. Die Analyse hunderter realer Incident-Response-Fälle aus 2025 zeigt: Während Ransomware weiterhin dominiert, verschiebt sich das Geschäftsmodell der Angreifer deutlich in Richtung reiner Datenexfiltration. Besonders betroffen sind Unternehmen in Westeuropa – darunter Deutschland als führender Industriestandort. Im Jahr 2025 machten Ransomware, Business-E-Mail-Compromise (BEC) und Data-Incidents 92 Prozent aller untersuchten Incident-Response-Fälle aus. Auffällig ist dabei der massive Anstieg von Vorfällen ohne Verschlüsselung: Reine Datenerpressung stieg global von zwei auf 22 Prozent der Fälle – ein elffacher Zuwachs innerhalb eines Jahres. Gleichzeitig erfolgen 65 Prozent der untersuchten Nicht-BEC-Angriffe über den Missbrauch legitimer Remote-Zugänge wie VPN, RDP oder RMM-Tools statt über komplexe Exploits, was zeigt, dass Angreifer bewusst auf einfache Einfallstore abzielen.
„Angreifer setzen zunehmend auf Effizienz – sie melden sich an, statt einzubrechen, stehlen Daten, statt sie zu verschlüsseln, und missbrauchen vertraute Tools, statt komplexe Schwachstellen auszunutzen“, erklärt Christopher Fielder, CTO bei Arctic Wolf. „Unternehmen, die Transparenz über ihre IT-Umgebungen geschaffen und Remote-Zugänge konsequent abgesichert haben, waren deutlich widerstandsfähiger.“
„Im vergangenen Jahr hat unser Threat-Intelligence-Team hunderte Vorfälle über verschiedene Branchen, Regionen und Angriffsarten hinweg untersucht“, ergänzt Kerri Shafer-Page, Vice President of Digital Forensics and Incident Response bei Arctic Wolf. „Wenn wir diese Fälle zusammenfassen und mit Telemetriedaten aus der Arctic Wolf Aurora-Plattform und Informationen von Arctic Wolf Labs kombinieren, ergibt sich ein eindeutiges Bild: Die meisten modernen Angriffe sind auf technischer Seite nicht neuartig – sie sind lediglich operativ effizient.“
Deutschland: Industrie, Mittelstand und Regulierung erhöhen den Erpressungshebel
Die ergänzende EMEA-Auswertung des Reports zeigt eine hohe Konzentration von Ransomware-Aktivität in Westeuropa. Frankreich, Deutschland und das Vereinigte Königreich führen die Opferstatistiken an. Für Deutschland lässt der Report eine klare Häufung von Leak-Site-Veröffentlichungen in Bau- und Finanzwirtschaft, IT-Services und Großhandel erkennen, wobei insbesondere kleine und mittelständische Unternehmen betroffen sind.
Zugleich verstärken regulatorische Anforderungen wie die DSGVO den Druck auf betroffene Unternehmen. Laut Report erhöhen Offenlegungspflichten in Europa die Wahrscheinlichkeit, dass Vorfälle öffentlich auf Leak-Sites erscheinen. Für deutsche Unternehmen entsteht dadurch ein zusätzlicher Erpressungshebel, da Reputations- und Compliance-Risiken unmittelbar wirksam werden.
„Gerade in Deutschland sehen wir, dass regulatorische Anforderungen und öffentliche Offenlegungspflichten den Druck im Ernstfall massiv erhöhen“, so Christopher Fielder. „Unternehmen sollten deshalb nicht nur in Prävention investieren, sondern insbesondere ihre Remote-Zugänge konsequent absichern, Datenabflüsse frühzeitig erkennen und Incident-Response-Prozesse regelmäßig testen. Resilienz entscheidet heute darüber, ob ein Angriff zur existenziellen Krise wird oder beherrschbar bleibt.“
Als Industriestandort mit komplexen Lieferketten und hoher digitaler Vernetzung bleibt Deutschland ein attraktives Ziel. Besonders Fertigungsunternehmen geraten unter hohen Zeitdruck, da Betriebsunterbrechungen unmittelbar wirtschaftliche Folgen haben.
Info: Weitere Informationen und den kompletten Arctic-Wolf-Threat-Report 2026 zum kostenlosen Download findet sich hier: https://arcticwolf.com/resource/aw-uk/arctic-wolf-threat-report-2026-uk
#ArcticWolf
