Check Point Software Technologies veröffentlicht die Ergebnisse des „DACH Threat Landscape 2025 Reports“. Der Bericht zusammengestellt vom Check-Point-Exposure-Management-Team offenbart für das Jahr 2025 eine drastische Verschärfung der Cyberrisiken für Unternehmen und Behörden in der DACH-Region.
Die geopolitische Lage spiegelt sich direkt in der Cyberbedrohungslandschaft wider. Im Jahr 2025 entfielen rund 18 Prozent aller in Europa registrierten Vorfälle auf die DACH-Region, wobei allein Deutschland 13 Prozent ausmachte. Einen außergewöhnlichen Höhepunkt erreichten die Angriffe in den Sommermonaten. Dieser Anstieg war maßgeblich auf gezielte Vergeltungsaktionen von Hacktivisten infolge der sogenannten „Operation Eastwood“ zurückzuführen. Bei dieser von Europol koordinierten Aktion im Juli 2025 wurden über 100 Server der pro-russischen Gruppe NoName057(16) abgeschaltet. Unter dem Hashtag #FuckEastwood reagierten die Täter umgehend mit massiven Angriffswellen auf öffentliche und private Einrichtungen in Deutschland und den Nachbarländern.
Cyberbedrohungslandschaft – Das Wichtigste in Kürze:
- Die DACH-Region verzeichnet eine Zunahme von rund 124 Prozent bei Cyberangriffen im Vergleich zum Vorjahr.
- Mit 82 Prozent aller regionalen Vorfälle ist Deutschland am stärksten betroffen, gefolgt von der Schweiz (12 Prozent) und Österreich (8 Prozent).
- 66 Prozent der Angriffe waren Defacements, die maßgeblich von pro-russischen und ideologisch motivierten Gruppen (wie NoName057(16)) im Rahmen geopolitischer Spannungen vorangetrieben wurden.
- Knapp 30 Prozent der Vorfälle entfallen auf Erpressungstrojaner von finanziell motivierten Gruppen wie Safepay, Qilin oder Akira.
- Die am stärksten attackierten Branchen sind Business-Services (24 Prozent) und Regierungsbehörden (13 Prozent), was die Abhängigkeit der Region von vernetzten Lieferketten ausnutzt.
Während Hacktivisten durch massenhafte Überlastungsangriffe und Defacements eine maximale öffentliche Sichtbarkeit anstreben, agieren Ransomware-Akteure im Hintergrund – mit gravierenden Folgen. Zu den aktivsten Gruppen 2025 gehörte „NoName057(16)“, die nach der Zerschlagung ihrer Server mit massiven DDoS-Vergeltungsschlägen reagierte. Daneben traten weitere haktivistisch motivierte Gruppen wie „Hezi Rash“ und „Mr Hamza“ mit gezielten Kampagnen gegen öffentliche Services in Erscheinung.
Auf der finanziell motivierten Seite dominierten hochprofessionelle Ransomware-Gruppen, die ungesicherte Identitäten für „Double Extortion“-Kampagnen nutzten. „Safepay“ trieb diese Erpressungen branchenübergreifend über Dark-Web- und TON-Netzwerke voran. Die Gruppe „Akira“ spezialisierte sich auf Windows- und Linux-Umgebungen und nutzte fehlende Multi-Faktor-Authentifizierungen aus, während das „Qilin“-Kartell die Gefahr durch plattformübergreifende, Rust-basierte Malware und eigene Leak-Portale im Darknet vergrößerte.
Wie kritisch die Auswirkungen dieser organisierten Bedrohungsakteure im DACH-Raum tatsächlich waren, zeigt eine Reihe von weitreichenden Vorfällen aus dem vergangenen Jahr:
- Kritische Infrastruktur und Flugverkehr: Ein Cyberangriff auf das Boarding-System eines großen Luft- und Raumfahrtunternehmens führte zu massiven Abfertigungsstörungen an mehreren europäischen Flughäfen, mit bestätigten Ausfällen auch am Flughafen BER in Berlin.
- Behörden im Visier: Eine schwere Malware-Infektion zwang ein Ministerium dazu, seine E-Mail- und IT-Dienste temporär komplett vom Netz zu nehmen, um die Ausbreitung des Schadcodes zu stoppen.
- Gefährdete Lieferketten: Im September 2025 kompromittierte der massive Supply-Chain-Angriff „Shai Hulud 2.0“ über 600 npm-Pakete und 25.000 GitHub-Repositories. Dadurch wurden zehntausende Entwickler-Zugänge offengelegt, was auch DACH-Unternehmen mit vernetzten Software-Pipelines massiv gefährdete.
- Erfolgreiche Gegenschläge: Die im November 2025 durchgeführte „Operation Endgame“ von Europol zerschlug durch gezielte Razzien (unter anderem in Deutschland) Infrastrukturen von Botnetzen wie Rhadamanthys, die zuvor weltweit über 100.000 Krypto-Wallets kompromittiert hatten.
„Der alarmierende Anstieg der Angriffe um 124 Prozent im Vergleich zum Vorjahr verdeutlicht, dass die DACH-Region weiterhin attraktiv für Cyberkriminelle bleibt“, erklärt Daniel Dreier, Area Manager DACH bei Check Point Exposure Management. „Insbesondere deutsche Unternehmen und Behörden stehen im Fokus von Hacktivisten. Sie nutzen geopolitische Spannungen für disruptive Kampagnen oder Erpressung aus. Angriffe zielen allerdings oft weniger auf finanziellen Gewinn ab, sondern wollen maximale öffentliche Aufmerksamkeit und Störungen verursachen.“
Für das Jahr 2026 prognostiziert der Report eine weiterhin volatile Lage durch regulatorische und politische Risikofaktoren. Neben Business Services und Behörden wird der Druck auf das Gesundheitswesen, den Energiesektor und industrielle Ökosysteme stark zunehmen, weil Angreifer hier durch Störungen der Leistungserbringung eine maximale Hebelwirkung erzielen können.
Darüber hinaus birgt die gesetzlich geforderte Umsetzung der NIS2-Richtlinie in Deutschland sowie des NISG 2026 in Österreich kurzfristige Risiken: Bei der technischen Implementierung könnten vorübergehende Lücken in der Abwehr aufklaffen, die von Angreifern als Fenster gezielt ausgenutzt werden. Darüber hinaus werden die anstehenden Landtagswahlen in Deutschland sowie Referenden in der Schweiz als starke Katalysatoren für politisch motivierte Störaktionen, DDoS- und Desinformationskampagnen dienen. Experten warnen überdies davor, dass kurzzyklische Vergeltungsaktionen, wie sie nach der „Operation Eastwood“ zu beobachten waren, nach polizeilichen Erfolgen zur neuen Norm werden könnten.
Um den wachsenden Herausforderungen zu begegnen, empfehlen die Sicherheitsforscher folgende strategische Maßnahmen:
- KI-gestützte Erkennung: Einsatz von Künstlicher Intelligenz, um anomales Authentifizierungsverhalten und frühe laterale Bewegungen der Angreifer in den Netzwerken zu identifizieren.
- Schwachstellen-Management: Kontinuierliches Scannen und schnelle Behebung von Schwachstellen, insbesondere bei internetfähigen Systemen und Cloud-Plattformen.
- Absicherung der Lieferkette: Strenge Überprüfung von Drittanbietern und IT-Dienstleistern, da diese in der DACH-Region besonders häufig als Einfallstor dienen.
- Ausbau der Incident-Response-Fähigkeiten: Etablierung und regelmäßiges Testen von abteilungsübergreifenden Notfallplänen, um bei politischen oder finanziell motivierten Angriffen die Ausfallzeiten zu minimieren.
Info: Der vollständige Report „DACH Threat Landscape 2025“ mit weiteren Details und Analysen ist hier verfügbar: https://checkpoint.cyberint.com/dach-threat-landscape-german
#CheckPoint
