Statistikbericht für Ransomware: Zahlen im Sommer 2025

Bericht für Sommer 2025

Diesen Sommer hatte ich das Vergnügen, in der Wildnis von Kanada paddeln zu gehen. Der Nachteil dabei war, dass ich mich nicht über die ganzen Cyberneuigkeiten auf dem Laufenden halten konnte, die während des Sommers berichtet wurden. Folglich brachte ich mich Anfang September wieder auf den neuesten Stand und, um zwei Fliegen mit einer Klappe zu schlagen, dachte ich mir, dass ich dabei gleich noch einen Blogartikel verfassen könnte.

Statistiken und Clickbait

Letzte Woche bin ich also durch einige Branchenmeldungen gegangen und da fiel mir etwas ins Auge: Ein Bericht vermeldete die guten Neuigkeiten, dass es einen großen Rückgang bei Ransomware-Angriffen gäbe. Ein Artikel vom Infosecurity Magazine trug die Schlagzeile Global Ransomware Attacks Plummet 43% in Q2 2025 (Ransomware-Angriffe im 2. Quartal 2025 weltweit um 43 % zurückgegangen).

Es tut immer gut, gute Nachrichten zu lesen, aber sobald sie Statistiken enthalten, komme ich ins Zweifeln und muss an Mark Twains Worte denken: „Es gibt drei Arten von Lügen: Lügen, verdammte Lügen und Statistiken«. Oder war es Benjamin Disraeli der es gesagt hat?

Beim genaueren Hinsehen zeigte sich, dass der Zeitraum für die Bemessungen April bis Juni 2025 ist und laut einem Bericht der NNC Group die „Ransomware-Angriffe im 2. Quartal 2025 im Vergleich zum 1. Quartal weltweit um 43 % gefallen“ seien. Da die Quelle der Daten wichtig ist, um den Kontext der Zahlen zu verstehen, habe ich den Cyber Threat Intelligence Report der NCC Group für das 2. Quartal aufgerufen, um mehr herauszufinden. Der Bericht, der offenbar eine Zusammenfassung eines nur für Kunden zugänglichen ausführlicheren Berichts ist, lieferte etwas mehr Details. Dort hieß es, dass „im 2. Quartal die Anzahl der Hacks und Leaks auf 1 180 Angriffe zurückgegangen“ wäre, was „im Vergleich zum 1. Quartal 2025 ein Rückgang von 43 %“ sei.
Leider wurde in dem Bericht keine Quelle für die Zahlen angegeben, was hilfreich gewesen wäre, um sie angemessen interpretieren zu können. Es wurde auch nicht erläutert, was unter „Anzahl der Hacks und Leaks« zu verstehen sei.
Ich habe die NCC Group über das Kontaktformular auf ihrer Website angeschrieben, aber noch keine Antwort erhalten. Falls/Wenn sie sich melden, werde ich eine entsprechende Anmerkung zu diesem Beitrag machen.

Um zu sehen, ob ich die Trends unabhängig verifizieren kann, habe ich mich nach verfügbaren Quellen umgesehen. Dazu muss ich anmerken, dass es keineswegs meine Absicht ist, die Arbeit der NCC Group zu kritisieren oder anzufechten. Ich hoffe lediglich, dass ich etwas Kontext bereitstellen kann, um die Bedeutung von Ransomware-Daten sowie von jeglichen bestehenden Bedrohungen und Trends verständlicher zu machen.

Bevor wir uns die Daten ansehen, sei gesagt, dass niemand die tatsächliche Anzahl von Datenschutzverletzungen in einem bestimmten Zeitraum kennt, schlicht und einfach, weil nicht alle Angriffe öffentlich bekannt gemacht werden. In Wirklichkeit kommt der Großteil gar nicht ans Licht (wie ich hier schon einmal berichtet habe). Wenn es also um Statistiken geht, ist es immer gut, sich deren Quelle(n) anzusehen. Meine Recherche hier begann damit, dass ich mir die Daten zu Ransomware-Angriffen von 2024 und 2025 von zwei namhaften und angesehenen Quellen der Branche heruntergeladen habe: ransomware.live und ransomlook.io. Beide setzen sogenannte automatische Crawler ein, die Hunderte Seiten im Internet und Darknet nach Meldungen zu Vorfällen absuchen. Bei meiner Analyse habe ich Angriffe basierend auf den Daten gesucht, wann sie veröffentlicht wurden. Die Vorfälle selbst könnten allerdings schon Wochen oder Monate vorher stattgefunden haben. Das Wichtigste ist jedoch, dass man bei der Datensammlung konsistent vorgeht. Beachten Sie auch, dass die Daten aus diesen Quellen bei Weitem nicht perfekt sind, da die Behauptungen, die Ransomware-Gangs auf ihren Leaksites im Darknet machen, dafür bekannt sind, geschönt zu sein, um eigenen Zielen gerecht zu werden.

Von den Daten, die ich mir bei diesen beiden Quellen heruntergeladen habe, habe ich mir dann jeweils das 1. und 2. Quartal von 2024 und 2025 angesehen. Für 2025 zeigt sich, dass die Opferzahlen und deren Trend über die ersten beiden Quartale in etwa dem entsprechen, was die NCC Group in ihrem Bericht angibt. Die Zahlen aus allen drei Quellen sind damit auf einer Linie und wir können in der Tat den vermeldeten Rückgang erkennen.

* Berechnet anhand Opferzahl im 2. Quartal und dem prozentualen Vergleichswert der beiden Quartale

Das sind doch gute Neuigkeiten, oder? Aber Moment … Schauen wir uns doch einmal denselben Zeitraum vom vergangenen Jahr an. Da uns diese Daten nicht von der NCC Group vorliegen, beschränken wir uns auf die von ransomware.live und ransomlook.io.

Auch hier wird derselbe Trend deutlich. Die Zahlen sind im 2. Quartal niedriger als im 1. Quartal. Der Abfall könnte also ein regelmäßiges jährliches Muster sein. Wenn dem so ist, dürfen wir uns dann immer noch über die gesunkenen Zahlen freuen? Vergleichen wir daher also die Zahlen der beiden Jahre.

Jetzt sieht die Geschichte schon ganz anders aus. Im Vergleich zum 1. Quartal 2024 gab es 2025 einen enormen Anstieg. Auch für das 2. Quartal steigen die Zahlen, aber nur geringfügig. Der Grund für den Abfall der Ransomware-Angriffe im 2. Quartal 2025 liegt also nicht daran, dass sich die Situation gebessert hat, sondern weil für das 1. Quartal 2025 im Verhältnis zu 2024 erheblich mehr Opfer verzeichnet wurden.

Sollten wir also feiern oder in Panik geraten? Weder noch, aber hoffentlich erhalten Sie so einen besseren Überblick, wie die Trends und Bedrohungen aussehen. Ich habe den Datenvergleich genutzt, um ein paar Zahlen für Sommer 2025 (Juni bis August) zusammenzustellen, die ich Ihnen im Folgenden mitgebe.

Nach Zahlen

Aktivste Ransomware-Gruppen

2025 gab es etliche internationale und noch laufende Einsätze von Strafverfolgungsbehörden, die auf Einzelpersonen und Netzwerke abzielten, die in Verbindung mit Ransomware-Aktivitäten stehen. Während deren Erfolge ermutigend sind, kam es leider zu einem unerwünschten Nebeneffekt, nämlich der explosionsartigen Ausbildung neuer kleinerer Gruppen. Das spiegelt sich auch in den folgenden Zahlen wider, die im Vergleich von 2024 zu 2025 einen Anstieg von aktiven Ransomware-Gruppen um ungefähr 20–30 % zeigen.

Nachverfolgbare Opfer

Zwar brechen die internationalen Bemühungen, Ransomware-Gangs der Gerechtigkeit zuzuführen, nicht ab, aber leider steigen die Opferzahlen dennoch weiter von Jahr zu Jahr um 10–20 % an.

Die aktivsten Gruppen weltweit

Die Profile der aktivsten Gruppen lassen sich über eine Vielzahl von Quellen online einsehen. Dort sind häufig technische Beschreibungen der von den Gruppen eingesetzten TTP (Tactics, Techniques and Procedures) enthalten. Mithilfe dieser Informationen lässt sich eine solide Cyberabwehrstrategie entwickeln, die unter anderem spezifisch nach den IoC (Indicators of Compromise) dieser Gruppen Ausschau halten sollte.

Während wir das dritte Quartal 2025 angehen, ist es eine gute Gelegenheit, den Status der eigenen Cyberabwehr zu überprüfen, damit Sie nicht selbst zur Statistik in den nächsten Monaten beisteuern. Hier eine schnelle und keinesfalls vollständige Liste, womit Sie anfangen könnten.

• Endpunktschutz mit EDR;
• Perimeter- und Endpunkt-Firewalls;
• Starke Kennwörter mit MFA;
• Datenverschlüsselung;
• Unveränderliche externe Backups;
• E-Mail-Schutz;
• Sicherstellen, dass sämtliche Software aktuell ist;
• Mitarbeiteraufklärung bezüglich Cybersecurity;

und zu guter Letzt Ausarbeiten eines Notfallplan, den jedes Unternehmen haben sollte, bevor er benötigt wird.

Bleiben Sie sicher!

Übersetzung: Doreen Schäfer