Die aktuelle Lage
Im 1. Quartal 2026 ging der Russisch-Ukrainische Krieg bereits ins fünfte Jahr, während am 28. Februar mit den Angriffen der USA und Israels auf den Iran ein weiterer geopolitischer Krisenherd auf breiterer Ebene eskalierte.
Phasen bewaffneter Konflikte waren schon immer auch mit erhöhter Cyberaktivität verbunden, doch die aktuelle Bedrohungslandschaft unterscheidet sich nunmehr nicht allein durch die Anzahl der Angriffe, sondern auch ihre Absichten. Vormals galten zivile Unternehmen nachvollziehbar als Kollateralschäden. Inzwischen werden sie zunehmend zum Ziel.
Staatstreue APT-Gruppen und lose verbundene Hacktivisten-Zusammenschlüsse verfolgen nun Ziele, die weit über einen wirtschaftlichen Vorteil hinausgehen. Bei einigen Attacken war bereits eine Verlagerung von finanziellem Gewinn zu bewusster Störung kritischer Infrastrukturen ebenso wie privater Unternehmen spürbar.
Dies war beispielsweise der Fall als am 11. März, gerade einmal eine Woche nach Beginn der Angriffe auf den Iran, ein Zwischenfall bei dem US-amerikanischen Medizingerätehersteller Stryker bekannt wurde, zu dem sich die pro-iranische Hackergruppe Handala bekannte. Innerhalb weniger Tage wurde der Umfang des Vorfalls deutlich, wobei laut Handala 200 000 Geräte gelöscht und etwa 50 Terabyte an Daten gestohlen worden waren.
Die langfristigen Auswirkungen des Vorfalls sind noch nicht abzusehen. Der Angriff auf ein Unternehmen im Gesundheitssektor verdeutlicht jedoch sehr öffentlich die asymmetrische Natur der Cyberkriegsführung.
Ein weiterer Fokus im 1. Quartal 2026 war der Einfluss von künstlicher Intelligenz auf die Cybersicherheit, etwas womit uns Hollywood schon seit Jahrzehnten versucht, Angst einzujagen. Zu den jüngsten Bedenken gehören:
- Generativer KI wird eingesetzt, um höchst personalisierte, überzeugende und anpassbare Spear- und Deepfake-Phishing-Angriffe zu erzeugen.
- Scheinbar unschädliche Open-Source-KI-Agenten wie OpenClaw können erhebliche Sicherheitsrisiken verursachen.
- Anthropic behauptet, dass sein Claude Mythos Preview Zero-Day-Sicherheitslücken aufspüren und ausnutzen kann, die seit Jahren unentdeckt sind. Das Risiko wurde als zu groß eingeschätzt, weshalb das Modell nur für eine eingeschränkte Gruppe von Unternehmen (wahrscheinlich die Erwachsenen im Raum) veröffentlicht wurde.
Der Blick aus meinem Fenster heute Morgen zeigt mir jedoch, dass der Himmel zum Glück noch nicht eingestürzt ist. Unternehmen richten sich sowohl auf die Bedrohungen als auch die Möglichkeiten ein, die ihnen KI bietet, so wie sie es seit jeher bei Entwicklungen im Markt getan haben. Es gab schon immer Schwachstellen in Software, doch es muss zunächst eine wirtschaftliche Legitimation geben, um diese zu finden, und KI wird daran nichts ändern. Ich würde also vorschlagen, vorerst noch nicht in den Panikmodus zu verfallen.
Durchblick im Chaos: Was uns die Daten verraten
Trotz all der Unsicherheit können wir uns an einigen hervorragenden Ressourcen orientieren, um einen Überblick über die tatsächlichen Ransomware-Aktivitäten und -Trends zu erhalten. Dazu gehören:
- Ransomlook.io (Open Source)
- Ransomware.live (ein Projekt von Julien Mousqueton)
Dass die Daten dabei nicht identisch sind, liegt an der Sache an sich und spiegelt wider, wie schwierig es ist, Ransomware-Fälle nachzuvollziehen. Dennoch vermelden beide Plattformen für das 1. Quartal 2026 bemerkenswert ähnliche Trends:
- Ransomware.live: 2 318 Vorfälle durch 70 aktive Gruppen (im Vergleich zu 2 251 Fällen durch 67 Gruppen im 1. Quartal 2025)
- RansomLook: 2 570 Vorfälle durch 89 aktive Gruppen (im Vergleich zu 2 509 Fällen durch 76 Gruppen im 1. Quartal 2025)
Die wichtigsten Punkte:
1. Opferzahlen auf gleichem Niveau
Trotz der zunehmenden geopolitischen Spannungen ist die Gesamtanzahl der verzeichneten Ransomware-Opfer im Jahresvergleich relativ gleich geblieben. Dies lässt vermuten, dass die Bedrohungslandschaft zwar extremer wird, sich dies aber nicht proportional auf die Anzahl der erfolgreichen Angriffe niederschlägt.
2. Zunehmende Zersplitterung der Akteure
Beide Datensammlungen zeigen eine Zunahme der aktiven Gruppen. Das deutet auf eine Zersplitterung innerhalb des Ransomware-Ökosystems hin, etwa durch Neubildungen aufgrund von Initiativen der Strafverfolgungsbehörden oder Instabilität innerhalb der Gruppen.
3. Stabile Marktführerschaft
Auch die aktivsten Ransomware-Gruppen und ihre Rangfolge ist in beiden Datensammlungen im Großen und Ganzen konsistent. Trotz der Zersplitterung scheint es also dennoch eine kleine Gruppe dominanter Akteure zu geben, die für einen erheblichen Anteil der Aktivitäten verantwortlich sind. Kombinieren wir die Daten von Ransomware.live und Ransomlook.io, ergibt sich folgende Aufteilung:
Wachsende Ballung in der geographischen Verteilung
Laut Ransomware.live wurden im 1. Quartal 2026 Ransomware-Opfer in 97 Ländern verzeichnet.
Allerdings ballt sich die Verteilung der Angriffe zunehmend.
Allein in den USA wurden 64,7 % aller Opfer verzeichnet, was zu 48 % im selben Zeitraum des Vorjahres ein erheblicher Zuwachs ist. Dieser starke Anstieg lässt sich entweder auf eine bessere Sichtbarkeit der US-basierten Vorfälle zurückführen oder darauf, dass die USA zunehmend als Ziel anvisiert werden – vielleicht auch beides.
Derweil hat Deutschland Kanada von seinem bisherigen 2. Platz verdrängt.
Die 10 am meisten betroffenen Länder (1. Quartal 2026):
| Land | % der Opfer |
| USA | 64,7 % |
| Deutschland | 5,9 % |
| Kanada | 5,2 % |
| Vereinigtes Königreich | 5,2 % |
| Frankreich | 4,3 % |
| Italien | 4,3 % |
| Indien | 3,0 % |
| Brasilien | 2,8 % |
| Spanien | 2,8 % |
| Japan | 2,1 % |
| Sonstige | 37,3 % |
Fazit
Das 1. Quartal 2026 untermauert eine bedenkliche Realität: Ransomware wird nicht länger nur zur finanziellen Erpressung eingesetzt, sondern im Rahmen des geopolitischen und technologischen Wandels zunehmend auch in seiner Funktion als Störmittel.
Während die Gesamtanzahl der Opfer relativ gleich bleibt, kündigten strukturelle Änderungen im Ökosystem – sei es durch zunehmende Zersplitterung von Gruppen, geografische Konzentration auf hochwertige Wirtschaftsstandorte wie die USA oder das Aufkommen zerstörerischer, ideologisch motivierter Kampagnen – eine bedeutende Evolution des Risikos an.
Vorfälle wie der Angriff auf die Stryker Corporation sind Beleg dafür, wie zivile Organisationen ebenfalls in den Fokus moderner Cyberkonflikte geraten. Gleichzeitig beschleunigt die KI sowohl die Möglichkeiten der Angreifer als auch die Anpassung der Abwehr, wodurch sich die Reaktionszeiten weiter verkürzen.
In dieser Umgebung ist Widerstandsfähigkeit nicht länger optional. Unternehmen müssen sich darauf einstellen, dass Störungen nicht nur möglich, sondern in einigen Fällen sogar absichtlich sind, und ihre Sicherheitsstrategie entsprechend anpassen.
Übersetzung: Doreen Schäfer