Ransomware-Lage in Deutschland und Europa bleibt angespannt

Dragos Analysis: Angriffe auf deutsche Industrie nehmen zu

Laut der Dragos Industrial Ransomware Analysis Q2 2025 wurden im zweiten Quartal dieses Jahres weltweit 657 Angriffe auf Industrieunternehmen registriert. Die dokumentierten Fälle stiegen in Europa von 135 auf 173.

Abdulrahman H. Alamri, Principal Threat Intelligence Analyst bei Dragos Abdulrahman H. Alamri, Principal Threat Intelligence Analyst bei Dragos

Veröffentlicht 23. Oktober 2025 - 15:00 Geändert 23. Oktober 2025 - 15:00

Besonders stark von Angriffen betroffen sind Deutschland, Großbritannien und Italien. Dort zielen die Angriffe vor allem auf Branchen, die das industrielle Rückgrat der Wirtschaft bilden.

(Bild: arrow - stock.adobe.com)

Die 173 Angriffe auf europäische Industrieunternehmen machen rund 26 Prozent aller weltweiten Ransomware-Vorfälle im zweiten Quartal aus. Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen. Die Bauindustrie verzeichnete weltweit 110 Angriffe, im Maschinen- und Anlagenbau wurden 63 Fälle dokumentiert. In der Automobilindustrie waren es 38 Angriffe, in der Chemie 20. Insgesamt geriet das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier und stand damit für 65 Prozent aller dokumentierten Fälle. Zusätzlich wurden 77 Angriffe auf Transport- und Logistikunternehmen gezählt. Im Bereich industrielle Steuerungssysteme und Engineering registrierten die Analysten 75 Attacken, mehr als doppelt so viele wie im ersten Quartal. Besonders dieser Anstieg betrifft zahlreiche deutsche Unternehmen, die in diesem Sektor international führend sind.

Qilin: Aktivste Gruppe im Ransomware-Ökosystem

Im zweiten Quartal 2025 entwickelte sich Qilin zur aktivsten Ransomware-Gruppe im Industriesektor. Die Angreifer verübten 101 dokumentierte Attacken und waren damit für rund 15 Prozent der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal lag die Zahl noch bei 21. Qilin positionierte sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie LockBit und RansomHub. Die Gruppe betreibt eine Ransomware-as-a-Service-Plattform, über die sie erfahrene Affiliates rekrutiert und unterstützt. Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen.

Arctic Wolf Threat Report 2025

Laut Arctic Wolf Threat Report macht die Fertigungsindustrie mit fast 19 Prozent den größten Anteil der erfassten Ransomware-IR-Fälle aus.

Cybersecurity

Fertigungsindustrie Top-Ziel von Ransomware-Attacken

Die Ergebnisse des Arctic Wolf Threat Reports 2025 zeigen, wie Cyberkriminelle ihre Methoden anpassen, um die mittlerweile stärkeren Sicherheitsmaßnahmen der Verteidiger zu umgehen. Erfahren Sie, wie Sie das Risiko erfolgreicher Angriffe minimieren.Lesen Sie hier.

Automatisierte Tools nutzen gezielt Schwachstellen in Fortinet-Produkten aus

Auch technisch hebt sich Qilin deutlich ab. Die Gruppe nutzt automatisierte Tools, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa CVE-2024-21762 und CVE-2024-55591. Darüber gelingt rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermöglicht. Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko. Im März 2025 wurde Qilin operativ von der nordkoreanischen, staatlich unterstützten Hackergruppe Moonstone Sleet übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund. Die Aktivitäten zeigen zunehmend geopolitische Ausrichtung und zielen verstärkt auf kritische Infrastrukturen.

Diconium-Studie

Industrieroboter montieren selbstständig eine Autokarosserie in einer modernen Fertigungsstraße

Strategy

So gefährlich sind digitale Attacken für die Autoproduktion

Cyberattacke legt Jaguar Land Rover lahm: IT-Systeme ausgefallen, Werke gestoppt, Händler blockiert. Der Vorfall zeigt die massive Verwundbarkeit der Autobranche – und wie KI zugleich Chance und Risiko für die Cybersecurity wird.Lesen Sie hier.

Die Bedrohungslage verschärft sich

Die Zahl der Ransomware-Angriffe in Europa nimmt weiter zu und Deutschland ist als industrialisiertes Land besonders häufig betroffen. Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und industrielle Steuerungssysteme. Mit Qilin hat sich zudem eine Ransomware-Gruppe etabliert, die sowohl technisch als auch organisatorisch neue Maßstäbe setzt.

Vom regulatorischen Muss zum Wettbewerbsvorteil

Steuerung & IT

Cybersecurity in der industriellen Kommunikation

Die europäische Industrie steht vor einem tiefgreifenden Wandel: Mit dem Cyber Resilience Act (CRA), der NIS-2-Richtlinie und weiteren EU-Vorgaben rücken Cybersicherheit und Produktresilienz in den Mittelpunkt für produzierende Unternehmen und deren Zulieferer. In Zukunft werden Security by Design und Security by Default schon von der ersten Sekunde der Entwicklung und Idee zu einem Produkt, mit betrachtet werden müssen.Lesen Sie hier.

An den fünf kritischen Maßnahmen des SANS Institute orientieren

Angesichts dieser Entwicklung reicht es nicht aus, sich auf etablierte Standards zu verlassen. Unternehmen sollten sich bei ihren Verteidigungsstrategien an den fünf kritischen Maßnahmen des SANS Institute orientieren. Dieser Rahmen hilft dabei, Incident Response, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellenmanagement systematisch umzusetzen. So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und kritische Infrastrukturen ins Visier nehmen.

Quelle: Dragos

FAQs zur Ransomware-Lage

1. Wie viele Ransomware-Angriffe auf Industrieunternehmen wurden registriert?
Weltweit wurden laut der Dragos Industrial Ransomware Analysis Q2 2025 insgesamt 657 Angriffe auf Industrieunternehmen dokumentiert, davon 173 in Europa.

2. Welche Branchen waren besonders betroffen?
Am stärksten betroffen war das produzierende Gewerbe mit 428 Angriffen weltweit. Besonders häufig traf es die Bauindustrie (110 Angriffe), den Maschinen- und Anlagenbau (63), die Automobilindustrie (38) und die Chemie (20). Auch Transport, Logistik sowie industrielle Steuerungssysteme und Engineering verzeichneten deutliche Zuwächse.

3. Welche Ransomware-Gruppe war im zweiten Quartal 2025 am aktivsten?
Die Gruppe Qilin war mit 101 dokumentierten Attacken die aktivste Ransomware-Gruppe und verantwortlich für rund 15 Prozent aller weltweiten Fälle.

4. Was zeichnet die Ransomware-Gruppe Qilin besonders aus?
Qilin betreibt eine Ransomware-as-a-Service-Plattform, über die sie Affiliates rekrutiert und unterstützt. Sie bietet juristische Beratung, PR-Strategien zur Druckerhöhung auf Opferunternehmen sowie technische Angriffe über automatisierte Tools, die gezielt Schwachstellen in Fortinet-Produkten ausnutzen.

5. Welche Schwachstellen werden von Qilin bevorzugt ausgenutzt?
Die Gruppe nutzt automatisierte Tools, um bekannte Sicherheitslücken in Fortinet-Systemen wie CVE-2024-21762 und CVE-2024-55591 zu attackieren.

6. Welche neue Entwicklung gab es in Bezug auf Qilin?
Im März 2025 wurde Qilin von der nordkoreanischen, staatlich unterstützten Hackergruppe Moonstone Sleet übernommen. Seitdem richtet sich die Aktivität zunehmend geopolitisch aus und zielt verstärkt auf kritische Infrastrukturen statt rein auf finanzielle Erpressung.

7. Welche Maßnahmen empfiehlt das SANS Institute zur besseren Verteidigung?
Das SANS Institute rät zu fünf zentralen Maßnahmen: einem strukturierten Incident-Response-Plan, einer robusten Sicherheitsarchitektur, umfassender Sichtbarkeit in Netzwerken, abgesichertem Fernzugriff sowie konsequentem Schwachstellenmanagement. Diese Bausteine sollen Unternehmen helfen, ihre Resilienz gegen wachsende industrielle Cyberbedrohungen frühzeitig zu stärken.