Arctic Wolf, Anbieter von „Security Operations“, hat seinen jährlichen „Threat Report“ veröffentlicht. Die Analyse hunderter realer Incident-Response-Fälle aus 2025 zeigt: Während Ransomware weiterhin dominiert, verschiebt sich das Geschäftsmodell der Angreifer deutlich in Richtung reiner Datenexfiltration (Datendiebstahl ohne Verschlüsselung der Quellsysteme). Besonders betroffen sind Unternehmen in Westeuropa – darunter Deutschland als führender Industriestandort. Im Jahr 2025 machten Ransomware, Business E-Mail Compromise (BEC) und Data Incidents 92 Prozent aller untersuchten Incident-Response-Fälle aus. Auffällig ist dabei der massive Anstieg von Vorfällen ohne Verschlüsselung: Reine Datenerpressung stieg global von zwei auf 22 Prozent der Fälle – ein elffacher Zuwachs innerhalb eines Jahres. Gleichzeitig erfolgen 65 Prozent der untersuchten Nicht-BEC-Angriffe über den Missbrauch legitimer Remote-Zugänge wie VPN, RDP oder RMM-Tools (Remote Monitoring und Management) statt über komplexe Exploits, was zeigt, dass Angreifer bewusst auf einfache Einfallstore abzielen.
Deutschland: Industrie, Mittelstand und Regulierung erhöhen den Erpressungshebel
Die ergänzende EMEA-Auswertung des Reports zeigt eine hohe Konzentration von Ransomware-Aktivität in Westeuropa. Frankreich, Deutschland und das Vereinigte Königreich führen die Opferstatistiken an. Für Deutschland lässt der Report eine klare Häufung von Leak-Site-Veröffentlichungen in Bau- und Finanzwirtschaft, IT-Services und Großhandel erkennen, wobei insbesondere kleine und mittelständische Unternehmen betroffen sind.
Zugleich verstärken regulatorische Anforderungen wie die DSGVO den Druck auf betroffene Unternehmen. Laut Report erhöhen Offenlegungspflichten in Europa die Wahrscheinlichkeit, dass Vorfälle öffentlich auf Leak-Sites erscheinen. Für deutsche Unternehmen entsteht dadurch ein zusätzlicher Erpressungshebel, da Reputations- und Compliance-Risiken unmittelbar wirksam werden.