2025 registrierten deutsche Unternehmen im Schnitt 1.223 Cyberangriffe pro Woche, 14 Prozent mehr als 2024. Besonders stark betroffen ist der Bildungssektor mit 2.885 Angriffen je Einrichtung und damit 235 Prozent über dem nationalen Mittel. Laut Report erhöhen Automatisierung, KI und Social-Engineering die Taktung.

Check Point Software Technologies legt mit dem Cyber Security Report 2026 eine Auswertung der globalen Angriffsaktivität 2025 vor und vergleicht sie mit 2024. Der Bericht beschreibt eine steigende Angriffsdichte, mehr Kampagnen über mehrere Kanäle und einen wachsenden Einsatz von Automatisierung und KI auf Angreiferseite.

Für Deutschland weist der Report im Jahr 2025 im Mittel 1.223 Angriffe pro Woche je Unternehmen aus, ein Plus von 14 Prozent gegenüber 2024. In Österreich stieg der Wert auf 1.665 Angriffe pro Woche (+12 Prozent), in der Schweiz auf 1.138 (+6 Prozent).

Weltweit lagen Organisationen bei 1.968 Cyberattacken pro Woche. Das entspricht +18 Prozent im Vergleich zu 2024 und +70 Prozent gegenüber 2023. Als Treiber nennt Check Point Automatisierung und KI, mit denen Angreifer schneller vorgehen, leichter skalieren und mehrere Angriffsflächen parallel bespielen.

Thomas Boele, Check Point»KI verändert die Mechanismen von Cyberangriffen, nicht nur deren Umfang«, ordnet Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point, den Trend ein. »Wir beobachten, dass Angreifer von rein manuellen Operationen zu einem immer höheren Automatisierungsgrad übergehen. Obendrein sehen wir auch erste Anzeichen für gänzlich autonome Angriffe. Um diesem Wandel standzuhalten und uns der KI-Ära anzupassen, müssen wir die bisherigen Sicherheitsstrategien und deren Umsetzung komplett überarbeiten. Mehr denn je benötigen Verteidiger die Fähigkeit, Bedrohungen zu stoppen, bevor sie sich ausbreiten können.«

Anzeige

Deutschland: Bildung als Hauptziel für Cyberangriffe

Im internationalen Vergleich landet Deutschland auf Platz 11 der meistangegriffenen Länder. Genannt werden als Beispiele die USA mit 1.434 Angriffen pro Woche (+23 Prozent) und Großbritannien mit 1.279 (+23 Prozent).

Auffällig ist die Branchenverteilung: Der Bildungssektor führt die Statistik in Deutschland mit 2.885 Angriffen pro Woche je Einrichtung an. Das liegt laut Report 235 Prozent über dem nationalen Durchschnitt. Als Gründe nennt Check Point die Menge sensibler Nutzerdaten sowie veraltete Infrastrukturen und knappe Security-Ressourcen.

Weitere stark belastete Branchen in Deutschland:

1. Bildung: 2.885
2. Energie und Versorgung: 2.011
3. Telekommunikation: 1.932
4. Biotechnologie und Pharmazeutika: 1.686
5. Gesundheitswesen und Medizin: 1.617
6. Automobilindustrie: 1.573
7. Medien und Unterhaltung: 1.557
8. Bauwesen und Ingenieurwesen: 1.536
9. Informationstechnologie: 1.453
10. Unternehmensdienstleistungen: 1.397

Alle zehn Branchen liegen damit über dem deutschen Mittelwert von 1.223 Angriffen.

Taktiken: Multi-Channel-Kampagnen und mehr KI im Werkzeugkasten

Als zentrales Muster beschreibt die Studie integrierte Kampagnen, die mehrere Kanäle kombinieren und Täuschung mit maschineller Automatisierung verbinden. Check Point hebt mehrere Punkte hervor:

• KI-Einsatz wird operativ: KI wandert in Angreifer-Workflows und beschleunigt Aufklärung, Social-Engineering und Entscheidungen. In einem dreimonatigen Zeitraum seien 89 Prozent der Unternehmen mit riskanten KI-Anfragen konfrontiert gewesen, etwa eine von 41 Anfragen habe Check Point als hochriskant eingestuft.
• Ransomware fragmentiert und skaliert: Das Ökosystem zerfällt in kleinere, spezialisierte Gruppen. Check Point nennt +53 Prozent mehr erpresste Opfer und +50 Prozent mehr neue Ransomware-as-a-Service-Gruppen. KI soll Zielfindung, Verhandlungen und Effizienz beschleunigen.
• Social-Engineering jenseits von E-Mail: Kampagnen laufen demnach koordiniert über E-Mail, Web, Telefon und Kollaborationsplattformen. Check Point spricht von +500 Prozent bei ClickFix-Techniken, die mit betrügerischen technischen Aufforderungen arbeiten. Telefonbasierte Imitationen entwickelten sich zu strukturierteren Infiltrationsversuchen.
• Edge- und Infrastruktur als Einfallstor: Unüberwachte Edge-Geräte, VPN-Appliances und IoT-Systeme dienen zunehmend als Relais-Punkte, um sich in legitimen Traffic zu mischen.
• Risiken in KI-Infrastruktur: Eine Analyse von Check Points Lakera habe bei 40 Prozent von 10.000 untersuchten MCP-Servern (Model-Context-Protocol) Sicherheitslücken identifiziert.

Empfehlungen: Prävention, Kontrolle und Sichtbarkeit

Aus den Beobachtungen leitet Check Point ab, dass reine Reaktion nicht ausreicht, wenn Angriffe mit hoher Automatisierung ablaufen. Stattdessen sollen Unternehmen ihre Sicherheitsgrundlagen für KI-getriebene Bedrohungen neu bewerten und Kontrollen für Netzwerk, Endpunkte, Cloud, E-Mail und SASE so auslegen, dass koordinierte Angriffe früh stoppen. Gleichzeitig empfiehlt der Anbieter, die Nutzung von KI nicht zu verdrängen, sondern sie zu steuern: Genehmigte und ungenehmigte KI-Anwendungen sollten sichtbar sein und sich kontrollieren lassen, um riskante Prompts, Datenabfluss und Missbrauch zu reduzieren.

Ergänzend rückt der Schutz des digitalen Arbeitsplatzes in den Fokus, also ein konsistenter Schutz über Browser, Collaboration-Tools, SaaS-Anwendungen und Sprachkanäle. Ein weiterer Schwerpunkt liegt auf Edge und Infrastruktur: Edge-Geräte, VPN-Appliances und IoT-Systeme sollen aktiv inventarisiert, gepatcht und überwacht werden, um verdeckte Einstiegspunkte zu schließen. Insgesamt priorisiert Check Point einen Prevention-First-Ansatz, der Bedrohungen stoppt, bevor laterale Bewegungen, Datenverlust oder Erpressung greifen.

»Da Angriffe mit Maschinengeschwindigkeit ablaufen, ist präventive Sicherheit unerlässlich, um Bedrohungen zu stoppen, bevor es zu lateralen Bewegungen, Datenverlust oder Erpressung kommt«, sagt Check-Point-Manager Boele. »Voraussetzung dafür ist eine einheitliche Sichtbarkeit in hybriden Umgebungen, denn durchgängige Telemetrie und konsistente Policies über On-Premises-, Cloud- und Edge-Bereiche hinweg reduzieren blinde Flecken und Komplexität.«