Nach einer kurzen Entspannung im März steigt die Zahl der Cyberangriffe im April 2026 wieder. Laut Check Point Research verzeichneten Organisationen weltweit im Schnitt 2.201 Angriffe pro Woche. Deutschland liegt mit 1.377 Angriffen unter dem europäischen Durchschnitt, bleibt aber auch bei Ransomware sichtbar betroffen.

Check Point Research meldet im Monthly Cyber Threat Report für April 2026 wieder steigende Angriffszahlen. Weltweit registrierten Unternehmen im Durchschnitt 2.201 Cyberangriffe pro Woche. Das entspricht laut Anbieter einem Plus von zehn Prozent gegenüber März 2026 und acht Prozent gegenüber April 2025. Die kurze Beruhigung im März wertet Check Point daher nicht als nachhaltige Entspannung, sondern eher als taktische Pause.

Auch im DACH-Raum zeigt sich wieder ein Aufwärtstrend. In Deutschland stieg die durchschnittliche Zahl der Angriffe um vier Prozent auf 1.377 pro Organisation und Woche. Österreich verzeichnete mit 2.122 Angriffen ein Plus von 17 Prozent. Die Schweiz blieb mit 1.246 Angriffen und einem Anstieg um ein Prozent nahezu stabil. Europa insgesamt kam im April auf 1.848 Angriffe pro Organisation und Woche.

Energie und Bildung bleiben in Deutschland vorn

In Deutschland führt Check Point weiterhin Energie- und Versorgungsunternehmen als am stärksten betroffenen Sektor. Danach folgen Bildung, Bau- und Ingenieurwesen, Telekommunikation sowie Unternehmensdienstleistungen. Gegenüber März 2026 änderte sich die Rangfolge laut Bericht nicht.

Global bleibt das Bildungswesen besonders stark betroffen. Der Sektor kam im April 2026 auf durchschnittlich 4.946 Angriffe pro Organisation und Woche. Das entspricht einem Anstieg um acht Prozent gegenüber dem Vorjahresmonat. Danach folgen der Regierungssektor mit 2.797 Angriffen und die Telekommunikationsbranche mit 2.728 Angriffen pro Woche.

Auffällig bleibt zudem der Bereich Gastgewerbe, Tourismus und Freizeit. Check Point verweist hier auf die bevorstehende Hauptreisezeit, ein höheres Transaktionsvolumen, Abhängigkeiten von Drittanbietern und eine schnellere operative Taktung. Diese Faktoren können die Angriffsfläche vergrößern.

Global bleibt das Bildungswesen besonders stark betroffen. (Quelle: Check Point)

Alle Regionen melden steigende Angriffszahlen

Regional verzeichnete Check Point im April erstmals wieder in allen betrachteten Regionen einen Anstieg gegenüber dem Vormonat. Lateinamerika lag mit 3.364 Angriffen pro Organisation und Woche an der Spitze. Das entspricht einem Plus von 20 Prozent im Jahresvergleich. Die APAC-Region folgte mit 3.213 Angriffen, Afrika mit 2.940 Angriffen.

Europa kam auf 1.848 Angriffe pro Organisation und Woche und damit auf ein Plus von neun Prozent. Nordamerika lag bei 1.499 Angriffen. Für international tätige Unternehmen ist die Entwicklung relevant, weil Angreifer nicht nur einzelne Länder, sondern Lieferketten, Dienstleister und regionale Schwachstellen entlang globaler Geschäftsprozesse ausnutzen.

GenAI-Nutzung erhöht Risiken für sensible Daten

Neben den klassischen Angriffszahlen nennt Check Point Risiken rund um generative KI als anhaltendes Problem. Dem Bericht zufolge enthielt jeder 28. GenAI-Prompt ein hohes Risiko für die Preisgabe sensibler Daten. 90 Prozent der Unternehmen, die regelmäßig GenAI-Tools einsetzen, waren von diesem Risiko betroffen.

Weitere 19 Prozent der Prompts enthielten potenziell sensible Informationen. Unternehmen nutzten im Durchschnitt zehn verschiedene GenAI-Tools. Das deutet auf eine fragmentierte Einführung hin, bei der Governance, Datenschutz und Sicherheitskontrollen nicht immer Schritt halten. Für IT-Verantwortliche ist dabei weniger die einzelne KI-Anwendung entscheidend, sondern die Frage, ob vertrauliche Daten, Passwörter, Quellcode, Kundendaten oder interne Dokumente unkontrolliert in externe Dienste gelangen.

Ransomware bleibt ein zentraler Risikofaktor

Ransomware zählt laut Check Point weiterhin zu den folgenreichsten Bedrohungen. Im April 2026 wurden 707 öffentlich gemeldete Angriffe gezählt. Das sind fünf Prozent mehr als im März und zwölf Prozent mehr als im April 2025. Die Zahlen basieren auf sogenannten Shame-Sites, auf denen Erpressergruppen ihre Opfer öffentlich nennen. Diese Daten sind nicht vollständig, geben aber Hinweise auf Aktivität, regionale Verteilung und Taktiken im Ransomware-Ökosystem.

Nordamerika war mit 46 Prozent der gemeldeten Vorfälle am stärksten betroffen. Europa folgte mit 27 Prozent, der asiatisch-pazifische Raum mit 17 Prozent. Deutschland lag mit rund fünf Prozent der gemeldeten Ransomware-Opfer gemeinsam mit Kanada auf Rang zwei hinter den USA. Nach Branchen waren Unternehmensdienstleistungen mit 34 Prozent am stärksten betroffen, gefolgt von Konsumgütern und Dienstleistungen sowie industrieller Fertigung.

Viele Gruppen teilen sich den Ransomware-Markt

Die Ransomware-Landschaft bleibt nach Angaben von Check Point fragmentiert. Im April griffen 56 verschiedene Gruppen Organisationen an. Die drei aktivsten Gruppen waren zusammen für 34 Prozent der gemeldeten Vorfälle verantwortlich.

Qilin führte mit 15 Prozent der veröffentlichten Angriffe. Die seit 2022 aktive Ransomware-as-a-Service-Gruppe war früher unter dem Namen Agenda bekannt. The Gentlemen kam auf zehn Prozent der Angriffe. DragonForce belegte mit neun Prozent den dritten Platz. Das Modell vieler Gruppen zeigt, wie arbeitsteilig das Ransomware-Geschäft inzwischen funktioniert: Einige Akteure entwickeln Infrastruktur und Schadsoftware, andere übernehmen Zugänge, Verhandlungen oder Veröffentlichung gestohlener Daten.

Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point, ordnet die Zahlen so ein: »Die Zahlen für April zeigen, dass die Verlangsamung im März nur vorübergehend war. Cyberkriminelle sind auch weiterhin hochgradig professionalisiert und anpassungsfähig. Sie verlagern Ziele und Zeitpunkte der Attacken, werden flexibler und unnachgiebiger. Dazu steigt die Zahl der Ransomware-Angriffe weiter an und all das passiert während Unternehmen sich in einer transformativen Phase befinden, die von der Integration von GenAI in den täglichen Arbeitsabläufen geprägt ist. Sicherheitsverantwortliche müssen daher davon ausgehen, dass Cyber-Risiken kontinuierlich bestehen und auf Prävention, Governance und KI-gestützte Sicherheit setzen, die Bedrohungen stoppen kann, bevor sie Schaden anrichten.«