Firma schlägt wegen Ransomware-Attacken gegen Europa Alarm – das wissen wir
Europa habe sich im laufenden Jahr zur am schnellsten wachsenden Ransomware-Region entwickelt: Mit dieser Meldung sorgte die amerikanische Cybersicherheitsfirma Black Kite letzte Woche für Aufsehen.
Allein von Januar bis April seien 684 öffentlich bekannte Cyberangriffe auf europäische Opfer verzeichnet worden – ein Anstieg um 55 Prozent im Vergleich zum Vorjahr.
watson hat beim Bundesamt für Cybersicherheit (BACS) nachgefragt, wie sich die Lage hierzulande entwickelt und liefert eine Einschätzung, was zu beachten ist.
Wo ist das Problem?
Der in der vergangenen Woche von Black Kite veröffentlichte «European Cyber Risk Report» dokumentiert eine hohe Zunahme von Ransomware-Vorfällen in Europa.
In den ersten vier Monaten des Jahres 2026 seien die Cyberangriffe durch Erpresser-Banden im Vergleich zum Vorjahreszeitraum um 55,1 Prozent angestiegen. Black Kite verzeichnete in diesem Zeitraum 684 Attacken, was einem Durchschnitt von 171 Vorfällen pro Monat entspricht.
An die 70 Prozent aller Angriffe entfielen laut Bericht auf die fünf stärksten europäischen Volkswirtschaften: Deutschland, Grossbritannien, Frankreich, Italien und Spanien.
Gleich drei Schweizer Nachbarn gehören also zu den bevorzugten Zielen. Italien verzeichnete einen Anstieg um 92 Prozent, in Frankreich waren es 119 Prozent.
Und laut Bericht wurden in der DACH-Region (Deutschland, Österreich, Schweiz) 511 Fälle verzeichnet. Dies entspreche durchschnittlich 170 Angriffen pro Land.
Was aufhorchen lässt: Laut Black Kite nutzen die Kriminellen generative künstliche Intelligenz, um nach geeigneten Opfern zu suchen. Und diese KI-gestützte «Zielrecherche» lenkt die sogenannten Bedrohungsakteure nach Europa:
Wenn Infostealer zuschlagen
Wenn ein PC, Laptop oder Smartphone mit einem Infostealer infiziert wird, durchsucht diese Schadsoftware das System automatisch und blitzschnell nach wertvollen persönlichen Daten. Die vom Infostealer gesammelten Opfer-Informationen werden meist in eine Textdatei gepackt, komprimiert und unbemerkt an einen von Cyberkriminellen betriebenen Server gesendet. Oft geschieht dies über anonyme Messenger wie Telegram. Ein entsprechendes Datenpaket nennt man Stealer-Log.
In der Cyberkriminalität herrscht mittlerweile Arbeitsteilung. Die Akteure, die die Stealer-Logs einsammeln, werten diese oft gar nicht selbst aus. Sie fungieren als sogenannte «Initial Access Broker» (Händler für Erstzugänge). Das heisst, sie verkaufen die Stealer-Logs massenhaft auf speziellen Marktplätzen im Darknet oder in geschlossenen Telegram-Kanälen weiter.
Die Kriminellen haben es auf alles abgesehen, was sich für weitere Cygerangriffe nutzen oder direkt zu Geld machen lässt. Ein typisches Stealer-Log enthält (vom Opfer) gespeicherte Passwörter und Login-Daten, etwa zu Kryptowährungs-Konten.
Besonders begehrt sind Session-Cookies, weil sie Zugriff auf geschützte Online-Dienste ermöglichen: Wenn man sich etwa beim Server der eigenen Firma über das Internet anmeldet, speichert der Browser eine kleine Datei, damit man eingeloggt bleibt. Wenn Angreifer dieses Cookie erbeuten, können sie die «Sitzung» kopieren und sich dann oft ohne Passwort oder gar ohne Zwei-Faktor-Authentifizierung (2FA) einloggen.
Käufer solcher Stealer-Logs sind beispielsweise Ransomware-Gruppen. Sie kaufen gezielt die Logs von Firmen-Angestellten, nutzen die gestohlenen Zugangsdaten und Cookies, um sich unbemerkt ins Unternehmensnetzwerk einzuloggen, und starten von dort aus ihre eigentliche Erpressungsattacke.
Bekanntlich bieten viele, häufig russischsprachige Banden ihre Erpressungs-Infrastruktur gegen Bezahlung kriminellen Dritten an: Laut Black Kite hat sich Ransomware-as-a-Service (RaaS) zu einem dichteren, wettbewerbsintensiveren Ökosystem entwickelt, in dem immer mehr Gruppen mit standardisierten Taktiken um dieselben Ziele konkurrieren.
Die Zahl der aktiven Ransomware-Gruppen sei von 60 im Jahr 2023 auf 150 im laufenden Jahr angewachsen. Black Kite spricht von einer «Fragmentierung» innerhalb der Branche. Diese Fragmentierung sei auf die Ermittlungs-Operationen zurückzuführen, die von 2022 bis 2025 «grosse Akteure» betrafen – wie etwa Hive, ALPHV oder LockBit.
Black Kite warnt: Die Angreifer würden zunehmend IT-Schwachstellen bei Drittanbietern und Zulieferern ausnutzen. Solche Attacken werden Supply-Chain-Angriffe genannt und gelten wegen des grösseren Schadenpotenzials als besonders gefährlich: Ein kompromittierter IT-Dienstleister könnte zu einer Kaskade von Sicherheitsvorfällen bei Dutzenden seiner Kunden führen, wie etwa der Fall des deutschen Firma Portraitbox zeigte. Zudem geht es den Tätern oft nicht mehr ums Verschlüsseln von fremden Systemen, sondern um reinen Datendiebstahl. Sie erpressen das Opfer anschliessend mit der Veröffentlichung sensibler Daten im Darknet.
Die Black-Kite-Forscher machen in ihren Schlussfolgerungen keine geopolitischen Aussagen zu Russland. Es werden jedoch konkret die drei aktivsten Tätergruppen genannt:
- Qilin: Diese Gruppe war laut Black Kite mit 372 bekannten Vorfällen die mit Abstand aktivste Gruppierung in Europa. In der Cybersicherheitsbranche ist sie als russischsprachige Ransomware-as-a-Service (RaaS)-Bande bekannt.
- Akira: Die laut Bericht zweitaktivste Gruppe (159 Vorfälle) operiert nachweislich auch aus dem russischsprachigen Raum (häufig aus Russland oder GUS-Staaten).
- SafePay: Diese Gruppe wird im Bericht als drittaktivste genannt (80 Vorfälle). Auch dise Bande operiert zweifellos aus dem osteuropäischen oder russischen Raum.
Ist die Warnung ernst zu nehmen?
Die hohe Zunahme der (aus Tätersicht) erfolgreich durchgeführten Hackerangriffe und Datendiebstähle basiert auf Fällen, die publik gemacht wurden.
Bei der Einordnung des Black-Kite-Berichts muss der kommerzielle Kontext beachtet werden: Es handelt sich um ein gewinnorientiertes Unternehmen, das exakt die Software-Lösung anbietet, die Dritte besser schützen soll.
Black Kite ist ein 2016 gegründetes US-amerikanisches Unternehmen mit Sitz in Boston. Die Firma ist auf Cloud-basierte Risiko- und Schwachstellenanalysen spezialisiert. Ihr Kerngeschäft ist das sogenannte «Third-Party Risk Management» (TPRM) sowie das Absichern von IT-Lieferketten.
Das bedeutet konkret: Black Kite betreibt kostenpflichtige Informations-Plattformen, mit denen die Kunden herausfinden können, ob ihre eigenen Software-Lieferanten und externen IT-Dienstleister Sicherheitslücken aufweisen.
Und die Schweiz?
Auf Anfrage von watson nannte das Bundesamt für Cybersicherheit (BACS) am vergangenen Freitag eine konkrete Zahl.
Diese Zahl umfasse sowohl freiwillige Meldungen als auch Vorfälle, die im Rahmen der Meldepflicht für kritische Infrastrukturen gemeldet wurden, sowie auch Fälle, die dem BACS über Partnerorganisationen bekannt wurden.
Im Vergleich zum zweiten Halbjahr 2025 (79 Fälle) zeige sich «eine weitgehend stabile Entwicklung». Ein deutlicher Anstieg, wie er in internationalen Berichten zum Teil beschrieben werde, könne für die Schweiz nicht festgestellt werden.
Die Dunkelziffer bei erfolgreichen Ransomware-Attacken ist extrem hoch. In dieser Bildstrecke erfährst du, was dahintersteckt.
Wen nehmen die Angreifer hierzulande ins Visier?
Während es früher noch Angriffe insbesondere gegen NAS-Geräte von Privatpersonen gab, also gegen die mit dem Internet verbundenen Speichermedien und kleinen Server, beobachtet das BACS aktuell «fast ausschliesslich» Angriffe gegen Unternehmen und Behörden.
Max Klaus erklärt:
Die Auswertung der im ersten Halbjahr 2026 gemeldeten Fälle zeige, dass «gewisse international beobachtete Phänomene» auch in der Schweiz auftreten, auch wenn sich diese «derzeit quantitativ nicht präzise belegen lassen». So erfolge ein Teil der Angriffe über die Ausnutzung von Schwachstellen in öffentlich erreichbaren Systemen, insbesondere in weit verbreiteten VPN-Lösungen und Firewall-Infrastrukturen. Diese dienten dann als initialer Zugangspunkt für Angreifer.
Bei den beim BACS registrierten Fällen zeigten sich zudem gewisse Entwicklungen «innerhalb des Ransomware-Ökosystems»: So bleibe etwa die Gruppe «Akira» weiterhin die in der Schweiz am häufigsten beobachtete Gruppierung.
Die Empfehlungen der Cybersicherheits-Fachleute beim Bund sind unverändert: Schweizer Unternehmen jeglicher Grösse sollten sich frühzeitig mit dem Thema auseinandersetzen.
Erstens gelte es Vorkehrungen zu treffen, dass solche Cyberangriffe erschwert werden (Zwei-Faktoren-Authentisierung, insbesondere Schutz der im Internet exponierten Systeme, usw). Wichtig sei aber auch, sich im Vorfeld auf ein solches Szenario vorzubereiten, die Backup-Strategie zu testen und ein Notfallkonzept für den Ernstfall vorzubereiten.
Max Klaus weist auf die vom BACS entwickelte Cybersicherheits- und Resilienzmethode (CSRM) hin. Damit habe der Bund ein allgemeingültiges Instrument geschaffen, «das Unternehmen und Organisationen zur Erhöhung der Cyberresilienz und der Cybersicherheit nutzen können».
Das BACS empfiehlt zudem weiterhin, keine Lösegeldzahlungen zu leisten, wenn Cyberkriminelle zuschlagen.
Quellen
- deafnews.it: Europe overtakes US: 684 ransomware attacks in four months (25. Juni)
- blackkite.com: Key Findings From the 2026 European Cyber Risk Report (Zusammenfassung des Berichts)
