Das erste Quartal 2026 zeigt ein verändertes Bedrohungsbild für Unternehmen in Deutschland, Österreich und der Schweiz. Während die bekannten Ransomware-Gruppen LockBit und ALPHV/BlackCat durch Strafverfolgungsmassnahmen geschwächt wurden, sind neue Akteure in die Lücke gestossen. Die Angriffe werden schneller, gezielter und technisch ausgefeilter.
Neue Gruppen, neue Taktiken
Drei Gruppen dominieren aktuell das DACH-Bedrohungsbild:
- RansomHub: Seit Ende 2025 die aktivste Gruppe in Europa. Nutzt Initial Access Broker (IABs) für den Erstzugang und verschlüsselt innerhalb von durchschnittlich 4 Stunden nach Kompromittierung. Zielbranche: Fertigungsindustrie und Logistik.
- Medusa: Fokussiert sich auf Bildungseinrichtungen und Gesundheitswesen im deutschsprachigen Raum. Besonderheit: Doppelte Erpressung mit öffentlichem Countdown-Timer auf der Leak-Site.
- Qilin: Technisch versierte Gruppe, die gezielt VMware ESXi-Umgebungen angreift und damit ganze Virtualisierungslandschaften auf einen Schlag verschlüsselt.
Die häufigsten Einfallstore
Die Analyse von 87 dokumentierten Ransomware-Vorfällen im DACH-Raum (Q1 2026, Quellen: BSI, NCSC, CERT.at) zeigt ein klares Bild:
- VPN-Schwachstellen (34%): Ungepatchte Fortinet-, Cisco- und Ivanti-Appliances bleiben das Einfallstor Nummer eins. Trotz verfügbarer Patches werden Systeme oft erst Wochen nach Veröffentlichung aktualisiert.
- Kompromittierte Zugangsdaten (28%): Infostealer-Malware auf Mitarbeiter-Endgeräten liefert valide Credentials, die über Darknet-Marktplätze gehandelt werden. MFA-Bypass durch Token-Theft nimmt zu.
- E-Mail / Phishing (22%): Gezielte Spear-Phishing-Kampagnen mit QR-Codes (Quishing) und gefälschten Microsoft-365-Login-Seiten.
- Exponierte RDP-Dienste (11%): Remote Desktop Protocol direkt aus dem Internet erreichbar, oft mit schwachen Passwörtern.
- Supply Chain (5%): Kompromittierung über IT-Dienstleister oder MSPs mit privilegiertem Zugang zu Kundensystemen.
Durchschnittliche Ausfallzeit steigt
Die durchschnittliche Ausfallzeit nach einem Ransomware-Vorfall im DACH-Raum ist im Q1 2026 auf 18 Tage gestiegen (Q4 2025: 14 Tage). Der Grund: Angreifer zerstören gezielt Backup-Infrastrukturen, bevor sie verschlüsseln. Wer kein Immutable Backup oder Air-Gapped Copies hat, steht vor einem Totalverlust.
Was Unternehmen jetzt tun sollten
Die gute Nachricht: Die Abwehr funktioniert, wenn die Basics stimmen.
- Patch-Management mit SLA: VPN-Appliances und Internet-exponierte Systeme innerhalb von 48 Stunden nach Critical-CVE patchen. Kein Ausnahmen.
- MFA überall: Nicht nur für VPN und E-Mail, sondern auch für RDP, Admin-Portale und Cloud-Konsolen. Hardware-Token (FIDO2) statt SMS.
- Immutable Backups: Mindestens eine Backup-Kopie, die weder verschlüsselt noch gelöscht werden kann. Regelmässige Recovery-Tests.
- Netzwerksegmentierung: Produktionsnetzwerke, Office-IT und Management-Interfaces strikt trennen.
- EDR/XDR auf allen Endpoints: Signaturbasierter Virenschutz reicht nicht mehr. Verhaltensbasierte Erkennung ist Pflicht.
- Incident Response Plan: Dokumentiert, getestet, mit klaren Eskalationswegen. Nicht erst im Ernstfall improvisieren.
Die Ransomware-Bedrohung wird nicht verschwinden. Aber Unternehmen, die ihre Hausaufgaben machen, reduzieren das Risiko eines erfolgreichen Angriffs drastisch.
Quellen: BSI Lagebild Q1/2026, NCSC Halbjahresbericht, CERT.at Statistik, Sophos Threat Report 2026.