16 Prozent mehr Cyber-Angriffe in Deutschland im Januar

Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point Software Technologies, Anbieter von Cyber-Sicherheitslösungen, hat ihren Monthly Cyber Threat Report für Januar 2026 veröffentlicht. Demnach erfuhren im Januar 2026 Unternehmen weltweit durchschnittlich 2090 Cyber-Angriffe pro Woche. Dies entspricht einem Anstieg von drei Prozent gegenüber Dezember 2025 und von 17 Prozent gegenüber dem Vorjahreszeitraum. Im DACH-Raum gehen die Trends auseinander. In Deutschland und Österreich stiegen die Angriffszahlen zwar: Deutsche Unternehmen erfuhren im Schnitt 1314 und damit um 16 Prozent mehr Attacken. Auch in Österreich stiegen die Zahlen um 14 Prozent auf 1676. In der Schweiz allerdings gingen die Angriffe verglichen mit Januar 2025 um elf Prozent auf 1093 zurück.

Cyber-Angriffe nach Regionen und Sektoren (global)

Der Bildungssektor war im Januar mit durchschnittlich 4364 Angriffen pro Organisation und Woche weiterhin die am stärksten angegriffene Branche, was einem Anstieg von zwölf Prozent im Vergleich zum Vorjahr entspricht. Die große Angriffsfläche, die hohe Anzahl an Nutzern und die starke Abhängigkeit von oftmals veralteten Infrastrukturen machen diesen Sektor weiterhin zu einem attraktiven Ziel für Bedrohungsakteure.

Auf Platz zwei folgte der Regierungssektor mit 2759 wöchentlichen Angriffen, einem Plus von acht Prozent gegenüber dem Vorjahr, und verblieb auf seiner Position des Vormonats. Der Staatsapparat ist einer der am häufigsten angegriffenen Bereiche durch die Verwaltung kritischer Infrastrukturen und der großen Menge sensibler Informationen und entsprechend wertvoller Daten.

Eine bemerkenswerte Verschiebung war der rasante Anstieg von Attacken auf Telekommunikations-Unternehmen, die mit durchschnittlich 2647 wöchentlichen Angriffen (plus acht Prozent) auf den dritten Platz vorrückten. Dieser Sektor löste Verbände und gemeinnützige Organisationen ab, die im Dezember noch an dritter Stelle lagen. In dieser Entwicklung spiegelt sich der zunehmende Fokus auf die wichtige Infrastruktur der Telekommunikation wider. Angreifer nutzen hier verstärkt die Abhängigkeit von Konnektivität, die 5G-Erweiterung und die Lieferketten-Risiken aus.

Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Januar 2026 verglichen mit Januar 2025 © Check Point

Auch im letzten Monat sahen sich Europa mit 1755 (plus 18 Prozent) und Nordamerika mit 1465 Angriffen (plus 19 Prozent) einem Mehr an Cyber-Angriffen ausgesetzt. Im Vergleich zu anderen Regionen fallen diese Zahlen jedoch noch relativ gering aus. Denn Lateinamerika verzeichnete mit 3110 und einem Anstieg von ganzen 33 Prozent gegenüber Dezember 2025 von allen Regionen den weltweit stärksten Zuwachs im Jahresvergleich. Es folgte die APAC-Region mit 3087 Angriffen (plus sieben Prozent) und Afrika mit 2864, womit Afrika als einzige Region einen Rückgang um sechs Prozent aufweist.

GenAI-Nutzung eröffnet Datenlecks

Die Nutzung von Künstlicher Intelligenz (GenAI) in Unternehmen hat sich weiter beschleunigt und das lässt das Risiko eines Datenverlusts deutlich ansteigen. So hat CPR im Januar folgende gefährliche Trends ausgemacht:

• Einer von 30 GenAI-Prompts zeigte ein erhöhtes Risiko, dass sensible Daten nach außen dringen. Dieses Datenleck-Risiko betraf 93 Prozent der Unternehmen, die regelmäßig GenAI-Tools verwenden.
• 16 Prozent aller Prompts enthielten potenziell sensible Informationen.
• Unternehmen nutzten im Durchschnitt zehn verschiedene GenAI-Tools, was auf fragmentierte und inkonsistente Nutzungsmuster hinweist.
• Der durchschnittliche Unternehmensnutzer generierte 76 GenAI-Prompts pro Monat, was eine tiefe operative Integration von KI-gesteuerten Workflows widerspiegelt.

Diese anhaltende Undurchsichtigkeit bei der GenAI-Nutzung unterstreicht die Notwendigkeit solider Governance, besserer Sichtbarkeit von KI-Tools und strenger Kontrollen der Datenverarbeitung. Ohne solche Sicherheitsvorkehrungen sind Unternehmen verstärkt der Gefahr ausgesetzt, dass Zugangsdaten nach außen dringen, Quellcode offengelegt wird, interne Dokumente falsch weitergegeben werden und versehentlich Schwachstellen in der Lieferkette entstehen.

Ransomware-Lagebericht nach Regionen, Ländern und Branchen

Ransomware-Aktivitäten nahmen im Januar 2026 mit 678 öffentlich gemeldeten Angriffen um zehn Prozent weiter zu. Trotz monatlicher Schwankungen bleibt Ransomware eine der hartnäckigsten und zerstörerischsten Bedrohungen weltweit. Robuste RaaS-Ökosysteme und zunehmend auf Datendiebstahl ausgerichtete Erpressungsmodelle befeuern die Gefahr zusätzlich.

Auf Nordamerika entfielen 52 Prozent der Ransomware-Opfer, gefolgt von Europa mit 24 Prozent. Das zeigt, dass sich die Angreifer weiterhin auf umsatzstarke Märkte mit einer umfangreichen digitalen Infrastruktur konzentrieren. Nach Ländern aufgeschlüsselt blieben die USA (48 Prozent) das am stärksten betroffene Land. Weitere stark betroffene Länder waren Großbritannien (fünf Prozent), Kanada (vier Prozent), Deutschland (vier Prozent) und Italien (drei Prozent). [Diese Erkenntnisse stammen von sogenannten Ransomware-Shame Sites, die von Erpressergruppen genutzt werden, um ihre Opfer öffentlich aufzulisten. Diese Angaben sind zwar von Natur aus selektiv, bieten jedoch einen wertvollen Einblick in das Ausmaß, die Verbreitung und die sich entwickelnden Taktiken des Ransomware-Ökosystems.]

Branchen, die in hohem Maße auf einen kontinuierlichen Betrieb angewiesen sind, blieben die Hauptziele von Ransomware. Unternehmensdienstleistungen machten 33 Prozent aller Ransomware-Opfer aus, gefolgt von Konsumgütern und Dienstleistungen (15 Prozent) und der industriellen Fertigung (11 Prozent). Das macht deutlich, dass sich die Angreifer auf Sektoren konzentrieren, in denen Ausfallzeiten direkt zu finanziellen Einbußen und Reputationsschäden führen.

Die aktivsten Ransomware-Gruppen im Januar 2026

Qilin hat mit 15 Prozent der gemeldeten Angriffe die meisten Ransomware-Vorfälle zu verschulden und weitete die Offenlegung der Opfer durch sein Rust-basiertes Ökosystem aus. LockBit (12 Prozent) setzte seine großflächig angelegten Kampagnen mit doppelter Erpressung fort. Auch Akiras Aktivitäten rissen nicht ab (9 Prozent). Die Gruppe zielt auf Windows-, Linux- und ESXi-Systeme, mit besonderem Schwerpunkt auf Unternehmensdienstleistungen und industrielle Fertigung.

Prävention ist Trumpf

„Wir sehen weiterhin steigende Angriffszahlen – national wie international“, sagt Thomas Boele, Regional Director Sales Engineering CER/DACH. „GenAI wirkt dabei wie ein Beschleuniger: Angreifer automatisieren schneller, skalieren effizienter und nutzen Schwachstellen früher aus. Detection allein genügt nicht mehr. Entscheidend ist Prävention – unterstützt durch Echtzeit-Intelligence und einen integrierten Schutz über Cloud, Netzwerk, Endpunkte und Identitäten hinweg.“

Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150.000 Netzwerken und Millionen von Endpunkten gespeist.