Deutschland steht oben auf der Liste

Wenn über Ransomware berichtet wird, klingt das oft nach einem Problem für große Konzerne in fernen Branchen. Die aktuellen Zahlen zeichnen ein anderes Bild — und sie betreffen den deutschen Mittelstand sehr direkt. Laut dem European Cyber Risk Report von Black Kite, veröffentlicht Ende Juni 2026, ist Deutschland das am häufigsten angegriffene Land Europas, wenn es um Ransomware geht.

Auffällig ist dabei nicht nur die Menge, sondern ein gezieltes Muster: Eine Gruppe namens SafePay konzentriert ihre Angriffe auffällig stark auf Deutschland — und dort vor allem auf kleine und mittlere Unternehmen. Das ist kein Zufall, sondern Kalkül. Dieser Beitrag erklärt, warum gerade KMU ins Visier geraten, wie die Angreifer typischerweise hereinkommen und welche Härtungsschritte den Einstieg am wirksamsten verhindern.

Auf einen Blick

  • Deutschland an der Spitze: Laut Black-Kite-Report entfallen rund 18 Prozent aller europäischen Ransomware-Vorfälle auf Deutschland — der höchste Wert aller Länder Europas.
  • SafePay zielt auf Deutschland: Von den rund 80 europäischen Angriffen der Gruppe richten sich laut Report etwa 56,7 Prozent gezielt gegen deutsche Organisationen.
  • Vor allem der Mittelstand: Laut einer Flare-Analyse von rund 500 SafePay-Fällen aus dem Januar 2026 sind über 90 Prozent der Betroffenen kleine und mittlere Unternehmen mit 1 bis 500 Beschäftigten.
  • Das Einfallstor: überwiegend gestohlene Zugangsdaten sowie Zugänge über VPN-Gateways und Fernwartung per Remote Desktop — also genau die Stellen, die bei KMU häufig schwächer abgesichert sind.

Warum gerade kleine und mittlere Unternehmen

Auf den ersten Blick wirkt es widersprüchlich, dass eine Angreifergruppe nicht die großen Ziele bevorzugt. Hinter der Auswahl steckt jedoch eine nüchterne Rechnung. Die Flare-Analyse beschreibt das Profil treffend: Gesucht werden Organisationen, die groß genug sind, um ein Lösegeld zahlen zu können, aber zu klein, um einen längeren Ausfall zu verkraften.

Genau diese Mischung trifft auf viele Mittelständler zu. Steht der Betrieb still, weil zentrale Systeme verschlüsselt sind, entsteht der Druck nicht erst nach Wochen, sondern oft schon nach Stunden — Aufträge, Produktion und Kundenkontakt hängen unmittelbar daran. Anders als ein Großkonzern haben kleinere Unternehmen selten ein eigenes Sicherheitsteam, das rund um die Uhr Angriffe erkennt und abwehrt. Aus Sicht der Angreifer ist das ein günstiges Verhältnis: vergleichsweise geringe Hürden, dafür ein Gegenüber, das einen Stillstand kaum lange aushält.

Wichtig ist dabei: Angegriffen wird nicht, wo am meisten zu holen ist, sondern wo es am leichtesten geht. Eine bestimmte Branche oder eine besondere Bekanntheit braucht es dafür nicht. Es genügt, erreichbar und unzureichend abgesichert zu sein.

Wie die Angreifer typischerweise hereinkommen

Der Einstieg läuft in den meisten Fällen unspektakulär — und genau das macht ihn so wirksam. Laut den vorliegenden Auswertungen verschaffen sich die Angreifer den Zugang überwiegend mit gestohlenen Zugangsdaten, nicht durch das Aufbrechen einer Firewall. Solche Zugangsdaten stammen häufig aus dem Darknet, wo Anmeldedaten aus früheren Datenlecks und aus Schadprogrammen gehandelt werden, die unbemerkt gespeicherte Passwörter abgreifen.

Mit diesen Daten suchen die Angreifer nach offenen Türen ins Firmennetz. Besonders im Blick haben sie dabei zwei Zugänge, die in vielen Unternehmen aus gutem Grund existieren, aber oft zu schwach geschützt sind: VPN-Gateways, über die sich Mitarbeitende von außen ins Netz verbinden, und Fernwartungszugänge per Remote Desktop, über die Rechner aus der Ferne bedient werden. Wo solche Zugänge ohne zweiten Faktor nur mit Benutzername und Passwort erreichbar sind, genügt ein passendes Datenpaar aus dem Darknet, um sich anzumelden — ganz ohne Einbruch im klassischen Sinn.

Die technischen Einzelheiten, wie ein solcher Angriff danach weiterläuft, sind hier bewusst nicht das Thema. Entscheidend für Sie ist der Anfang: Fast alle dieser Angriffe beginnen an einer Stelle, die sich mit überschaubaren Mitteln deutlich besser absichern lässt.

Was Sie jetzt tun sollten

Die gute Nachricht ist, dass sich der Einstieg an genau diesen Stellen wirksam erschweren lässt. Keine der folgenden Maßnahmen erfordert eine teure Sicherheitsarchitektur — sie schließen die Türen, auf die es die Angreifer abgesehen haben.

  • Mehr-Faktor-Authentifizierung überall, besonders vor VPN und Fernwartung. Ein zweiter Faktor sorgt dafür, dass ein gestohlenes Passwort allein nicht mehr ausreicht. Gerade VPN-Gateways und Remote-Desktop-Zugänge sollten niemals nur mit Benutzername und Passwort erreichbar sein.
  • Remote Desktop nicht offen ins Internet stellen. Fernwartungszugänge gehören hinter ein gesichertes VPN oder zumindest streng eingeschränkt, nicht frei aus dem Netz erreichbar. Ein offener Fernwartungszugang ist eine der am häufigsten gesuchten Schwachstellen.
  • Zugangsdaten und Darknet im Blick behalten. Mit einem Monitoring lässt sich frühzeitig erkennen, wenn Anmeldedaten Ihres Unternehmens in Leaks oder im Darknet auftauchen. Betroffene Passwörter können Sie dann ändern, bevor jemand sie ausnutzt.
  • Starke, einzigartige Passwörter mit einem Passwortmanager. Jeder Zugang sollte ein eigenes, langes Passwort haben. Ein Passwortmanager macht das praktikabel und beendet die riskante Wiederverwendung desselben Passworts an mehreren Stellen.
  • Backups nach dem Prinzip 3-2-1-1-0. Drei Kopien, auf zwei verschiedenen Medien, eine davon außer Haus, eine offline oder unveränderlich gespeichert — und null Fehler bei der getesteten Wiederherstellung. Ein Backup, das vom Netz getrennt ist, lässt sich nicht mitverschlüsseln und entscheidet im Ernstfall darüber, ob ein Angriff ein Ärgernis oder eine Existenzbedrohung ist.
  • Mitarbeitende einbeziehen. Viele Zugangsdaten gehen über gefälschte E-Mails oder Login-Seiten verloren. Ein Team, das solche Versuche erkennt und im Zweifel nachfragt, schließt eine Lücke, die sich mit Technik allein nicht schließen lässt.

Fazit

Die Zahlen aus dem Black-Kite-Report und der Flare-Analyse wirken auf den ersten Blick beunruhigend — Deutschland an der Spitze, der Mittelstand im Fokus. Der zweite Blick ist jedoch ermutigend: Die allermeisten dieser Angriffe beginnen nicht mit einer ausgefeilten Technik, sondern mit einem gestohlenen Login an einem schwach geschützten Zugang. Genau das lässt sich verhindern.

Wenn Sie nicht sicher sind, ob Ihre Fernzugänge sauber abgesichert sind, ob überall ein zweiter Faktor greift und ob Ihre Backups einer Verschlüsselung wirklich standhalten würden, sehen wir uns das gemeinsam an. Wir härten die typischen Einfallstore ab, richten ein Monitoring für Zugangsdaten ein und prüfen Ihr Backup-Konzept auf den Ernstfall — damit Ihr Unternehmen kein leichtes Ziel ist.