Am 11. Dezember 2025 wurde die in Berlin ansässige IDEAL Gruppe Opfer eines folgenschweren Cyberangriffs durch die berüchtigte Ransomware-Gruppe Akira. Der Vorfall legt nicht nur einen der größten deutschen Versicherer lahm, sondern betrifft auch die zur Unternehmensgruppe gehörende Ahorn AG – eines der bundesweit größten Bestattungsunternehmen mit zahlreichen Tochtergesellschaften. Dieser Angriff ist ein weiteres alarmierendes Beispiel dafür, wie Cyberkriminalität auch traditionelle, systemrelevante Branchen existenziell bedroht und zeigt einmal mehr die erschreckende Vulnerabilität der deutschen Wirtschaft gegenüber hochprofessionellen Ransomware-Attacken.
Der Fall IDEAL steht exemplarisch für eine massive Verschärfung der Cyber-Bedrohungslage in Deutschland. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht 2025 die IT-Sicherheitslage als „angespannt“ beschreibt, zeigt sich in der Realität ein dramatisches Bild: Die Zahl der Cybersicherheitsvorfälle gegen kritische Infrastrukturen ist 2024 gegenüber dem Vorjahr um 43 Prozent auf 769 Meldungen gestiegen. Besonders besorgniserregend ist dabei die Professionalisierung der Angreifer, die mit Ransomware-Gruppen wie Akira auf hochspezialisierte kriminelle Organisationen setzen, die ihre Angriffstechniken kontinuierlich weiterentwickeln.
Der Angriff im Detail: Chronologie und Auswirkungen
Entdeckung und Sofortmaßnahmen
Am Donnerstag, den 11. Dezember 2025, bemerkten Mitarbeiter der IDEAL Versicherung erste IT-Ausfälle. Zunächst postete das Unternehmen auf seinem Facebook-Account noch, dass man nach der Ursache des IT-Ausfalls suche. Innerhalb kürzester Zeit wurde jedoch klar, dass es sich um einen massiven Cyberangriff handelte. Um größtmögliche Sicherheit zu gewährleisten und eine weitere Ausbreitung der Schadsoftware zu verhindern, entschied sich die IDEAL Gruppe für drastische Maßnahmen: Sämtliche IT-Systeme wurden vorsorglich vom Internet getrennt.
Am Freitagabend, den 12. Dezember 2025, erfolgte dann die offizielle Bekanntgabe durch eine Pressemitteilung: Die IDEAL Gruppe war Ziel eines Angriffs durch die Ransomware Akira geworden. Diese Transparenz ist durchaus bemerkenswert, denn viele Unternehmen scheuen aus Reputationsgründen die öffentliche Kommunikation über Cyberangriffe. Die IDEAL Gruppe entschied sich jedoch bewusst für Offenheit gegenüber Kunden, Partnern und der Öffentlichkeit.
Betroffene Gesellschaften und operative Einschränkungen
Von dem IT-Ausfall betroffen ist neben der IDEAL Versicherung selbst auch die zur Gruppe gehörende Ahorn AG – ein bundesweit tätiges Bestattungsunternehmen mit allen zugehörigen Gesellschaften. Dazu zählen die Ahorn Kultur GmbH, die ABD Ahorn Bestattungsbedarf GmbH, Ahorn Bestattungen West, Aevum Bestattungen, das Bestattungsinstitut Denk Trauerhilfe, Grieneisen GBG Bestattungen, die Seebestattungsreederei Hohe Düne sowie Trostwerk. Explizit nicht betroffen ist das Tochterunternehmen myLife Lebensversicherung AG, das erst seit 2022 zur IDEAL Gruppe gehört und offenbar über eine separierte IT-Infrastruktur verfügt.
Die Auswirkungen auf den Geschäftsbetrieb sind erheblich: Insbesondere die E-Mail-Erreichbarkeit ist eingeschränkt, was die Kommunikation mit Kunden, Partnern und Dienstleistern massiv beeinträchtigt. Für Bestattungsunternehmen ist dies besonders kritisch, da sie täglich mit trauernden Angehörigen kommunizieren müssen und zeitkritische Dienstleistungen erbringen. Die Ahorn Gruppe arbeitet nach eigenen Angaben an der Einrichtung neuer E-Mail-Adressen, um die Kommunikation wiederherzustellen.
Dennoch betont die IDEAL Gruppe, dass der Geschäftsbetrieb und die Services eingeschränkt aufrechterhalten werden. Die Filialen der Bestattungsunternehmen können weiterhin persönlich aufgesucht werden, und eine telefonische Erreichbarkeit ist rund um die Uhr gewährleistet. Für die Übergangszeit wurde eine provisorische Website unter www.ideal-berlin.de eingerichtet, auf der spezielle Telefonnummern und eine E-Mail-Adresse für Kundenanliegen hinterlegt sind.
Stellungnahmen und Krisenmanagement
Maximilian Beck, Vorstandsvorsitzender der IDEAL Gruppe, versicherte in einer ersten Stellungnahme: „Unser IT-Sicherheitsteam arbeitet gemeinsam mit externen Spezialisten und den Ermittlungsbehörden daran, den Vorfall zu analysieren und betroffene Systeme schrittweise wieder herzustellen. Die Infrastruktur unserer Vertriebs- und Geschäftspartner ist nach aktuellem Kenntnisstand nicht betroffen. Derzeit liegen auch keine Hinweise auf einen Missbrauch von Kundendaten vor“.
Olaf Dilge, Vorstandsvorsitzender der Ahorn Gruppe, fügte hinzu: „Wir stehen im engen Austausch sowohl mit der IDEAL Gruppe als auch mit unseren Betrieben sowie Filialen und setzen alles daran, die Auswirkungen der IT-Störung so gering wie möglich zu halten. Unser Ziel ist es sicherzustellen, dass alle Trauerfeiern und Bestattungen wie gewohnt zuverlässig umgesetzt werden können. Dabei ist es uns ein besonderes Anliegen, die Angehörigen gut zu begleiten“. Diese Aussagen unterstreichen, dass trotz der massiven technischen Beeinträchtigungen die Aufrechterhaltung des operativen Geschäfts und der Kundenservice höchste Priorität haben.
Akira Ransomware: Profil einer hochgefährlichen Bedrohung
Entstehung und Entwicklung
Die Ransomware-Gruppe Akira trat erstmals im März 2023 in Erscheinung und hat sich seitdem zu einer der aktivsten und gefährlichsten kriminellen Vereinigungen im Bereich der Cyber-Erpressung entwickelt. Innerhalb kürzester Zeit schaffte Akira den rapiden Aufstieg zu einer Top-10-Ransomware-Gruppierung. Die Cybersicherheitsagentur Baden-Württemberg (CSBW) beschreibt Akira als Gruppe, die sich auf Unternehmen verschiedenster Branchen spezialisiert hat und bekannt dafür ist, Daten zu stehlen und mit deren Veröffentlichung zu drohen, sollte kein Lösegeld gezahlt werden.
Laut einem Update der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) vom November 2025 hat Akira seine technischen Fähigkeiten kontinuierlich erweitert. Im Juni 2025 gelang es der Gruppe erstmals, Dateien auf virtuellen Nutanix AHV-Festplatten zu verschlüsseln – ein Beleg für die schnelle Anpassungsfähigkeit und das Bestreben, eine immer breitere Palette von Virtualisierungssystemen ins Visier zu nehmen. Diese Expansion macht Akira zu einer noch größeren Bedrohung, da Nutanix-Umgebungen in vielen Unternehmen zum Einsatz kommen.
Angriffsmethodik und Vorgehensweise
Akira nutzt eine vielschichtige und hochprofessionelle Angriffsstrategie, die in mehreren Phasen abläuft. Die Gruppe setzt auf einen Multi-Plattform-Ansatz und verfügt über Malware-Varianten sowohl für Windows als auch für Linux-Systeme. Zu den häufigsten Einfallstoren gehören:
Kompromittierte VPN-Zugänge: Akira hat sich darauf spezialisiert, VPN-Endgeräte ohne Multi-Faktor-Authentifizierung (MFA) anzugreifen. Besonders häufig werden SonicWall SSL VPN-Appliances ausgenutzt, die von kleinen und mittleren Unternehmen bei Fusionen und Übernahmen geerbt wurden. Eine Analyse von ReliaQuest ergab, dass bei Vorfällen zwischen Juni und Oktober 2025 die ursprüngliche Kompromittierung in jedem Fall auf eine SonicWall SSL-VPN-Appliance zurückging.
Ausnutzung ungepatchter Schwachstellen: Die Gruppe nutzt bekannte Sicherheitslücken in Remote-Zugängen aus. Im Juni 2025 wurde die Schwachstelle CVE-2024-40766 in SonicWall-Firewalls ausgenutzt – eine Schwachstelle mit fehlerhafter Zugriffskontrolle.
Phishing-E-Mails und Social Engineering: Wie bei einem dokumentierten Angriff im November 2025 beginnen Attacken oft damit, dass ein Mitarbeiter eine kompromittierte Website besucht. Was wie ein standardmäßiger Anti-Bot-Check aussieht („Klick, um zu beweisen, dass du ein Mensch bist“), ist in Wirklichkeit eine Social-Engineering-Taktik namens ClickFix, die die Lieferung von Malware als legitime Sicherheitsüberprüfung tarnt.
Einmal im System etabliert, bewegen sich die Angreifer mit bemerkenswerter Geschwindigkeit. Bei Vorfällen im Jahr 2025 gelang es Akira im Durchschnitt in nur neun Stunden, Zugang zu sensiblen Systemen zu erlangen und zu einem Domänencontroller zu navigieren. In einigen Fällen erfolgte die Eskalation sogar in weniger als fünf Stunden. Diese schnelle Eskalation war möglich, weil vererbte Konten ungeprüft blieben, was den Angreifern die nötige Persistenz verschaffte, um tiefer in das Netzwerk einzudringen.
Double Extortion und systematische Erpressung
Akira verwendet systematisch eine Strategie der doppelten Erpressung (Double Extortion), die die massive Exfiltration von Daten – in dokumentierten Fällen bis zu einem Terabyte – mit der Verschlüsselung der Systeme kombiniert. Diese Taktik erhöht den Druck auf die Opfer erheblich, da sie nicht nur mit dem Verlust ihrer Daten, sondern auch mit dem potenziellen Schaden durch die Offenlegung sensibler Informationen rechnen müssen.
Vor der Verschlüsselung kopieren die Angreifer systematisch die Daten und laden diese häufig in eine ihnen zugängliche Cloud hoch, bevorzugt werden dabei besonders sensible Informationen. Die Daten werden vor der Exfiltration mit WinRAR oder 7-zip komprimiert, dann drohen die Angreifer damit, die gestohlenen Daten auf ihrer Tor-Leak-Website zu veröffentlichen. Zusätzlicher Druck wird über direkte Telefonanrufe bei den Opfern ausgeübt.
Das von Akira verwendete Verschlüsselungsschema ist hybrid und kombiniert eine ChaCha20-Chiffre mit einem System mit öffentlichen RSA-Schlüsseln. Dies ermöglicht eine vollständige oder teilweise Verschlüsselung und lässt sich an die Art und Größe der Dateien anpassen. Um die Wiederherstellung und forensische Analyse zu erschweren, werden PowerShell-Befehle zum Löschen von Volume Shadow Copy (VSS)-Kopien verwendet.
Spektakuläre Angriffe und Opfer
Der wohl bekannteste und folgenschwerste Angriff von Akira in Deutschland war der auf den kommunalen IT-Dienstleister Südwestfalen-IT (SIT) in der Nacht zum 30. Oktober 2023. Die Hackergruppe verschlüsselte Daten auf den Servern und machte sie damit unbrauchbar. Die Folgen waren dramatisch: Bei über 70 Kommunen, die die Dienstleistungen des SIT-Zweckverbandes nutzten, funktionierten Computer und Systeme nicht mehr.
Besonders hart hat der Angriff Kommunen im südlichen und östlichen Nordrhein-Westfalen getroffen. Aus den Kreisen Siegen-Wittgenstein und Olpe wurden drastische Einschränkungen gemeldet. Zahlreiche Bürgerbüros mussten ihren Betrieb einstellen, digitale Verwaltungsprozesse wurden in einem „Notfall-Workaround“ auf Papier umgestellt. Autos anmelden, Personalausweise oder eine Geburtsurkunde beantragen – viele alltägliche Prozesse waren über Wochen für die Bürger nicht möglich. Akira verlangte Lösegeld für die Freigabe der Systeme, doch die Kommunen entschieden sich in Absprache miteinander, nicht zu zahlen.
Die SIT räumte später schwere Sicherheitslücken ein, die den Angriff ermöglicht hatten. Akira ist dafür bekannt, Dienste zu infizieren, die auf eine 2-Faktor-Authentifizierung verzichten. Der Angriff begann am 29. Oktober 2023 vor 18 Uhr, erste Fehlfunktionen wurden nachts um 2 Uhr erkannt und die Server morgens um 6:30 Uhr heruntergefahren und vom Internet getrennt. Dennoch konnten die Angreifer auf dem gekaperten Server eine Vielzahl von Dateien verschlüsseln, was zum Ausfall vieler kommunaler IT-Verfahren führte.
International hat Akira ebenfalls Schlagzeilen gemacht. Laut der Akira-Website auf dem Darknet konnte die Gruppe seit März 2023 rund 63 Unternehmen und Organisationen kompromittieren, der größte Teil davon sind kleine und mittelständische Unternehmen. Gemäß Daten von TechMatrix zählt Akira 2025 zu den gefährlichsten Ransomware-Gruppen weltweit und wird neben LockBit, RansomHub und Qilin als zentraler Player innerhalb eines hochdynamischen Ransomware-as-a-Service-Ökosystems beschrieben.
Die aktuelle Cyber-Bedrohungslage in Deutschland
BSI-Lagebericht 2025: Angespannte Situation ohne Entwarnung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht 2025 zu einer unmissverständlichen Einschätzung: Für die Lage der IT-Sicherheit in Deutschland besteht im Jahr 2025 kein Grund zur Entwarnung. Sie bleibt weiterhin auf angespanntem Niveau. Zwar sind wiederholt Erfolge gegen Cyberkriminalität zu verzeichnen, die sich weiter zuspitzende geopolitische Lage führt aber zu einer unverändert angespannten IT-Sicherheitslage.
Ein wesentlicher Faktor dafür sind die unzureichend geschützten Angriffsflächen. Täglich wurden im Berichtszeitraum durchschnittlich 119 neue Schwachstellen bekannt – ein Anstieg von 24 Prozent im Vergleich zum Vorjahr. Die Exploitation hat im Berichtszeitraum deutlich zugenommen: plus 38 Prozent im Vergleich zum vergangenen Berichtszeitraum. Besonders problematisch ist, dass viele Systeme zu lange ungepatcht bleiben, wodurch Cyberkriminelle und staatliche Akteure leichtes Spiel haben.
Der BSI-Lagebericht 2025 erscheint erstmals in einem neuen Online-Format und ist deutlich datengetriebener als frühere Ausgaben. Die Anzahl der statistischen Diagramme und Tabellen hat sich mit über 70 im Vergleich zum Vorjahr mehr als verdoppelt. Das BSI beobachtet die Lage in den fünf Dimensionen Bedrohungen, Angriffsfläche, Gefährdungen, Schadwirkungen und Resilienz.
Kritische Infrastrukturen im Visier
Einrichtungen der kritischen Infrastruktur haben im vergangenen Jahr deutlich mehr Cybersicherheitsvorfälle gemeldet als in den Jahren zuvor. Dem BSI wurden 2024 insgesamt 769 Cybersicherheitsvorfälle gegen kritische Infrastruktur gemeldet – das sind rund 43 Prozent mehr als im Jahr zuvor, als 537 Meldungen das BSI erreichten. In den Jahren 2021 und 2022 waren beim BSI 385 bzw. 475 Meldungen zu Cybersicherheitsvorfällen eingegangen.
Zur kritischen Infrastruktur zählen beispielsweise Energie- und Transportunternehmen, Telekommunikationsanbieter, Kliniken und Kläranlagen. Derzeit gibt es in Deutschland über alle Sektoren hinweg fast 2.000 KRITIS-Betreiber und mehr als 2.100 Anlagen, deren Funktionieren von besonderer Bedeutung ist. Eine Analyse des European Repository of Cyber Incidents (EuRepoC) zeigt, dass kritische Infrastrukturen das häufigste Ziel von Hackern mit politischer Dimension sind. In den Jahren 2023 und 2024 wurden jeweils mehr als 400 Vorfälle in Branchen wie Energie, Telekommunikation, Verkehr oder Gesundheit in die Datenbank aufgenommen.
Die Bundesregierung weist allerdings darauf hin, dass nicht hinter jeder Meldung notwendigerweise ein Cyberangriff steht. Der Betreiber hat nicht in jedem Fall aufklären können, ob dem Cybersicherheitsvorfall ein Angriff oder eine andere Ursache zugrunde lag. Dennoch ist der deutliche Anstieg der Meldungen alarmierend und unterstreicht die wachsende Bedrohung für systemrelevante Unternehmen und Einrichtungen.
Ransomware bleibt größte Bedrohung
Ransomware ist 2025 an einem Punkt angelangt, an dem sie in fast der Hälfte aller Sicherheitsvorfälle eine Rolle spielt, und die Anzahl der betroffenen Organisationen steigt weiter deutlich an. Im BSI-Lagebericht werden für den Berichtszeitraum vom 1. Juli 2024 bis zum 30. Juni 2025 insgesamt 950 Anzeigen wegen Ransomware genannt. Ein Bericht von Allianz Commercial zeigt, dass Ransomware-Angriffe in der ersten Hälfte des Jahres 2025 rund 60 Prozent des Wertes großer Schadensfälle ausmachten.
Besonders gefährlich ist der Trend zu doppelter und dreifacher Erpressung (Double und Triple Extortion): Neben der Datenverschlüsselung werden Informationen gestohlen und als Druckmittel genutzt. Der Anteil solcher Fälle am Wert großer Schadensereignisse stieg 2025 auf 40 Prozent (2024: 25 Prozent). Die Verluste sind dabei mehr als doppelt so hoch wie ohne Datendiebstahl. Die durchschnittlichen Kosten für Datenverstöße erreichten 2024 mit fast fünf Millionen US-Dollar einen Rekordwert.
Während große Konzerne durch gestärkte Sicherheitsmaßnahmen schwerer angreifbar sind, geraten zunehmend kleine und mittlere Unternehmen (KMU) ins Visier. Laut Verizon war Ransomware an 88 Prozent der Datenverstöße bei kleinen und mittleren Unternehmen beteiligt. Bei Großunternehmen waren es dagegen nur 39 Prozent. Eine Bitkom-Studie aus dem Jahr 2024 zeigt, dass in den vergangenen zwölf Monaten 60 Prozent der Unternehmen in Deutschland auf diese Weise angegriffen wurden, bei 31 Prozent ist ein Schaden entstanden.
Angriffsvektoren und Einfallstore
Die Analyse der häufigsten Einfallstore zeigt ein klares Bild: Ausgenutzte Schwachstellen, gestohlene Zugangsdaten und unsichere E-Mail-Kommunikation dominieren. Ein Bericht von At-Bay für 2024 verdeutlicht, dass Fernzugriff-Tools wie VPNs und RDP bei 80 Prozent der Ransomware-Angriffe als Einstiegspunkt dienten – ein deutlicher Anstieg gegenüber 63 Prozent im Vorjahr. VPNs allein waren ein Faktor bei zwei von drei Ransomware-Vorfällen.
Diese Entwicklung ist besonders besorgniserregend, da viele Unternehmen – insbesondere im Mittelstand – ihre Remote-Zugänge nicht ausreichend absichern. Adam Tyra, Chief Information Security Officer für Kunden bei At-Bay, kommentiert: „Fernzugriff-Tools wie VPNs und RDP ziehen weiterhin die Aufmerksamkeit von Cyberkriminellen auf sich. […] Dieses Problem wird für mittelständische Unternehmen nicht verschwinden. Sie müssen auf sicherere Alternativen umsteigen oder Unterstützung bei Patching und Konfigurationsmanagement in Betracht ziehen, um ihr Risiko durch den Betrieb dieser Tools zu senken“.
Phishing bleibt ebenfalls ein wichtiger Angriffsvektor, doch kompromittierte Endgeräte und gestohlene Zugangsdaten holen auf. KI-gestützte Bedrohungen nehmen zu, wobei 51 Prozent der Befragten einer TÜV-Cybersecurity-Studie vom Juni 2025 davon ausgehen, dass bereits KI-gestützte Cyberangriffe erfolgen. Auch Ransomware-Attacken über die Lieferkette gelten als zentrales Risiko: Zehn Prozent der Unternehmen berichten von Angriffen über Zulieferer oder Dienstleister.
Wirtschaftliche Schäden und Folgen
Die wirtschaftlichen Auswirkungen von Cyberangriffen sind verheerend und nehmen stetig zu. Cybersecurity Ventures geht davon aus, dass die weltweiten Kosten für Cyberkriminalität jährlich um 15 Prozent steigen und bis 2025 10,5 Billionen US-Dollar erreichen werden. Laut Cybersecurity Ventures beliefen sich die Schäden durch Cyberangriffe 2024 weltweit bereits auf 9,5 Billionen US-Dollar.
In Deutschland zeigen Zahlen der Versicherungsbranche, dass die Schadenssumme von Cyber-Versicherten innerhalb von vier Jahren um rund 70 Prozent gestiegen ist. Die wirtschaftlichen Auswirkungen von Cyberkriminalität haben hingegen um 250 Prozent zugenommen – ein Verhältnis von mehr als 3:1, das das erhöhte Risikobewusstsein der Cyber-Versicherungsnehmer und ihre Maßnahmen zur Risikominderung widerspiegelt.
Ein besonders dramatisches Beispiel für die existenzbedrohenden Folgen von Cyberangriffen ist der Fall des Serviettenherstellers Fasana in Euskirchen. Ein Hackerangriff im Mai 2025 legte die gesamte IT des Unternehmens lahm. Netzwerke und Rechner wurden verschlüsselt, Rechnungen konnten nicht erstellt und Aufträge nicht bearbeitet werden. Die Produktion stand komplett still. Fasana rechnet mit einem Schaden in Millionenhöhe – über einen Zeitraum von zwei Wochen summierte sich der Schaden auf geschätzte zwei Millionen Euro an nicht realisiertem Umsatz. Am 1. Juni 2025 musste das Traditionsunternehmen mit rund 240 Mitarbeitern Insolvenz anmelden.
Die Versicherungsbranche als Zielscheibe
Besondere Attraktivität für Cyberkriminelle
Die Versicherungsbranche gerät zunehmend ins Visier von Cyberkriminellen, und der Angriff auf die IDEAL Gruppe ist nur ein weiteres Beispiel in einer Reihe von Attacken auf deutsche Versicherer. Versicherungen sind aus mehreren Gründen besonders attraktive Ziele:
Hochsensible Kundendaten: Versicherungen verwalten umfangreiche Datenbestände mit höchst sensiblen persönlichen Informationen ihrer Versicherten – von Gesundheitsdaten über Finanzinformationen bis hin zu Vermögenswerten. Der Diebstahl und die Veröffentlichungsdrohung solcher Daten üben enormen Druck auf die betroffenen Unternehmen aus.
Kritische Geschäftsprozesse: Ein Ausfall der IT-Systeme beeinträchtigt nicht nur die interne Arbeitsfähigkeit, sondern auch die Betreuung von Kunden und die Abwicklung von Versicherungsfällen. Dies kann zu erheblichen Reputationsschäden führen.
Finanzielle Ressourcen: Versicherungen verfügen in der Regel über erhebliche finanzielle Mittel, was sie zu lukrativen Zielen für Lösegeldforderungen macht. Zudem haben viele Versicherungen selbst Cyberversicherungen abgeschlossen, was Kriminelle dazu verleitet anzunehmen, dass die Zahlungsbereitschaft höher ist.
Digitalisierungsdruck: Die fortschreitende Digitalisierung in der Versicherungsbranche schafft neue Angriffsflächen. Cloud-Migration, mobile Anwendungen und die Integration von KI-Systemen erweitern die potentiellen Einfallstore für Angreifer.
Zunehmende Bedrohungslage für Finanzdienstleister
Laut einer Studie von Arctic Wolf aus dem Jahr 2025 verfügen in der DACH-Region bereits 54 Prozent der von Maklern betreuten Unternehmen über eine Cyberversicherungs-Police, während der weltweite Schnitt bei 47 Prozent liegt. Gleichzeitig zeigt sich, dass Unternehmen in der Region überdurchschnittlich oft selbst betroffen sind: 22 Prozent meldeten Ransomware-Angriffe, global liegt dieser Wert bei 18 Prozent. Die Finanzbranch steht besonders im Fadenkreuz: 80 Prozent der betroffenen Finanzdienstleister zahlen Lösegeld nach Ransomware-Angriffen.
Die Regulatorik verschärft den Druck zusätzlich. Mit der NIS2-Richtlinie und dem IT-Sicherheitsgesetz 2.0 werden die Anforderungen an Cybersicherheit und Meldepflichten kontinuierlich erhöht. NIS2 sieht beispielsweise vor, dass sicherheitsrelevante Ereignisse innerhalb von 24 Stunden gemeldet und innerhalb bestimmter Fristen Berichte erstellt werden müssen. Roger Rentschler, Sicherheitschef der EnBW, geht davon aus, dass aufgrund dieser strengen Meldepflichten die Zahl der registrierten Vorfälle noch einmal deutlich steigt.
Lösegeldzahlungen: Deutschland als trauriger Spitzenreiter
Erschreckend hohe Zahlungsbereitschaft
Ein besonders besorgniserregender Aspekt der Cyber-Bedrohungslage ist die hohe Zahlungsbereitschaft deutscher Unternehmen bei Ransomware-Angriffen. Mehrere unabhängige Studien aus dem Jahr 2025 kommen zu alarmierenden Ergebnissen:
Laut dem Sophos State of Ransomware Report 2025 liegt die Zahlungsrate in Deutschland bei 63 Prozent – die höchste Rate weltweit. Der internationale Durchschnitt liegt bei 50 Prozent, was bereits die zweithöchste Zahlungsrate seit sechs Jahren darstellt. Eine Erhebung von Cohesity aus der ersten Jahreshälfte 2024 kam sogar zu dem Ergebnis, dass 86 Prozent der befragten deutschen Unternehmen nach einem Ransomware-Angriff tatsächlich Lösegeld gezahlt haben. Eine weitere Studie beziffert die Zahlungsrate für 2025 ebenfalls auf 63 Prozent.
Zum Vergleich: Laut einer Bitkom-Studie aus dem Jahr 2024 gaben hingegen nur 12-15 Prozent der betroffenen Unternehmen an, Lösegeld gezahlt zu haben, weitere 15 Prozent wollten oder konnten dazu keine Angabe machen. Diese deutlich geringere Zahl könnte darauf zurückzuführen sein, dass viele Unternehmen aus Reputationsgründen ungern zugeben, Lösegeldzahlungen geleistet zu haben.
Höhe der Lösegeldzahlungen
Die Summen, die deutsche Unternehmen zahlen, sind erheblich. Laut der Bitkom-Studie haben 19 Prozent der Unternehmen, die auf die Forderung der Ransomware-Erpresser eingegangen sind, zwischen 10.000 und 100.000 Euro bezahlt, 34 Prozent zwischen 100.000 und 500.000 Euro und 12 Prozent zwischen 500.000 Euro und 1 Million Euro. 4 Prozent haben sogar mehr als 1 Million Euro gezahlt. 31 Prozent wollten oder konnten zu den Summen keine Angabe machen.
Es zeigt sich jedoch auch ein positiver Trend: Unternehmen werden zunehmend selbstbewusster beim Verhandeln. Mit 53 Prozent zahlten weltweit mehr als die Hälfte weniger als ursprünglich von den Cyberkriminellen gefordert. Dieser Trend gilt auch für Deutschland (47 Prozent) sowie für die Schweiz, wo sogar 65 Prozent der befragten Unternehmen geringere Beträge als ursprünglich gefordert zahlten. Die durchschnittliche Lösegeldforderung sank zwischen den Befragungen der vergangenen beiden Jahre aus internationaler Perspektive um ein Drittel. Gleichzeitig ging die durchschnittliche Lösegeldzahlung um 50 Prozent zurück.
Warum deutsche Unternehmen zahlen
Die Gründe für die hohe Zahlungsbereitschaft deutscher Unternehmen sind vielfältig. Hauptgründe sind laut Studienergebnissen die schnelle Wiederaufnahme des Geschäftsbetriebs und der Schutz des Unternehmensimages. Einige Unternehmen verlassen sich dabei auf Cyberversicherungen, die die Kosten übernehmen.
Eine besonders alarmierende Zahl zeigt das Ausmaß der Wiederholungstäter: 72 Prozent aller Unternehmen zahlen nach einer ersten Erpressung erneut – Deutschland ist dabei trauriger Spitzenreiter. In Deutschland gaben 49 Prozent der betroffenen Unternehmen an, sogar viermal oder öfter Lösegeld gezahlt zu haben. Besonders alarmierend ist die hohe Wiederholungsquote von Angriffen: 54 Prozent der wiederholten Angriffe erfolgten noch am selben Tag, und in 91 Prozent der Fälle innerhalb einer Woche.
Doch diese kurzfristigen Lösungen tragen dazu bei, dass Ransomware ein lukratives Geschäft bleibt. Felix Kuhlenkamp vom Bitkom warnt: „Wer Lösegeld zahlt, finanziert die nächsten Angriffe der Cyberkriminellen“. Zudem zeigt sich, dass Lösegeldzahlungen keine Garantie für die Wiederherstellung der Daten bieten. Laut Semperis erhielten 35 Prozent der zahlenden Unternehmen keinen Zugriff auf ihre Daten zurück.
Schutzmaßnahmen und Best Practices
Technische Basismaßnahmen
Angesichts der dramatischen Bedrohungslage sind umfassende Schutzmaßnahmen unerlässlich. Das BSI und zahlreiche Cybersecurity-Experten empfehlen einen mehrschichtigen Sicherheitsansatz (Defense in Depth), der präventive, detektive und reaktive Maßnahmen kombiniert.
Multi-Faktor-Authentifizierung (MFA): Die Einführung von MFA für alle kritischen Systeme ist eine der wirksamsten Maßnahmen gegen unberechtigte Zugriffe. Akira und andere Ransomware-Gruppen zielen häufig auf VPNs ab, denen die Multi-Faktor-Authentifizierung fehlt, wodurch es für den Angreifer einfacher wird, kompromittierte Anmeldeinformationen auszunutzen. Studien zeigen jedoch, dass nur 46 Prozent der befragten Unternehmen aus dem KMU-Bereich MFA implementiert haben. In der DACH-Region gelten MFA und E-Mail-Schutz (jeweils 57-58 Prozent) sowie Netzwerksicherheit (50 Prozent) als die wichtigsten Bedingungen für den Abschluss einer Cyberversicherung.
Patch-Management: Akira nutzt häufig Schwachstellen in VPN-Software, um in eine Zielumgebung einzudringen. Durch die rechtzeitige Installation von Patches und Updates kann ein Unternehmen diese Sicherheitslücke schließen, bevor sie ausgenutzt werden kann. Laut BSI-Lagebericht wurden täglich durchschnittlich 119 neue Schwachstellen bekannt. Ein strukturiertes Patch-Management mit Priorisierung kritischer Sicherheitsupdates ist daher essentiell.
Backup-Strategien: Regelmäßige, verifizierte Backups sind die Lebensversicherung gegen Ransomware. 62 Prozent der Unternehmen nutzen inzwischen Immutable Backups, ein deutlicher Anstieg gegenüber den Vorjahren. Die Backups müssen jedoch offline oder luftisoliert (Air-Gap) gespeichert werden, damit Ransomware keinen Zugriff darauf hat. Nur 27 Prozent der Unternehmen setzen auf spezialisierte Backup-Systeme, was erklärt, warum viele trotz hoher Kosten Lösegeld zahlen.
Netzwerksegmentierung: Die Segmentierung des Netzwerks nach Funktionen und Abteilungen sowie die Mikro-Segmentierung kritischer Systeme können die Ausbreitung von Ransomware erheblich eindämmen.
Zero Trust Architektur
Ein zukunftsweisender Ansatz ist die Implementierung einer Zero Trust-Sicherheitsarchitektur, die auf dem Prinzip „Never Trust – Always Verify“ basiert. Zero Trust geht davon aus, dass grundsätzlich kein System oder Nutzer automatisch als vertrauenswürdig gilt und erfordert die kontinuierliche Verifizierung aller Benutzer und Geräte.
Kernelemente einer Zero Trust-Architektur umfassen:
- Verifizierung aller Benutzer und Geräte mit MFA
- Minimale Berechtigungen nach dem Principle of Least Privilege (POLP)
- Kontinuierliche Überwachung aller Netzwerkaktivitäten
- Mikrosegmentierung und strikte Zugangskontrollen
Laut einer Studie von Zscaler aus dem Jahr 2025 rechnen 63 Prozent der deutschen Unternehmen mit einem Cyberangriff. Von den Unternehmen, die sich auf die Prävention konzentrieren, setzen jedoch weniger als die Hälfte proaktive Sicherheitstools ein wie Risk Hunting (45 Prozent), Zero Trust-Mikrosegmentierung (49 Prozent) und Deception-Technologien (29 Prozent).
Organisatorische Maßnahmen und Cyber-Resilienz
Technische Maßnahmen allein reichen nicht aus. Das BSI betont: „Cyber-Sicherheit ist Chefsache!“. Eine geeignete Governance-Struktur mit klaren Verantwortlichkeiten ist essentiell. Das Etablieren eines 3-Lines-of-Defense-Modells mit operativem Manager, CISO und interner Revision schafft klare Strukturen.
Cyber-Resilienz erhöhen: Unternehmen sollten Ihr Unternehmen auf mögliche Vorfälle vorbereiten, regelmäßig Übungen abhalten und neue Szenarien durchspielen. Nur 82 Prozent der Unternehmen verfügen über einen Disaster Recovery Plan. Laut einer PWC-Studie investieren nur etwa 15 Prozent der deutschen Unternehmen gezielt in proaktive Sicherheits- und Resilienzmaßnahmen – der überwiegende Teil bleibt reaktiv.
Mitarbeiterschulungen: Der Mensch gilt weiterhin als größte Schwachstelle in der Cyber-Sicherheit. 41 Prozent der Versicherer setzen regelmäßige IT-Sicherheitsschulungen für Mitarbeitende als Anforderung für den Abschluss einer Cyberversicherung voraus. Phishing-Simulationen und Security-Awareness-Trainings sind unerlässlich, um das Risikobewusstsein zu schärfen.
Incident Response Plan: Ein klarer Notfallplan stellt sicher, dass jeder seine Rolle kennt, wodurch Verwirrung vermieden wird und eine schnellere Koordination ermöglicht wird. Der Plan sollte Verfahren zur Isolierung angegriffener Systeme, die Zusammenarbeit mit Incident-Response-Teams und die Dokumentation aller Aktivitäten umfassen.
Der Cyberversicherungsmarkt
Der Markt für Cyberversicherungen wächst rasant. Laut Munich Re wird der globale Markt für Cyberversicherungen im Jahr 2025 ein Volumen von 16,3 Milliarden US-Dollar erreichen, was einem Plus von rund sieben Prozent gegenüber dem Vorjahr entspricht. In Deutschland ist etwa die Hälfte der Unternehmen bereits abgesichert, weitere 20 Prozent planen den Abschluss einer Cyberversicherung.
Allerdings steigen die Anforderungen der Versicherer kontinuierlich. Fast jeder dritte Antrag wird inzwischen abgelehnt – ein deutlicher Anstieg gegenüber dem Vorjahr. Versicherer reagieren mit schärferen Annahmekriterien auf steigende Schadenquoten. Die Schadenhäufigkeit stieg laut At-Bay über alle Unternehmensgrößen hinweg um 16 Prozent. Über die Hälfte der Versicherer (53 Prozent) berichtet von gestiegenen Prämien im vergangenen Jahr.
Unternehmen müssen verstärkt nachweisen, dass sie grundlegende Sicherheitsmaßnahmen umgesetzt haben. Besonders gefragt sind E-Mail- und Netzwerksicherheit, regelmäßige Backups, Multi-Faktor-Authentifizierung sowie ein professionelles Security Operations Center. Die lückenlose Dokumentation aller implementierten Sicherheitsmaßnahmen ist kritisch – andernfalls drohen Leistungskürzungen oder -verweigerungen im Schadensfall.
Fazit: Ein Weckruf für die deutsche Wirtschaft
Der Cyberangriff auf die IDEAL Gruppe und ihre Tochtergesellschaft Ahorn AG ist ein weiterer alarmierender Beleg für die dramatische Cyber-Bedrohungslage in Deutschland. Die Attacke durch die hochprofessionelle Ransomware-Gruppe Akira zeigt exemplarisch, wie selbst etablierte, traditionelle Unternehmen innerhalb kürzester Zeit lahmgelegt werden können. Die Auswirkungen reichen weit über technische Störungen hinaus und betreffen direkt die Geschäftsfähigkeit, Kundenbetreuung und letztlich die Existenzsicherung der Unternehmen.
Die Zahlen sprechen eine eindeutige Sprache: 60 Prozent der deutschen Unternehmen wurden in den letzten zwölf Monaten von Ransomware angegriffen, die Zahl der Cybersicherheitsvorfälle gegen kritische Infrastrukturen stieg um 43 Prozent, und deutsche Unternehmen weisen mit 63 Prozent die weltweit höchste Zahlungsbereitschaft bei Lösegeldforderungen auf. Diese alarmierenden Statistiken unterstreichen, dass Cyberkriminalität kein abstraktes Risiko mehr ist, sondern eine konkrete, allgegenwärtige Bedrohung für die deutsche Wirtschaft darstellt.
Besonders besorgniserregend ist die Professionalisierung der Angreifer. Ransomware-Gruppen wie Akira operieren mit der Effizienz und Organisation gut geführter Unternehmen. Sie nutzen Zero-Day-Exploits, kompromittieren systematisch VPN-Zugänge, bewegen sich in Stunden durch Netzwerke und setzen auf ausgeklügelte Double- und Triple-Extortion-Strategien. Die durchschnittliche Zeit bis zur Kompromittierung eines Domänencontrollers beträgt bei Akira nur neun Stunden – in manchen Fällen sogar weniger als fünf.
Gleichzeitig zeigt sich, dass viele Unternehmen – insbesondere im Mittelstand – noch immer unzureichend vorbereitet sind. Nur 46 Prozent der KMU haben MFA implementiert, nur 27 Prozent setzen auf spezialisierte Backup-Systeme, und lediglich 15 Prozent investieren gezielt in proaktive Sicherheits- und Resilienzmaßnahmen. Diese Lücken in der Cyberabwehr machen deutsche Unternehmen zu attraktiven Zielen für international agierende Cyberkriminelle.
Der Fall IDEAL unterstreicht die Notwendigkeit eines Paradigmenwechsels: Cybersicherheit darf nicht länger als rein technisches IT-Thema behandelt werden, sondern muss als strategische Führungsaufgabe verstanden werden. Das BSI bringt es auf den Punkt: „Cyber-Sicherheit ist Chefsache!“. Unternehmen müssen in umfassende Schutzmaßnahmen investieren – von technischen Lösungen wie MFA, Patch-Management und Immutable Backups über organisatorische Maßnahmen wie Incident Response Pläne und Mitarbeiterschulungen bis hin zu strategischen Ansätzen wie Zero Trust-Architekturen.
Die Entwicklung zeigt aber auch positive Tendenzen: Unternehmen werden selbstbewusster beim Verhandeln von Lösegeldforderungen, die gezahlten Beträge sinken, und immer mehr Organisationen setzen auf robuste Backup-Strategien statt auf Lösegeldzahlungen. Die Sensibilität für Cyberrisiken steigt, und die Bereitschaft, in präventive Maßnahmen zu investieren, nimmt zu.
Dennoch bleibt die Schlussfolgerung des BSI-Lageberichts 2025 aktuell: Der Schutz der Angriffsflächen ist 2026 der entscheidende Hebel zur Verbesserung der Cybersicherheit. Angreifer suchen sich gezielt schwach geschützte Ziele aus, die wenig Widerstand leisten können. Nur durch konsequente Umsetzung von Sicherheitsmaßnahmen, systematisches Patch-Management, robuste Backup-Strategien und die Etablierung einer umfassenden Cyber-Resilienz können Unternehmen ihre digitale Infrastruktur effektiv schützen und im Ernstfall handlungsfähig bleiben.
Der Cyberangriff auf die IDEAL Gruppe sollte als dringender Weckruf verstanden werden: Die Bedrohung ist real, sie ist präsent, und sie wird nicht verschwinden. Nur Unternehmen, die Cybersicherheit als kontinuierlichen, strategischen Prozess begreifen und entsprechend investieren, werden langfristig widerstandsfähig bleiben gegenüber einer Bedrohungslandschaft, die sich täglich weiterentwickelt und professionalisiert.