Check Point Research stellt die Ergebnisse seines State of Ransomware Q1 2026 -Berichts vor und stellt fest: Die Aktivitäten der Ransomware-Gruppen blieben auf hohem Niveau, auch wenn die Bedrohungslandschaft einem entscheidenden Wandel unterliegt. Denn im Fokus stehen wenige, aber leistungsfähige Ransomware-Gruppen. Die Sicherheitsforscher beobachten, dass diese Konzentration in Verbindung mit den Fähigkeiten der Angreifer und dem Einsatz von KI die potenziellen Auswirkungen jedes Angriffs erheblich erhöht.
Die wichtigsten Ergebnisse auf einen Blick:
-
2.122 Unternehmen wurden im Q1 2026 erpresst: Bei Ransomware geht es nicht mehr um gelegentliche Spitzenwerte – sie hat sich auf einem gefährlich hohen Niveau eingependelt, gegen das sich Unternehmen kontinuierlich verteidigen müssen.
-
Auf die Top 10 der Ransomware-Gruppen entfielen 71 Prozent aller Opfer: Eine deutliche Umkehrung gegenüber dem fragmentierten Ökosystem von 2025. Weniger Gruppen sind nun für die meisten Angriffe verantwortlich. Das erhöht die Konsistenz, das Ausmaß und die Professionalität, aber auch den Einsatz, wenn ein Unternehmen angegriffen wird.
-
Qilin blieb das dritte Quartal in Folge die aktivste Gruppe: Sie verzeichnete 338 Opfer, während „The Gentlemen“ von 40 Opfern im vierten Quartal 2025 auf 166 im ersten Quartal 2026 (+315 Prozent) anstieg. Die anhaltende Dominanz zeigt, dass ausgereifte Ransomware-Operationen widerstandsfähig und schwer zu stören sind und wie vorab geschaffener Zugriff neue Akteure fast über Nacht zu großen Bedrohungen machen kann, selbst unter dem Druck der Strafverfolgungsbehörden.
-
LockBit bestätigte sein Comeback mit 163 Opfern: Die Gruppierung kehrte nach einer vorübergehenden Unterbrechung in die globale Spitzenklasse zurück. Daraus folgt: Maßnahmen der Strafverfolgungsbehörden bremsen Gruppen aus, beseitigen sie aber nicht. Sie formieren sich neu, passen sich an und kehren mit modifizierten Strategien zurück.
Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist bei Check Point, zieht im Vergleich die Ergebnisse des aktuellen Bundeslagebilds Cybercrime 2025 des BKA heran:
“Lockbit und Qilin belegen hier die Plätze vier und fünf. Angesichts der zur Anzeige gebrachten 1.041 Fälle ist vor allem der Mittelwert von 456.335 US-Dollar an gezahlten Lösegeldern interessant. Denn in der bundesweiten Fallerhebung gaben lediglich 7 Prozent der Geschädigten von Ransomware an, Lösegeld gezahlt zu haben. Unsere Zahlen zeigen dazu im Vergleich, dass die umtriebigsten Gruppen sehr professionell vorgehen, und das spiegelt sich dann auch im BKA-Report wider.”
Die geografische Verteilung von Ransomware richtet sich nach dem Zugang. Ransomware wird nicht mehr ausschließlich von Branchenpräferenzen bestimmt. Ein entscheidender Faktor ist vielmehr der Zugang. Die Sicherheitsforscher haben festgestellt, dass Opfer zunehmend in Branchen auftraten, in denen bereits ausnutzbare Infrastruktur, ungeschützte VPNs oder vorab eingerichtete Zugänge vorhanden waren. Angreifer konzentrierten sich nicht mehr allein aufgrund des Branchenwerts auf bestimmte Bereiche. Selbst Unternehmen außerhalb traditionell „lukrativer“ Branchen sind nun Hauptziele, wenn sie Schwachstellen aufweisen und ihre Sicherheit vernachlässigen.
Die Annahme, dass regionale Abschottung noch möglich ist, ist also gefährlich veraltet. Angreifer gehen dorthin, wo ihnen Zugang offensteht, und geografisch verteilter Zugriff vergrößert das globale Ransomware-Risiko, anstatt es zu verringern.
Ransomware-Trends für 2026
Im Vordergrund stehen weiterhin die Bereiche Fertigung, Unternehmensdienstleistungen, Gesundheitswesen und industrielle Umgebungen. Das liegt nicht daran, dass sie finanziell besser ausgestattet sind, sondern weil die Anfälligkeit für Ausfallzeiten und die Komplexität der Umgebungen die Auswirkungen verstärken, sobald sich Angreifer Zugang verschafft haben.
Der Erfolg von Ransomware hängt zunehmend von der Störung des Betriebs ab und nicht nur von Lösegeldforderungen. Die Kosten von Ausfallzeiten sind mittlerweile die stärkste Waffe der Angreifer. Es wird vielleicht nicht weniger Angriffe geben, aber weniger Angreifer bedeuten größere, zuverlässigere Erpressungen. Angriffe sind wiederholbar, skalierbar und zugangsorientiert. Die Verhinderung des ersten Zugriffs ist wichtiger als die Reaktion nach der Verschlüsselung.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, sagt:
„Ransomware im Jahr 2026 ist kein Zahlenspiel mehr, es ist ein Problem der Konzentration und Beschleunigung. Wenn weniger, aber leistungsfähigere Gruppen den Großteil der Angriffe ausführen, hat jeder Vorfall größere operative und finanzielle Auswirkungen. Gleichzeitig beginnt KI, den Lebenszyklus eines Angreifers zu verkürzen – vom Zugriff bis zur Ausnutzung –, wodurch bestehende Sicherheitslücken gefährlicher denn je werden. Unternehmen müssen von der Reaktion auf Ransomware-Vorfälle dazu übergehen, das Risiko proaktiv zu verringern, indem sie Zugriffslücken schließen, Identitäts- und Netzwerkkontrollen verstärken und laterale Bewegungen einschränken, bevor Angriffe mit maschineller Geschwindigkeit operativ umgesetzt werden können.“
Den vollständigen Bericht lesen Sie hier: https://blog.checkpoint.com/research/q1-2026-ransomware-report-fewer-groups-higher-impact/
