Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat seinen Global Threat Intelligence Report für November 2025 veröffentlicht. Der Bericht zeigt, dass Unternehmen im Laufe des vergangenen Monats weltweit durchschnittlich 2.003 Cyber-Angriffen pro Woche ausgesetzt waren. Dies entspricht einem Anstieg von drei Prozent gegenüber Oktober und einem Anstieg von vier Prozent gegenüber Oktober 2024. Die Sicherheitsforscher sehen darin Anzeichen für eine Verschärfung der Bedrohungslage, die sie auf verstärkte Ransomware-Aktivitäten, größere Angriffsflächen und die wachsenden Risiken im Zusammenhang mit generativen KI-Tools in Unternehmen zurückführen.

Lagebericht für Deutschland

In Deutschland sind die Vorfälle im Vergleich zum Vorjahreszeitraum mit 1161 Angriffen pro Organisation um acht Prozent zurückgegangen. Auch im DACH-Raum sank die Zahl mit 1268 Attacken um zehn Prozent.

In Deutschland waren die folgenden Sektoren am meisten von Cyber-Angriffen betroffen (Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat Oktober):

1. ↔ Bildung
2. ↔ Energie & Versorgung
3. ↑ Software
4. ↓ Telekommunikation
5. ↑ Medien & Unterhaltung

Cyberangriffe nach Sektoren und Regionen

Der Bildungssektor blieb mit durchschnittlich 4.656 Angriffen pro Organisation und Woche die weltweit am stärksten angegriffene Branche - ein Anstieg um Sieben Prozent im Vergleich zum Vorjahr. An zweiter Stelle folgten staatliche Einrichtungen mit 2.716 wöchentlichen Angriffen (plus zwei Prozent gegenüber dem Vorjahr), dicht gefolgt von Verbänden und gemeinnützigen Organisationen mit 2.550 Angriffen pro Woche, was einen bemerkenswerten Anstieg von 57 Prozent gegenüber dem Vorjahr bedeutet. Dieser starke Anstieg bei Verbänden und gemeinnützigen Organisationen unterstreicht, wie Bedrohungsakteure zunehmend Sektoren mit begrenzten Sicherheitsressourcen, aber sehr wertvollen Daten und öffentlich zugänglichen digitalen Diensten ausnutzen. In Deutschland tauchten Verbände und NGOs zuletzt nicht im Ranking auf.

Betrachtet man die Angriffszahlen nach Regionen, so verzeichnete Europa einen leichten Rückgang (-1 % gegenüber dem Vorjahr), während Nordamerika einen Anstieg von neun Prozent gegenüber dem Vorjahr verzeichnete und damit seine Position als Hauptziel für ausgeklügelte und finanziell motivierte Bedrohungsgruppen festigte. Lateinamerika traf im November mit durchschnittlich 3.048 wöchentlichen Angriffen die höchste Anzahl von Angriffen pro Organisation, was einem Anstieg von 17 Prozent im Vergleich zum Vorjahr entspricht und den größten Anstieg weltweit darstellt. APAC folgte mit 2.978 Angriffen (-0,1 Prozent gegenüber dem Vorjahr), wobei das Niveau der Angriffe stagnierte, während Afrika 2.696 Angriffe (-13 % gegenüber dem Vorjahr) erfuhr.

Ransomware-Trends: Weltweit 22 Prozent mehr Angriffe als im Vorjahr

Die Ransomware-Aktivitäten nahmen im November 2025 mit 727 gemeldeten Angriffen deutlich zu. Dies bedeutet einen Anstieg um 22 Prozent gegenüber dem Vorjahreszeitraum und zeigt, dass die Strategie der Doppelerpressung sich weiter fortsetzt. Nordamerika blieb mit 55 Prozent aller gemeldeten Vorfälle das Epizentrum der Ransomware-Aktivitäten, gefolgt von Europa mit 18 Prozent, was den anhaltenden Druck auf westliche kritische Infrastrukturen und dienstleistungsorientierte Branchen widerspiegelt.

Auf nationaler Ebene dominierten die Vereinigten Staaten mit 52 Prozent der weltweiten Fälle die Opferlandschaft, während Großbritannien und Kanada mit vier bzw. drei Prozent weit abgeschlagen folgten. Auf Deutschland entfielen zwei Prozent aller von CPR beobachteten, öffentlich gemachten Ransomware-Attacken.

Ransomware-Angriffe nach Wirtschaftsbranchen

Aus Sicht der Industrie war die industrielle Fertigung mit 12 Prozent aller gemeldeten Opfer am stärksten betroffen, da die Angreifer weiterhin betriebliche Abhängigkeiten und Altsysteme auszunutzen versuchen. Unternehmensdienstleistungen folgten mit 11 Prozent und der Sektor Konsumgüter und Dienstleistungen mit 10 Prozent, was für eine anhaltende Konzentration der Hintermänner auf Branchen mit hohem Datenwert und geringer Toleranz gegenüber Betriebsausfällen spricht.

Die aktivsten Ransomware-Gruppen im November

Die Daten basieren ebenfalls auf Erkenntnissen von „Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. Qilin und Clop sind in diesem Monat die am weitesten verbreiteten Ransomware-Gruppen, die für 15 Prozent der veröffentlichten Angriffe verantwortlich sind, gefolgt von Akira mit 12 Prozent.

1. Qilin - Qilin ist eine der etabliertesten RaaS-Gruppen, die seit 2022 immer wieder Informationen über ihre Opfer veröffentlicht. Ursprünglich unter dem Namen "Agenda" tätig, benannte sich die Gruppe im September 2022 in "Qilin" um, führte einen Rust-basierte Encryptor ein und erweiterte ihre RaaS-Infrastruktur. Über ein spezielles Administrationspanel stellt es seinen Partnern ein umfassendes Toolkit zur Verfügung, das eine Ransomware, eine Verhandlungsinfrastruktur und Supportdienste umfasst. Nach dem Ausscheiden von RansomHub hat Qilin seine Bemühungen zur Rekrutierung von Partnern intensiviert und seit März 2025 die Zahl der Opferlisten auf seiner Datenleckseite (DLS) deutlich erhöht.
2. Clop - Die Ransomware-Gruppe Clop, um die es einige Zeit relativ ruhig war, hat nun damit begonnen, Opfer einer monatelangen Kampagne zu veröffentlichen, die mindestens bis August 2025 zurückreicht. Dies markiert die letzte Phase einer groß angelegten Datendiebstahl- und Erpressungsaktion der Ransomware-Gruppe Clop, die zwei Zero-Day-Schwachstellen der Oracle E-Business Suite (EBS) ausnutzte - darunter die RCE-Schwachstelle CVE-2025-61882 vor der Authentifizierung. Die Aktivitäten stehen im Einklang mit der etablierten Strategie von Clop, die auf hochwertige Unternehmensplattformen abzielt, um große Datensätze von zahlreichen Organisationen in verschiedenen globalen Sektoren zu exfiltrieren.
3. Akira - Akira ist ein RaaS-Akteur, über den erstmals Anfang 2023 berichtet wurde und dessen Payloads sowohl auf Windows-, Linux- und ESXi-Systeme abzielen. Die veröffentlichte Liste an Opfern im zweiten Quartal 2025 zeigt einen bemerkenswerten Fokus auf Unternehmensdienstleistungen (19 Prozent) und industrielle Fertigung (18 Prozent). Anfang 2024 stellte Akira einen Rust-basierte Encryptor mit speziellen Funktionen für ESXi-Server vor. Die neue Variante umfasst selektive Verschlüsselung, VM-Targeting und Laufzeitkontrollen. Sie implementiert außerdem einen einzigartigen Ausführungsschutz, der Rust-Build-IDs verwendet, um Sandboxing und Reverse Engineering zu verhindern.

Sicherheitsrisiken in Verbindung mit GenAI verschärfen sich weiter

Der weit verbreitete Einsatz von generativen KI-Tools in Unternehmen führt zu erheblichen Risiken für die Offenlegung von Daten. Im November 2025 stellte Check Point fest, dass eine von 35 GenAI-Anfragen ein hohes Risiko für den Verlust sensibler Daten birgt. Dies betrifft 87 Prozent der Unternehmen, die GenAI regelmäßig nutzen, und unterstreicht, wie tief KI in die täglichen Arbeitsabläufe eingebettet ist. Weitere 22 Prozent der Abfragen enthielten potenziell sensible Informationen wie interne Kommunikation, Unternehmensdaten, firmeneigenen Code oder persönliche Identifikatoren.

Obwohl ein Teil der Nutzung durch verwaltete Tools erfolgt, verwenden Unternehmen im Durchschnitt 11 verschiedene GenAI-Tools pro Monat, von denen die meisten wahrscheinlich unbeaufsichtigt und außerhalb der formalen Sicherheitsrichtlinien arbeiten. Diese eher fahrlässige Nutzungsweise erhöht die Wahrscheinlichkeit einer versehentlichen Offenlegung von Daten und führt zu einem höheren Risiko für Infiltrationen, Ransomware und KI-gestützte Cyberangriffe.

CPRs Ergebnisse unterstreichen, wie KI-gesteuerte Arbeitsabläufe, wenn sie nicht ordnungsgemäß verwaltet werden, eine wachsende Angriffsfläche schaffen - wo versehentlicher Datenaustausch den Weg für die Preisgabe von Anmeldeinformationen, den Verlust von geistigem Eigentum und die Ausnutzung von Social Engineering ebnen kann.

Was die Daten vom November zeigen

Der November 2025 zeichnet ein klares und überzeugendes Bild: Sowohl das Volumen der weltweiten Cyberangriffe als auch die erfolgreichen Ransomware-Angriffe nehmen zu und betreffen eine Vielzahl von Regionen und Branchen.

Gleichzeitig schafft die rasche Verbreitung von GenAI-Tools in Unternehmen neue blinde Flecken - Orte, an denen sensible Datenlecks, Fehlkonfigurationen und die Nutzung von Schatten-KI die Tür für Angriffe öffnen. Ransomware-Gruppen, die durch diese neuen Möglichkeiten und immer ausgefeiltere Infrastrukturen ermutigt werden, weiten ihre Reichweite über Regionen, Branchen und wichtige Dienste aus.

Für Verteidiger ist die Botschaft unmissverständlich: Die Bedrohungslandschaft entwickelt sich schneller als je zuvor. Um die Nase vorn zu haben, bedarf es mehr als nur reaktiver Tools - es sind präventive Sicherheit, starke Datenschutzmaßnahmen und eine klare Governance für den Einsatz von KI erforderlich. In einer Ära, in der Angreifer mit hoher Geschwindigkeit innovieren, ist proaktives Handeln nicht mehr optional, sondern der entscheidende Faktor zwischen Widerstandsfähigkeit und Störung.

Omer Dembinsky, Data Research Manager bei Check Point Research, ordnet die Ergebnisse ein:
„Die Daten für November zeigen, dass sich nicht nur die Gesamtzahl der Angriffe weltweit immer weiter erhöht, sondern dass auch ihre zunehmende Raffinesse Anlass zur Sorge gibt. Die Kombination aus dem Anstieg von Ransomware-Vorfällen und der Offenlegung von Daten im Zusammenhang mit GenAI bietet Angreifern mehr Werkzeuge und Möglichkeiten, um gefährliche Kampagnen durchzuführen. Der einzige wirksame Ansatz ist Prävention, unterstützt durch Echtzeit-KI und proaktive Bedrohungsinformationen, um Angriffe zu blockieren, bevor sie Schaden anrichten.“

Weitere Informationen finden Sie hier: https://blog.checkpoint.com/research/global-cyber-attacks-increase-in-november-2025-driven-by-ransomware-surge-and-genai-risks/

---