Cyberbedrohungen erreichen im Juni neue Höchststände
Laut dem aktuellen Bedrohungsbericht von Check Point Research haben Cyberangriffe weltweit und besonders in der DACH-Region massiv zugenommen. An der Spitze der Ransomware-Szene steht mit „The Gentlemen" eine Gruppe, die vor einem Jahr noch nicht existierte.
Die Sicherheitsforscher von Check Point Research (CPR) haben ihren monatlichen Cyber Threat Report für Juni 2026 vorgelegt. Demnach registrierten Unternehmen weltweit durchschnittlich 2270 Cyberangriffe pro Woche – ein Plus von zehn Prozent gegenüber dem Vormonat Mai und 17 Prozent mehr als im Juni 2025. Die kurze Entspannungsphase im Mai sei damit beendet, so die Forscher. Die Angriffszahlen seien breit über Regionen und Branchen hinweg gestiegen, was laut CPR darauf hindeutet, dass Cyberkriminelle ihr Zielspektrum systematisch ausgeweitet haben.
DACH-Region: Deutliche Zuwächse in allen drei Ländern
Besonders stark fiel der Anstieg in der DACH-Region aus. In Deutschland kletterte die Zahl der wöchentlichen Angriffe pro Organisation im Jahresvergleich um 35 Prozent auf 1659. Gegenüber dem Vormonat Mai entspricht das laut Patrick Fetter, Lead Sales Engineer bei Check Point, sogar einem Zuwachs von 21 Prozent. Österreich verzeichnete mit 2243 Angriffen pro Woche ein Plus von 37 Prozent und lag damit weiterhin deutlich über dem europäischen Durchschnitt von 2003 Angriffen. Die Schweiz wies mit einem Anstieg von 44 Prozent auf 1504 wöchentliche Angriffe den stärksten Zuwachs aller drei Länder auf.
In Deutschland waren die Sektoren Energie und Versorgungsunternehmen sowie Bildung wie schon im Vormonat am stärksten betroffen. Auf den Plätzen drei und vier rückten Software und Telekommunikation nach oben, während Bauwesen und Ingenieurwesen im Ranking abrutschten.
Bildungswesen weltweit am stärksten im Visier
Global blieb das Bildungswesen mit durchschnittlich 4816 Angriffen pro Organisation und Woche die am härtesten getroffene Branche – ein Plus von 16 Prozent gegenüber dem Vorjahr. Nach Angaben von Check Point machen offene Campusnetzwerke, häufiger Gerätewechsel und chronisch knappe Sicherheitsbudgets Schulen und Universitäten zu einem besonders attraktiven Ziel. Der Regierungssektor folgte mit 2836 Angriffen (plus fünf Prozent), die Telekommunikationsbranche lag mit 2835 Angriffen (plus 13 Prozent) knapp dahinter.
Auffällige Zuwächse verzeichneten auch Verbände und Non-Profit-Organisationen (plus 25 Prozent auf 2687 Angriffe), der Bereich Energie und Versorgung (plus 32 Prozent auf 2601) sowie die Landwirtschaft, die mit einem Plus von 48 Prozent auf 2298 Angriffe den stärksten sektoralen Zuwachs aufwies.
Regional führte Lateinamerika mit 3501 Angriffen pro Woche und einem Plus von 27 Prozent die globale Statistik an. Die APAC-Region folgte mit 3060 Angriffen (plus fünf Prozent), Afrika lag trotz eines Rückgangs um neun Prozent bei 3008 Angriffen. Europa und Nordamerika verzeichneten Anstiege von 22 beziehungsweise 14 Prozent. Damit wuchsen alle Regionen außer Afrika im Jahresvergleich.
GenAI als Sicherheitsrisiko: Jeder 26. Prompt enthält sensible Daten
Check Point Research widmet sich in dem Bericht auch den Risiken durch generative KI am Arbeitsplatz. Laut den Forschern barg im Juni jeder 26. GenAI-Prompt ein hohes Risiko, sensible Daten preiszugeben – das entspricht einer globalen Expositionsrate von 3,9 Prozent. 85 Prozent der Unternehmen, die regelmäßig GenAI-Tools einsetzen, seien von diesem Risiko betroffen gewesen. Weitere 27 Prozent der Prompts hätten potenziell sensible Informationen enthalten.
Im Durchschnitt nutzten Unternehmen sieben verschiedene GenAI-Tools, was auf eine fragmentierte Einführung ohne zentrale Steuerung hindeute. Der durchschnittliche Unternehmensnutzer habe 78 GenAI-Prompts pro Monat generiert.
Nach Branchen wies das Gesundheitswesen mit 5,7 Prozent die höchste Rate an riskanten Prompts auf, gefolgt von Telekommunikation und Unternehmensdienstleistungen mit jeweils 5,1 Prozent sowie der IT-Branche mit 4,1 Prozent. Regional lag Lateinamerika mit 5,2 Prozent an der Spitze, Europa entsprach mit 3,9 Prozent dem globalen Durchschnitt. Den größten Anteil der preisgegebenen sensiblen Inhalte machten personenbezogene Daten mit 80 Prozent aus, gefolgt von Netzwerk- und Infrastrukturdetails, Rechts- und Regulierungsmaterial, Finanzdaten und Mitarbeiterdaten.
Ransomware: 33 Prozent mehr Angriffe – APAC überholt Europa
Im Juni 2026 wurden 646 Ransomware-Angriffe öffentlich gemeldet, ein Anstieg von 33 Prozent gegenüber dem Vorjahresmonat. Die Angaben stammen von sogenannten Shame Sites, auf denen Erpressergruppen ihre Opfer öffentlich auflisten – die Daten sind daher naturgemäß unvollständig, bieten laut CPR aber einen wertvollen Einblick in die Dynamik des Ransomware-Ökosystems.
Unternehmensdienstleistungen trugen mit 31 Prozent aller Ransomware-Opfer erneut die Hauptlast, gefolgt von Konsumgütern und Dienstleistungen (16 Prozent) sowie industrieller Fertigung (14 Prozent). Nordamerika war mit 44 Prozent der gemeldeten Vorfälle die am stärksten betroffene Region. Bemerkenswert ist laut den Forschern, dass die APAC-Region Europa erstmals überholte: Ihr Anteil stieg innerhalb von nur zwei Monaten von 16,8 Prozent im April auf 22,6 Prozent im Juni – ein Zuwachs um über ein Drittel. Europa kam auf 22 Prozent. Die USA blieben mit 43 Prozent das am stärksten betroffene Land, gefolgt von Kanada (sechs Prozent), Großbritannien (fünf Prozent), Deutschland (vier Prozent) und Spanien (drei Prozent).
„The Gentlemen” löst Qilin als gefährlichste Ransomware-Gruppe ab
Zu den auffälligsten Verschiebungen im Juni zählt der Führungswechsel an der Spitze der Ransomware-Landschaft. Die Gruppe „The Gentlemen” verdrängte Qilin und war mit 17 Prozent aller öffentlich bekannt gewordenen Angriffe die aktivste Ransomware-Operation weltweit. Laut CPR wurde die Ransomware-as-a-Service-Gruppe (RaaS) Mitte 2025 von einem russischsprachigen Betreiber gegründet, der zuvor als Affiliate bei Qilin, LockBit und anderen Gruppen tätig gewesen sei. The Gentlemen agiere sowohl als RaaS-Anbieter als auch als Zugangsvermittler und biete Affiliates Zugriff auf rund 14.000 vorab kompromittierte FortiGate-Geräte. Mit über 320 öffentlich gelisteten Opfern habe sich die Gruppe in weniger als einem Jahr zu einer der weltweit aktivsten Ransomware-Bedrohungen entwickelt.
Auf Platz zwei folgte Qilin mit elf Prozent der Angriffe. Die seit 2022 unter dem früheren Namen „Agenda” aktive RaaS-Gruppe habe ihre Rekrutierung von Affiliates seit Anfang 2025 intensiviert, so CPR. LockBit verzeichnete einen sprunghaften Anstieg von einem Prozent im Mai auf sieben Prozent im Juni und belegte damit den dritten Platz. Die drei führenden Gruppen verantworteten zusammen 35 Prozent aller gemeldeten Angriffe, die restlichen 65 Prozent verteilten sich auf zahlreiche weitere aktive Gruppen.
Patrick Fetter von Check Point ordnete die Ergebnisse folgendermaßen ein: Der Führungswechsel an der Spitze der Ransomware-Landschaft zeige, „wie schnell neue Akteure in dieser Schattenwirtschaft Fuß fassen und zu ernsthaften Bedrohungen heranwachsen können”. Die Daten des Berichts basieren laut Check Point auf der hauseigenen KI-Plattform ThreatCloud, die täglich Millionen von Kompromittierungsindikatoren aus über 150.000 Netzwerken und Millionen von Endpunkten auswertet.
(Quelle: Check Point Research)
