BKA-Lagebild : Cyberkriminelle setzen verstärkt auf reine Datenerpressung
Statt Systeme zu verschlüsseln, stehlen Angreifer zunehmend nur noch Daten und drohen mit deren Veröffentlichung. Das BKA erwartet, dass sich dieser Trend 2026 weiter verfestigt.
Cyberkriminelle verzichten immer mehr auf die Verschlüsselung von Systemen und setzen stattdessen auf den reinen Diebstahl von Daten samt Erpressung. Laut dem Bundeslagebild Cybercrime 2025 des Bundeskriminalamts (BKA) bildet sich die reine Datenerpressung (Data Extortion) „immer mehr als alternativer Modus Operandi” neben klassischen Ransomware-Angriffen heraus. Anders als bei der etablierten Vorgehensweise verzichten die Täter dabei auf die Verschlüsselung der Opfersysteme und beschränken sich auf das Kopieren sensibler Daten, mit deren Veröffentlichung sie anschließend drohen. Für 2026 rechnet das BKA mit einer weiteren quantitativen und qualitativen Steigerung der Bedrohungslage – auch, weil sich Cyberkriminelle als schnell anpassungsfähig erwiesen hätten.
Höhere Zahlungsbereitschaft bei reiner Datenerpressung
Die Verschiebung wird von einem zentralen ökonomischen Faktor getrieben: Opfer sind eher bereit, bei reiner Datenerpressung zu zahlen als bei Verschlüsselungsangriffen. Das BKA verweist auf Zahlen des IT-Dienstleisters Coveware, wonach 2025 weltweit im Schnitt 29 Prozent der Geschädigten bei Data-Extortion-Fällen Lösegeld zahlten, gegenüber 34 Prozent im Vorjahr. Bei klassischer Ransomware lag die Zahlungsquote weltweit dagegen nur noch bei 24 Prozent (2024: 30 Prozent), in Deutschland sogar lediglich bei 7 Prozent (2024: 9 Prozent). Lösegeldzahlungen bei Verschlüsselung würden, so das BKA, „weiterhin von vielen Geschädigten lediglich als letzte Möglichkeit” gesehen, wenn keine Datenwiederherstellung mehr möglich sei.
Diese sinkende Zahlungsbereitschaft im Verschlüsselungsbereich zwingt die Täter zu Anpassungen. Ransomware-Akteure müssten, „aufgrund der sinkenden Zahlungsbereitschaft der Betroffenen, sowohl mehr Angriffe durchführen als auch höhere Forderungen stellen”, um ihre illegalen Gewinne stabil zu halten. Diese Logik dürfte den Wechsel zur reinen Datenerpressung weiter beschleunigen, da sie operativ einfacher umzusetzen ist und höhere Erfolgsquoten verspricht.
Trend 2025 erkennbar, aber noch nicht dominant
Laut BKA bildet sich Data Extortion „immer mehr als alternativer Modus Operandi“ neben klassischen Ransomware-Angriffen heraus. Darauf deuten mehrere Entwicklungen hin: Weltweit lag die Zahlungsbereitschaft der Geschädigten bei Data Extortion 2025 im Schnitt bei 29 Prozent, bei klassischer Ransomware dagegen bei 24 Prozent. Auf Dedicated Leak Sites wurden 2025 zudem 292 deutsche Geschädigte gelistet, ein Anstieg um 88 Prozent. Auch die zentralen Ermittlungen der Polizeibehörden spiegeln diese Entwicklung wider: Bundesweit wurden 2025 zwei zentrale Ermittlungsverfahren gegen Data-Extortion-Akteure geführt, nach einem Verfahren im Vorjahr.
Zugleich blieb verschlüsselungsbasierte Erpressung sehr relevant: Insgesamt wurden 1.041 Ransomware-Angriffe angezeigt, 76 Prozent davon entfielen auf Double Extortion. Das zeigt, dass die Drohung mit der Veröffentlichung gestohlener Daten bereits breit etabliert ist – bei Data Extortion ohne, bei Double Extortion zusätzlich mit Verschlüsselung.
KI als Beschleuniger der Datenerpressung
Künstliche Intelligenz (KI) dürfte die Verlagerung hin zur reinen Datenerpressung zusätzlich befeuern. Das BKA beschreibt, wie KI bei Ransomware-Angriffen eingesetzt werde, um „aus der breiten Masse die besonders sensiblen Dateien und Informationen” herauszufiltern. Generative KI-Fähigkeiten würden zudem für die Sammlung von Informationen über Angriffsziele, die Erstellung von Phishing-Mails sowie für die Täter-Opfer-Kommunikation missbraucht. Damit wird die für Data Extortion zentrale Aufgabe – das gezielte Identifizieren und Ausleiten erpressungsrelevanter Daten – effizienter.
Umbrüche in der Ransomware-Szene
Ein weiterer Faktor sind die anhaltenden Umbrüche in der Ransomware-Landschaft. Laut BKA wurden 2025 die Aktivitäten der Gruppierungen 8Base und BlackSuit durch polizeiliche Maßnahmen unterbunden, BlackBasta stellte den Betrieb wegen interner Streitigkeiten ein. Die entstandene Lücke nutzten vor allem die in Deutschland besonders aktiven Akteure Akira und SafePay. Die Top-3-Ransomware-Varianten gegen deutsche Geschädigte waren 2025 Akira, SafePay und INC/Lynx. Insgesamt wurden rund 100 verschiedene Ransomware-Varianten gegen deutsche Ziele eingesetzt; 96 Prozent der Angriffe richteten sich gegen Unternehmen, Organisationen und Institutionen, davon rund 90 Prozent gegen kleine und mittlere Unternehmen.
Für 2026 erwartet das BKA eine weitere Intensivierung. Neben der Weiterentwicklung von KI-Tools nennt die Behörde auch Quantencomputing als perspektivischen Einflussfaktor, da sensible Daten dadurch schneller entschlüsselt werden könnten. In der Summe deutet die Entwicklung darauf hin, dass die reine Datenerpressung – ohne den technisch aufwendigen und zunehmend unrentablen Verschlüsselungsschritt – im kommenden Jahr dominieren könnte. (SF)
(Quelle: BKA)
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.