In ihrer neuen monatlichen Analyse berichtet CPR von einem Zuwachs an Cyber-Angriffen in Europa um 15 Prozent und damit den stärksten Anstieg im regionalen Vergleich. Im DACH-Raum sind die Zahlen rückläufig. Global ist das Bildungswesen mit 4248 Angriffen mit Abstand am stärksten betroffen.
Redwood City und Zürich, 15. August 2025 – Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat ihren Global Cyber Threats Report für Juli 2025 veröffentlicht. Im Juli waren Unternehmen im globalen Vergleich durchschnittlich 2011 Cyber-Angriffen pro Woche ausgesetzt. Das ist ein Anstieg von drei Prozent gegenüber dem Vormonat und zehn Prozent gegenüber dem Vorjahr. In der Schweiz ist die Zahl wöchentlicher Cyber-Attacken pro Organisation um 17 Prozent auf 1105 gesunken. Für den DACH-Raum ist die Anzahl mit durchschnittlich 1356 leicht rückläufig um 4 Prozent.
Zunehmende Angriffe in vielen Staaten und Branchen
Die Bedrohungslage variiert stark nach Region, verschärft sich jedoch in der Tendenz. In Europa stellte CPR den schlechtesten Trend fest: Das Volumen der Angriffe liegt zwar hinter anderen Regionen, verzeichnete jedoch mit 15 Prozent den stärksten Anstieg von allen (siehe Abbildung 1). Der asiatisch-pazifische Raum (APAC) verzeichnete mit 3403 Angriffen pro Organisation und Woche den höchsten Durchschnitt – ein Anstieg von drei Prozent gegenüber dem Vorjahr. Lateinamerika folgte mit 2917 Angriffen pro Woche, was einem Anstieg von vier Prozent gegenüber Juli 2024 entspricht. In Nordamerika gab es 2870 Angriffe pro Unternehmen, was einem Anstieg von fünf Prozent entspricht.
Wie eingangs erwähnt, betrug im Juli die durchschnittliche wöchentliche Anzahl von Cyber-Angriffen pro Organisation weltweit 2011. Das entspricht einem Anstieg von drei Prozent gegenüber dem Vormonat und von zehn Prozent gegenüber Juli 2024. Der stetige Anstieg unterstreicht, wie hartnäckig und anpassungsfähig die Cyber-Kriminellen nach wie vor sind.
Die Daten deuten auf einen weltweiten Anstieg der Cyber-Risiken hin, aber der starke Anstieg in Europa lässt vermuten, dass sich die Angreifer auf bisher weniger betroffene Regionen konzentrieren.
| Region | Durchschn. wöchentl. Angriffe p. Organisation | Veränderung zum Vorjahreszeitraum |
| Deutschland | 1235 | +0,1% |
| Schweiz | 1105 | -17% |
| Österreich | 1728 | +5% |
| DACH | 1356 | -4% |
| Europa | 1468 | +15% |
| Nordamerika | 2870 | +5% |
| Lateinamerika | 2917 | +4% |
| Afrika | 1687 | +11% |
| Asien-Ozeanien | 3403 | +3% |
| Global | 2011 | +3% |
Abbildung 1: Durchschnittliche Anzahl wöchentlicher Angriffe pro Organisation nach Ländern und Regionen, inklusive Vorjahresvergleich (Quelle: Check Point Software Technologies Ltd.).
Angriffe nach Sektoren: Bildungssektor weltweit unter Dauerbeschuss
In der Schweiz waren die folgenden Bereiche und Wirtschaftssektoren im Juli am meisten von Cyber-Angriffen betroffen:
- Gesundheitswesen & Medizin
- Konsumgüter & Dienstleistungen
- Energie & Versorgungsunternehmen
- Behörden
- Finanzdienstleistungen
Auch in der globalen Betrachtung sind einige Wirtschaftsbranchen weitaus stärker betroffen als andere: An der Spitze der Liste steht hier der Bildungssektor mit durchschnittlich 4248 Angriffen pro Organisation und somit der höchsten absoluten Anzahl an Cyber-Angriffen pro Woche – ein Anstieg von elf Prozent gegenüber dem Vorjahr (siehe Abbildung 2). Der Telekommunikationssektor folgte mit 2769 Angriffen pro Woche, was einem Anstieg von 24 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Behörden lagen mit 2745 Angriffen pro Woche nicht weit dahinter, ein Anstieg von sechs Prozent gegenüber dem Vorjahr.
Am auffälligsten ist der Zuwachs im Agrarsektor mit 81 Prozent, was auf seine steigende Attraktivität als leichtes Ziel hindeutet. Es zeigt sich: Von Bildungsnetzwerken über Telekommunikationsriesen bis hin zu landwirtschaftlichen Betrieben – keine Branche ist immun, und einige werden zu bevorzugten Zielen der Hacker.
Abbildung 2: Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Juli 2025 verglichen mit Juli 2024 (Quelle: Check Point Software Technologies Ltd.).
Ransomware-Angriffe nach Regionen und Branchen
Im Juli 2025 beobachtete CPR 518 aus Tätersicht gelungene Ransomware-Angriffe, was einem Anstieg von 28 Prozent gegenüber dem gleichen Zeitraum im Jahr 2024 entspricht. Nordamerika war mit 52 Prozent aller gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 25 Prozent (siehe Abbildung 3).
Abbildung 3: Anzahl der auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen nach Regionen im Juli 2025 (Quelle: Check Point Software Technologies Ltd.).
Weltweit war der Sektor Konsumgüter und Dienstleistungen mit einem Anteil von zwölf Prozent der gemeldeten Angriffe am stärksten betroffen. Es folgten die Sektoren Bauwesen und Ingenieurwesen mit rund zehn Prozent und Unternehmensdienstleistungen mit gerundet 10 Prozent (siehe Abbildung 4).
| Branche | Anteil an allen Ransomware-Opfern |
| Konsumgüter und Dienstleistungen | 12,0% |
| Bauwesen und Ingenieurwesen | 10,2% |
| Unternehmensdienstleistungen | 9,5% |
| Industrielle Fertigung | 8,7% |
| Gesundheitswesen und Medizin | 8,5% |
| Informationstechnologie | 5,2% |
| Verbände und gemeinnützige Organisationen | 4,1% |
| Finanzdienstleistungen | 3,5% |
| Behörden | 3,5% |
| Bildung | 3,1% |
| Medien und Unterhaltung | 2,9% |
| Immobilienvermietung und -leasing | 2,5% |
| Energie und Versorgungsunternehmen | 2,5% |
| Telekommunikation | 2,3% |
| Gastgewerbe, Reisen und Freizeit | 2,3% |
| Transport und Logistik | 2,3% |
| Grosshandel und Vertrieb | 2,1% |
| Biotechnologie und Pharmazeutika | 1,9% |
| Software | 1,7% |
| Automobilindustrie | 1,4% |
| Landwirtschaft | 1,0% |
Abbildung 4: Anteil der Sektoren an allen auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen im Juli 2025 (Quelle: Check Point Software Technologies Ltd.)
Hinweis: Diese Daten stammen von Shame Sites für Ransomware, die von Double-Extortion-Gruppen betrieben werden, die Informationen über ihre Opfer veröffentlichen. Diese Quellen sind zwar von Natur aus voreingenommen und unvollständig, bieten jedoch wertvolle Einblicke in Ransomware-Trends und die Opferzahl.
Aktivste Ransomware-Gruppen
Im Juli 2025 dominierten drei Ransomware-as-a-Service-Gruppen (RaaS) und waren für einen grossen Teil der öffentlich bekannt gewordenen Angriffe verantwortlich. Dieser Abschnitt basiert ebenfalls auf Daten von Ransomware-Shame-Sites.
- Qilin war für zwölf Prozent aller veröffentlichten Angriffe verantwortlich und damit die aktivste Gruppe in diesem Monat. Qilin, früher bekannt als Agenda, ist seit 2022 aktiv und hat ihre Infrastruktur stetig ausgebaut. Im September 2022 gab sich die Gruppe einen neuen Namen und führte einen auf Rust basierenden Encrypter ein. Seit März 2025 – nach der Stilllegung von RansomHub – hat Qilin die Rekrutierung von Affiliates intensiviert und die Zahl der veröffentlichten Opfer drastisch erhöht. Affiliates erhalten ein voll funktionsfähiges Admin-Panel, eine Verhandlungsinfrastruktur und Support-Services.
- Inc. Ransom war für neun Prozent der Angriffe verantwortlich. Die Gruppe ist seit Mitte 2023 aktiv und hat ein ausgeprägtes Opferprofil: 33 Prozent ihrer Ziele im zweiten Quartal 2025 stammten aus dem Gesundheitswesen und zehn Prozent aus dem Bildungsbereich – Sektoren, die von einigen Gruppen oft als tabu angesehen werden. Sie betreibt ausserdem eine Infrastruktur mit zwei Standorten: ein durch Anmeldedaten geschütztes Verhandlungsportal und eine öffentliche Website für die Veröffentlichung von Daten. Inc. Ransom unterstützt sowohl Windows- als auch Linux-Payloads und wächst stetig in Umfang und Leistungsfähigkeit.
- Akira beanspruchte acht Prozent der gemeldeten Angriffe für sich. Akira wurde erstmals Anfang 2023 identifiziert und zielt auf Windows-, Linux- und ESXi-Systeme ab. Die Opferstatistik für das zweite Quartal 2025 zeigt einen Schwerpunkt auf Unternehmensdienstleistungen (19 Prozent) und die industrielle Fertigung (18 Prozent). Im Jahr 2024 veröffentlichte sie eine für ESXi-Umgebungen optimierte Rust-basierte Variante mit selektiver Verschlüsselung, VM-Targeting, Laufzeitkontrollen und einem Rust-Build-ID-Schutz, der Reverse Engineering verhindern soll.
Diese Gruppen entwickeln sich sowohl hinsichtlich ihrer Tools als auch ihrer Ziele weiter und gehören damit zu den gefährlichsten Akteuren, die in den kommenden Monaten zu beobachten sind.
Fazit
Der im Juli 2025 beobachtete Anstieg von Ransomware setzt einen Trend fort, der sich kontinuierlich durch das laufende Jahr zieht und drei Schlussfolgerungen zulässt: die vergrösserte Reichweite von Hackern, die Weiterentwicklung von Ransomware-as-a-Service-Ökosystemen und den wachsenden Druck auf kritische Sektoren. Diese Trends sind jedoch nur ein Teil des Gesamtbildes. Die hier dargestellten Daten bieten nur einen kleinen Einblick in die sich wandelnde Landschaft der Ransomware und Cyber-Angriffe. Da die Cyber-Kriminellen ihre Techniken verfeinern und ihre Reichweite maximieren, müssen Unternehmen über Gefahren informiert bleiben und präventive Verteidigungsmassnahmen etablieren.
«Die Daten für Juli zeigen, dass Ransomware nicht nur die grösste Gefahr im Cyberspace bleibt, sondern sich auch rasch weiterentwickelt. Gefährliche Gruppen wie Qilin weiten ihren Einflussbereich auf hochwertige Ziele aus», so Lotem Finkelstein, Director, Threat Intelligence and Research bei Check Point Software Technologies: «Diese Angriffe treffen jeden Winkel der Welt und jede Art von Organisation. Präventionsstrategien auf Basis künstlicher Intelligenz sind die einzige Möglichkeit, um gegenüber den Drahtziehern einen Vorsprung zu behalten.»
Weitere Informationen finden Sie hier: https://blog.checkpoint.com/research/global-cyber-threats-july-snapshot-of-an-accelerating-crisis/
Eine detailliertere Analyse, einschliesslich gruppenspezifischer Taktiken, regionaler Dynamiken und praktischer Verteidigungsstrategien, finden Sie im vollständigen Ransomware-Bericht für das zweite Quartal 2025. Dieser bietet einen detaillierten Einblick in jene Bedrohungen, welche die zweite Jahreshälfte prägen werden: https://blog.checkpoint.com/research/global-cyber-attacks-surge-21-in-q2-2025-europe-experiences-the-highest-increase-of-all-regions/
Über die Datengrundlage
Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150’000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Research
Check Point Research stellt Check Point Software-Kunden und der gesamten Geheimdienst-Community führende Erkenntnisse über Cyber-Bedrohungen zur Verfügung. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die in der ThreatCloud gespeichert sind, um Hacker in Schach zu halten und gleichzeitig sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzmassnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Schützer des digitalen Vertrauens und nutzt KI-gestützte Cybersicherheitslösungen zum Schutz von über 100’000 Organisationen weltweit. Durch seine Infinity-Plattform und ein offenes Ökosystem bietet Check Point mit seinem präventiven Ansatz eine branchenführende Sicherheitseffizienz bei gleichzeitiger Risikominderung. Mit einer hybriden Mesh-Netzwerk-Architektur, deren Kernstück SASE ist, vereinheitlicht die Infinity-Plattform das Management von lokalen, Cloud- und Workspace-Umgebungen und bietet Unternehmen und Dienstleistern Flexibilität, Einfachheit und Skalierbarkeit.
Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.
Pressekontakt:
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com