- Schweizer Unternehmen waren im November 24 Prozent weniger Cyberattacken pro Woche ausgesetzt.
- In Deutschland, Österreich und der Schweiz (DACH) ging die Zahl gesamt um 10 Prozent zurück.
- Die industrielle Fertigung stellt weltweit die mit 12 Prozent am meisten von Ransomware-Angriffen betroffene Branche dar.
REWOOD CITY, Kalifornien, USA, 12. Dezember 2025 – Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat ihren Global Threat Intelligence Report für November 2025 veröffentlicht.
Der Bericht zeigt, dass Unternehmen im Laufe des vergangenen Monats weltweit durchschnittlich 2‘003 Cyber-Angriffen pro Woche ausgesetzt waren. Dies entspricht einem Anstieg von drei Prozent gegenüber Oktober und einem Anstieg von vier Prozent gegenüber Oktober 2024. Die Sicherheitsforscher sehen darin Anzeichen für eine Verschärfung der Bedrohungslage, die sie auf verstärkte Ransomware-Aktivitäten, grössere Angriffsflächen und die wachsenden Risiken im Zusammenhang mit generativen KI-Tools in Unternehmen zurückführen.
Lagebericht für die Schweiz
In der Schweiz sind die Vorfälle im Vergleich zum Vorjahreszeitraum mit 1’072 Angriffen pro Organisation um 24 Prozent zurück gegangen. Im DACH-Raum sank die Zahl mit 1’268 Attacken um zehn Prozent (Abbildung 1).
| Region | Durchschn. wöchentl. Angriffe p. Organisation | Veränderung zum Vorjahreszeitraum |
| Deutschland | 1161 | -8% |
| Schweiz | 1072 | -24% |
| Österreich | 1570 | +1% |
| DACH | 1268 | -10% |
| Europa | 1638 | -1% |
| Nordamerika | 1449 | +9% |
| Lateinamerika | 3048 | +17% |
| Afrika | 2696 | -13% |
| Asien-Ozeanien | 2978 | -0,1% |
| Global | 2003 | +3% |
Abbildung 1: Durchschnittliche Anzahl wöchentlicher Angriffe pro Organisation nach Ländern und Regionen im November 2025 inklusive Vorjahresvergleich (Quelle: Check Point Software Technologies Ltd.).
In der Schweiz waren die folgenden Sektoren am meisten von Cyber-Angriffen betroffen:
- Government
- Energy & Utilities
- Consumer Goods & Services
- Healthcare & Medical
- Telecommunications
Cyberangriffe nach Sektoren und Regionen
Der Bildungssektor blieb mit durchschnittlich 4’656 Angriffen pro Organisation und Woche die weltweit am stärksten angegriffene Branche – ein Anstieg um 7 Prozent im Vergleich zum Vorjahr (Siehe Abbildung 2). An zweiter Stelle folgten staatliche Einrichtungen mit 2’716 wöchentlichen Angriffen (plus 2 Prozent gegenüber dem Vorjahr), dicht gefolgt von Verbänden und gemeinnützigen Organisationen mit 2’550 Angriffen pro Woche, was einen bemerkenswerten Anstieg von 57 Prozent gegenüber dem Vorjahr bedeutet. Dieser starke Anstieg bei Verbänden und gemeinnützigen Organisationen unterstreicht, wie Bedrohungsakteure zunehmend Sektoren mit begrenzten Sicherheitsressourcen, aber sehr wertvollen Daten und öffentlich zugänglichen digitalen Diensten ausnutzen. In der Schweiz tauchten Verbände und NGOs zuletzt nicht im Ranking auf.
Abbildung 2: Durchschnittliche weltweite Anzahl wöchentlicher Cyber-Angriffe nach Sektoren im Oktober 2025 verglichen mit November 2024 (Quelle: Check Point Software Technologies Ltd.).
Betrachtet man die Angriffszahlen nach Regionen, so verzeichnete Europa einen leichten Rückgang (-1 Prozent gegenüber dem Vorjahr), während Nordamerika einen Anstieg von neun Prozent gegenüber dem Vorjahr verzeichnete und damit seine Position als Hauptziel für ausgeklügelte und finanziell motivierte Bedrohungsgruppen festigte. Lateinamerika traf im November mit durchschnittlich 3’048 wöchentlichen Angriffen die höchste Anzahl von Angriffen pro Organisation, was einem Anstieg von 17 Prozent im Vergleich zum Vorjahr entspricht und den grössten Anstieg weltweit darstellt. APAC folgte mit 2’978 Angriffen (-0,1 Prozent gegenüber dem Vorjahr), wobei das Niveau der Angriffe stagnierte, während Afrika 2’696 Angriffe (-13 Prozent gegenüber dem Vorjahr) erfuhr.
Ransomware-Trends: Weltweit 22 Prozent mehr Angriffe als im Vorjahr
Die Ransomware-Aktivitäten nahmen im November 2’025 mit 727 gemeldeten Angriffen deutlich zu. Dies bedeutet einen Anstieg um 22 Prozent gegenüber dem Vorjahreszeitraum und zeigt, dass die Strategie der Doppelerpressung sich weiter fortsetzt. Nordamerika blieb mit 55 Prozent aller gemeldeten Vorfälle das Epizentrum der Ransomware-Aktivitäten, gefolgt von Europa mit 18 Prozent, was den anhaltenden Druck auf westliche kritische Infrastrukturen und dienstleistungsorientierte Branchen widerspiegelt.
Auf nationaler Ebene dominierten die Vereinigten Staaten mit 52 Prozent der weltweiten Fälle die Opferlandschaft, während Grossbritannien und Kanada mit vier bzw. drei Prozent weit abgeschlagen folgten. Auf Deutschland entfielen zwei Prozent aller von CPR beobachteten, öffentlich gemachten Ransomware-Attacken.
Abbildung 3: Anzahl der auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen nach Regionen im Oktober 2025 (Quelle: Check Point Software Technologies Ltd.).
Anmerkung: Diese Erkenntnisse stammen von Ransomware-„Shame Sites“, die von Erpressergruppen genutzt werden, um ihre Opfer öffentlich aufzulisten. Diese Angaben sind zwar von Natur aus selektiv, bieten jedoch einen wertvollen Einblick in das Ausmass, die Verbreitung und die sich entwickelnden Taktiken des heutigen Ransomware-Ökosystems.
Ransomware-Angriffe nach Wirtschaftsbranchen
Aus Sicht der Industrie war die industrielle Fertigung mit 12 Prozent aller gemeldeten Opfer am stärksten betroffen, da die Angreifer weiterhin betriebliche Abhängigkeiten und Altsysteme auszunutzen versuchen. Unternehmensdienstleistungen folgten mit 11 Prozent und der Sektor Konsumgüter und Dienstleistungen mit 10 Prozent, was für eine anhaltende Konzentration der Hintermänner auf Branchen mit hohem Datenwert und geringer Toleranz gegenüber Betriebsausfällen spricht.
| Branche | Ransomware-Opfer |
| Industrielle Fertigung | 12% |
| Gewerbliche Dienstleistungen | 11% |
| Konsumgüter und Dienstleistungen | 10% |
| Bauwesen und Ingenieurwesen | 9% |
| Gesundheitswesen und Medizin | 8% |
| Regierung | 6% |
| Bildung | 5% |
| Informationstechnologie | 4% |
| Energie und Versorgungsunternehmen | 4% |
| Finanzdienstleistungen | 3% |
Abbildung 4: Anteil der auf Ransomware-Shamesites von Cyber-Kriminellen genannten Opfer von Ransomware-Angriffen nach Branchen im November 2025 (Quelle: Check Point Software Technologies Ltd.).
Die aktivsten Ransomware-Gruppen im November
Die Daten basieren ebenfalls auf Erkenntnissen von „Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. Qilin und Clop sind in diesem Monat die am weitesten verbreiteten Ransomware-Gruppen, die für 15 Prozent der veröffentlichten Angriffe verantwortlich sind, gefolgt von Akira mit 12 Prozent.
- Qilin – Qilin ist eine der etabliertesten RaaS-Gruppen, die seit 2022 immer wieder Informationen über ihre Opfer veröffentlicht. Ursprünglich unter dem Namen „Agenda“ tätig, benannte sich die Gruppe im September 2022 in „Qilin“ um, führte einen Rust-basierte Encryptor ein und erweiterte ihre RaaS-Infrastruktur. Über ein spezielles Administrationspanel stellt es seinen Partnern ein umfassendes Toolkit zur Verfügung, das eine Ransomware, eine Verhandlungsinfrastruktur und Supportdienste umfasst. Nach dem Ausscheiden von RansomHub hat Qilin seine Bemühungen zur Rekrutierung von Partnern intensiviert und seit März 2025 die Zahl der Opferlisten auf seiner Datenleckseite (DLS) deutlich erhöht.
- Clop – Die Ransomware-Gruppe Clop, um die es einige Zeit relativ ruhig war, hat nun damit begonnen, Opfer einer monatelangen Kampagne zu veröffentlichen, die mindestens bis August 2025 zurückreicht. Dies markiert die letzte Phase einer gross angelegten Datendiebstahl- und Erpressungsaktion der Ransomware-Gruppe Clop, die zwei Zero-Day-Schwachstellen der Oracle E-Business Suite (EBS) ausnutzte – darunter die RCE-Schwachstelle CVE-2025-61882 vor der Authentifizierung. Die Aktivitäten stehen im Einklang mit der etablierten Strategie von Clop, die auf hochwertige Unternehmensplattformen abzielt, um grosse Datensätze von zahlreichen Organisationen in verschiedenen globalen Sektoren zu exfiltrieren.
- Akira – Akira ist ein RaaS-Akteur, über den erstmals Anfang 2023 berichtet wurde und dessen Payloads sowohl auf Windows-, Linux- und ESXi-Systeme abzielen. Die veröffentlichte Liste an Opfern im zweiten Quartal 2025 zeigt einen bemerkenswerten Fokus auf Unternehmensdienstleistungen (19 Prozent) und industrielle Fertigung (18 Prozent). Anfang 2024 stellte Akira einen Rust-basierte Encryptor mit speziellen Funktionen für ESXi-Server vor. Die neue Variante umfasst selektive Verschlüsselung, VM-Targeting und Laufzeitkontrollen. Sie implementiert ausserdem einen einzigartigen Ausführungsschutz, der Rust-Build-IDs verwendet, um Sandboxing und Reverse Engineering zu verhindern.
Sicherheitsrisiken in Verbindung mit GenAI verschärfen sich weiter
Der weit verbreitete Einsatz von generativen KI-Tools in Unternehmen führt zu erheblichen Risiken für die Offenlegung von Daten. Im November 2025 stellte Check Point fest, dass eine von 35 GenAI-Anfragen ein hohes Risiko für den Verlust sensibler Daten birgt. Dies betrifft 87 Prozent der Unternehmen, die GenAI regelmässig nutzen, und unterstreicht, wie tief KI in die täglichen Arbeitsabläufe eingebettet ist. Weitere 22 Prozent der Abfragen enthielten potenziell sensible Informationen wie interne Kommunikation, Unternehmensdaten, firmeneigenen Code oder persönliche Identifikatoren.
Obwohl ein Teil der Nutzung durch verwaltete Tools erfolgt, verwenden Unternehmen im Durchschnitt 11 verschiedene GenAI-Tools pro Monat, von denen die meisten wahrscheinlich unbeaufsichtigt und ausserhalb der formalen Sicherheitsrichtlinien arbeiten. Diese eher fahrlässige Nutzungsweise erhöht die Wahrscheinlichkeit einer versehentlichen Offenlegung von Daten und führt zu einem höheren Risiko für Infiltrationen, Ransomware und KI-gestützte Cyberangriffe.
CPRs Ergebnisse unterstreichen, wie KI-gesteuerte Arbeitsabläufe, wenn sie nicht ordnungsgemäss verwaltet werden, eine wachsende Angriffsfläche schaffen – wo versehentlicher Datenaustausch den Weg für die Preisgabe von Anmeldeinformationen, den Verlust von geistigem Eigentum und die Ausnutzung von Social Engineering ebnen kann.
Was die Daten vom November zeigen
Der November 2025 zeichnet ein klares und überzeugendes Bild: Sowohl das Volumen der weltweiten Cyberangriffe als auch die erfolgreichen Ransomware-Angriffe nehmen zu und betreffen eine Vielzahl von Regionen und Branchen.
Gleichzeitig schafft die rasche Verbreitung von GenAI-Tools in Unternehmen neue blinde Flecken – Orte, an denen sensible Datenlecks, Fehlkonfigurationen und die Nutzung von Schatten-KI die Tür für Angriffe öffnen. Ransomware-Gruppen, die durch diese neuen Möglichkeiten und immer ausgefeiltere Infrastrukturen ermutigt werden, weiten ihre Reichweite über Regionen, Branchen und wichtige Dienste aus.
Für Verteidiger ist die Botschaft unmissverständlich: Die Bedrohungslandschaft entwickelt sich schneller als je zuvor. Um die Nase vorn zu haben, bedarf es mehr als nur reaktiver Tools – es sind präventive Sicherheit, starke Datenschutzmassnahmen und eine klare Governance für den Einsatz von KI erforderlich. In einer Ära, in der Angreifer mit hoher Geschwindigkeit innovieren, ist proaktives Handeln nicht mehr optional, sondern der entscheidende Faktor zwischen Widerstandsfähigkeit und Störung.
Omer Dembinsky, Data Research Manager bei Check Point Research, ordnet die Ergebnisse ein:
«Die Daten für November zeigen, dass sich nicht nur die Gesamtzahl der Angriffe weltweit immer weiter erhöht, sondern dass auch ihre zunehmende Raffinesse Anlass zur Sorge gibt. Die Kombination aus dem Anstieg von Ransomware-Vorfällen und der Offenlegung von Daten im Zusammenhang mit GenAI bietet Angreifern mehr Werkzeuge und Möglichkeiten, um gefährliche Kampagnen durchzuführen. Der einzige wirksame Ansatz ist Prävention, unterstützt durch Echtzeit-KI und proaktive Bedrohungsinformationen, um Angriffe zu blockieren, bevor sie Schaden anrichten.»
Weitere Informationen finden Sie hier: https://blog.checkpoint.com/research/global-cyber-attacks-increase-in-november-2025-driven-by-ransomware-surge-and-genai-risks/
Über die Datengrundlage
Die Erkenntnisse stammen aus Check Points KI-Plattform ThreatCloud, die täglich Millionen von Indikatoren für Kompromittierungen (IoCs) analysiert. ThreatCloud wird von über 50 KI-gesteuerten Engines angetrieben und mit Informationen aus mehr als 150’000 Netzwerken und Millionen von Endpunkten gespeist. Damit bietet ThreatCloud einen der umfassendsten Echtzeit-Überblicke der globalen Bedrohungslage, die derzeit verfügbar sind.
Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Über Check Point Research
Check Point Research stellt Check Point Software-Kunden und der gesamten Geheimdienst-Community führende Erkenntnisse über Cyber-Bedrohungen zur Verfügung. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die in der ThreatCloud gespeichert sind, um Hacker in Schach zu halten und gleichzeitig sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzmassnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Schützer des digitalen Vertrauens und nutzt KI-gestützte Cybersicherheitslösungen zum Schutz von über 100’000 Organisationen weltweit. Durch seine Infinity-Plattform und ein offenes Ökosystem bietet Check Point mit seinem präventiven Ansatz eine branchenführende Sicherheitseffizienz bei gleichzeitiger Risikominderung. Mit einer hybriden Mesh-Netzwerk-Architektur, deren Kernstück SASE ist, vereinheitlicht die Infinity-Plattform das Management von lokalen, Cloud- und Workspace-Umgebungen und bietet Unternehmen und Dienstleistern Flexibilität, Einfachheit und Skalierbarkeit.
Legal Notice Regarding Forward-Looking Statements
This press release contains forward-looking statements. Forward-looking statements generally relate to future events or our future financial or operating performance. Forward-looking statements in this press release include, but are not limited to, statements related to our expectations regarding future growth, the expansion of Check Point’s industry leadership, the enhancement of shareholder value and the delivery of an industry-leading cyber security platform to customers worldwide. Our expectations and beliefs regarding these matters may not materialize, and actual results or events in the future are subject to risks and uncertainties that could cause actual results or events to differ materially from those projected. The forward-looking statements contained in this press release are also subject to other risks and uncertainties, including those more fully described in our filings with the Securities and Exchange Commission, including our Annual Report on Form 20-F filed with the Securities and Exchange Commission on April 2, 2024. The forward-looking statements in this press release are based on information available to Check Point as of the date hereof, and Check Point disclaims any obligation to update any forward-looking statements, except as required by law.
Pressekontakt:
Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com