Ihr Experte für Fragen
Lorenz Kuhlee
Director Incident Response bei PwC Deutschland
Tel.: +49 1515 0049769
E-Mail
Die Bedrohungslage spitzt sich zu: Cyberrisiko in Deutschland auf einem neuen Hoch
Schneller, automatisierter, routinierter: Cyberangreifer verändern ihre Methoden kontinuierlich und erhöhen damit den Druck auf Unternehmen und Institutionen. Identitäten und vertrauenswürdige Zugänge werden systematisch ausgenutzt, Ransomware-Ökosysteme professionalisieren sich weiter – und KI beschleunigt Social Engineering ebenso wie die Skalierung von Angriffen. Zudem ist die Cyberbedrohungslage zunehmend mit geopolitischen Entwicklungen verknüpft.
Um diese Entwicklungen zu verstehen, bündelt der jährliche „Threat Dynamics“-Bericht von PwC unsere globalen Erkenntnisse. Die Einblicke basieren auf Analysen, die wir im Laufe des Jahres 2025 bis Anfang 2026 durchgeführt haben – sowohl durch direkte Datenerhebung als auch in enger Zusammenarbeit mit unseren weltweiten Teams für Incident Response, Managed Security Services und Cyber Security. Unser Ziel ist es, durch die Erfassung der Kerntrends von 2025 handlungsorientierte Erkenntnisse zu liefern, mit denen Unternehmen ihre Verteidigungsmaßnahmen stärken und ihr Lagebewusstsein für 2026 und darüber hinaus verbessern können.
Für Unternehmen bedeutet das: Die Zahl relevanter Vorfälle steigt, während die Reaktionsfenster immer kleiner werden und Abhängigkeiten über die Cloud, SaaS oder vertraute Dienstleister zusätzliche Angriffsflächen schaffen.
„Die Bedrohung durch Cyberangriffe ist nicht nur größer, sondern vor allem dynamischer geworden. Cyberkriminelle verkürzen ihre Zyklen und greifen gezielt digitale Berechtigungen und persönliche Zugangsinformationen ab. Unternehmen müssen jetzt besonders aufmerksam sein und ihre zentralen Einfallstore wirksam absichern.“
Die Studie im Überblick
Für den „Annual Threat Dynamics 2026”-Bericht haben wir analysiert, welche Trends und Motive die Cyberbedrohungslage aktuell prägen. Dabei zeigt sich: Cyberangriffe sind heute vor allem identitätsgetrieben. Angreifer wählen sich zunehmend in Konten ein, statt „einzubrechen“ – etwa über SSO, OAuth oder föderierte Zugänge. Gerade Mittelständler sind hier besonders exponiert, weil sich viele noch in der Umstellung zu Zero Trust befinden. Ohne durchgängige Zugriffskontrolle über alle Netzwerkgrenzen hinweg bleiben Identitäten ein offenes Einfallstor.
Der Identitätsmissbrauch manifestiert sich nicht nur in kompromittierten Zugängen, sondern auch in digitaler Täuschung nach außen: Im Rahmen dokumentierter Einfluss- und Betrugskampagnen wurden über 100 deutschsprachige Fake-Websites identifiziert, die seriöse Absender imitieren und Vertrauen gezielt ausnutzen. Solche Klone erhöhen das Risiko von Phishing, Betrug und Reputationsschäden und können Angreifern zugleich als Sprungbrett für weitere Zugriffe dienen.
Ransomware und KI verschärfen die Bedrohungslage
Parallel legt der Bericht eine deutliche Eskalation im Ransomware-Ökosystem offen: 2025 wurden weltweit 7.635 Opfer auf Leak-Sites erfasst. Im Vergleich zu den 4.837 Opfern im Jahr 2024 entspricht das einem Anstieg von knapp 60 Prozent. Zugleich ist in diesem Zeitraum die Zahl der aktiven Angreifer-Gruppen von 92 auf 135 gestiegen. Das spricht für ein Ökosystem, das nicht nur breiter wird, sondern insgesamt mit einem hohen Tempo operiert – in einem zunehmend fragmentierten und wettbewerbsgetriebenen Umfeld. Deutschland liegt bei den Leak-Site-Opfern weltweit unter den Top 5, wobei die Ransomware-Gruppe SafePay mit 77 deutschen Opfern dominiert, gefolgt von Qilin und Akira (29 resp. 28 Opfer).
Künstliche Intelligenz wirkt als zusätzlicher Beschleuniger, indem sie die Eintrittsbarrieren für Angreifer senkt und die Zeit zwischen Angriffsvorbereitung und Schadenswirkung merklich verkürzt. 2025 wurde KI zum Werkzeug für die Aufklärung und Planung, überzeugende Täuschungsversuche sowie die Entwicklung und Anpassung von Schadsoftware. Das Zeitfenster zwischen der Veröffentlichung neuer KI-Funktionen und ihrer missbräuchlichen Nutzung wird immer enger – und dürfte sich 2026 weiter verkürzen.
Jetzt die vollständige Studie herunterladen
Annual Threat Dynamics 2026: Cyber threats in motion
Cyberrisiko wird zum geopolitischen Faktor
Cybersicherheit ist schon lange kein reines IT-Thema mehr. Stattdessen entscheidet sie über die Resilienz von Organisationen. Das Cyberrisiko entsteht zunehmend im Zusammenspiel aus staatlichen Interessen, kriminellen Geschäftsmodellen und digitalen Abhängigkeiten. Entsprechend erhöhen 60 Prozent der Führungskräfte ihre Cyber-Investitionen als Reaktion auf die geopolitische Volatilität. Der Bericht macht dabei deutlich, wie stark sich Angriffsmuster zu mehrstufigen Kampagnen entwickeln, die Technik, Täuschung und wirtschaftlichen Druck kombinieren.
Hinzu kommt, dass Cyberrisiken immer häufiger im „Zwischenraum“ von Cyber und Geopolitik entstehen – entlang von Wahlen, Sanktionen, Konflikten oder Handels- und Lieferkettenkrisen. Angreifer nutzen solche Phasen gezielt aus, weil in ihnen Zeitdruck, öffentliche Aufmerksamkeit und operative Abhängigkeiten aufeinandertreffen. Ziel ist dann nicht nur technischen Schaden zu verursachen, sondern Abläufe zu stören, Vertrauen zu schwächen und Druck auf Entscheidungen auszuüben.
Gleichzeitig werden digitale Abhängigkeiten von Plattformen, Dienstleistern oder Lieferketten selbst zum Risiko: Angriffe beginnen außerhalb der eigenen Organisation und können sich über Vertrauensbeziehungen und Schnittstellen schnell ausbreiten.
Handlungsfähig bleiben mit klaren Kontrollpunkten
Diese Gemengelange spiegelt sich auch in der Selbsteinschätzung vieler Organisationen wider: Nur sechs Prozent fühlen sich „sehr fähig“, Cyberangriffe über alle betrachteten Schwachstellen hinweg abzuwehren. Dabei gilt: Neben der Antizipation einzelner Szenarien braucht es vor allem wenige, wirkungsstarke Kontrollpunkte in der Verteidigung. Dazu gehört, Identitäten und Zugriffsrechte konsequent zu steuern und Vertrauensbeziehungen in Cloud- und SaaS-Umgebungen aktiv zu managen. Zusätzlichen benötigen exponierte Randsysteme besondere Aufmerksamkeit, weil dort die Übersicht über Assets, Konfigurationen und Zugriffe oft lückenhaft ist. Nicht zuletzt sollten Unternehmen im Blick behalten, wohin Daten abfließen und an welchen Stellen sich Berechtigungen ausweiten – etwa durch neue Adminrechte, zu weitreichende App-Freigaben oder kompromittierte Servicekonten in hybriden Umgebungen. So stärken Unternehmen ihre Handlungsfähigkeit im volatilen Umfeld.
Handlungsempfehlungen
- Zugriff und Identität
- Echtzeit-Erkennung und Reaktion
- Vorfälle und Ransomware
- Deepfakes und Zahlungen
- Lieferketten und Drittparteien
Zugriff und Identität
Zugriffsschutz konsequent durchsetzen: Jeder Zugriff wird kontinuierlich verifiziert – abhängig von Identität, Gerät und Kontext auch über Netzwerkgrenzen hinweg. Ergänzend sollten privilegierte Konten besonders geschützt und Berechtigungen regelmäßig bereinigt werden. So reduzieren Unternehmen die Wahrscheinlichkeit, dass „legitime“ Zugänge zum Einstieg in Ihr Unternehmen genutzt werden.
Echtzeit-Erkennung und Reaktion
Schnell handeln: Hinweise aus Identitäts-, Cloud-, Endgerät- und Netzwerkdaten müssen zusammengeführt werden, damit Muster sichtbar und Angriffe früh erkannt werden. Unternehmen müssen Standardmaßnahmen implementieren, die automatisiert greifen (z. B. Token entziehen, Sessions beenden, Konten sperren). Dabei gilt es, die Cloudsicherheit im Blick zu behalten, damit Fehlkonfigurationen und falsche Zugriffsrechte nicht unentdeckt bleiben.
Vorfälle und Ransomware
Den Ernstfall proben: Incident-Response-Pläne, Rollen, Eskalationswege und Krisenkommunikation sollten regelmäßig geübt werden und technisch umsetzbar sein. Sicherheitsverantwortliche sollten außerdem Ransomware-Gruppen und ihre typischen Vorgehensweisen beobachten, um Monitoring und Schutz gezielt zu verbessern.
Deepfakes und Zahlungen
Täuschungen wie Deepfakes oder Social Engineering zielen häufig auf Freigaben, Zahlungen und sensible Änderungen ab. Wer verbindliche Prüfregeln implementiert (z. B. Rückruf über bekannte Nummern oder Zwei-Faktor-Authentifizierung) und die zuständigen Personen schult, sorgt vor. Zudem gilt es, die digitale Exposition von Entscheider:innen zu reduzieren, damit Angreifer weniger Ansatzpunkte haben.
Lieferketten und Drittparteien
Aktuelle Bedrohungsinformationen zu nutzen, um Schutzmaßnahmen richtig zu priorisieren, verschafft Vorsprung. Unternehmen beziehen dabei auch Dienstleister und Lieferketten aktiv in Ihre Risikosteuerung ein (z. B. NIS-2-konform), um auf der sicheren Seite zu sein. Besondere Aufmerksamkeit braucht es im Recruiting, insbesondere bei Remote-Rollen. Und: Sicherheitslücken in exponierten und geschäftskritischen Systemen (z. B. SAP, Edge) sollten mit hoher Priorität geschlossen werden.
„Wer handlungsfähig bleiben will, muss Cyber Security als Resilienzprogramm verstehen. Das heißt, Identitäten konsequent abzusichern, das Vertrauen in Cloud-, SaaS- und Lieferkettenbeziehungen aktiv zu steuern und Incident Response so vorzubereiten, dass Entscheidungen und Eindämmungen nicht in Tagen, sondern Minuten umgesetzt werden.“
Moritz Anders,Partner, Cyber Security Leader bei PwC DeutschlandJetzt herunterladen
Annual Threat Dynamics 2026: Cyber threats in motion
Interesse geweckt?
Kontaktieren Sie uns
Die Methodik
Für den diesjährigen Bericht wurde eine Auswahl von Analysen aus dem Jahr 2025 gebündelt und anhand praktischer Erkenntnisse – etwa aus Incident-Response-Fällen im PwC-Netzwerk – validiert. Darüber hinaus basiert der Bericht auf Erfahrungen aus der Threat-Intelligence-Arbeit von PwC sowie dem kontinuierlichen Austausch mit Kunden, Stakeholdern und Expert:innen der Sicherheitsbranche.
Contact us
