Anteil reiner Daten-Exfiltrationsfälle steigt um das Elffache
24. Februar 2026
Einen starken Anstieg von Datenexfiltration ohne Verschlüsselung, anhaltenden Ransomware-Druck auf die Industrie und wachsende Angriffe über Remote-Zugänge verdeutlicht der Arctic Wolf Threat Report.
Die Analyse hunderter realer Incident-Response-Fälle aus 2025 im Rahmen des jährlichen Arctic Wolf Threat Reports zeigt: Während Ransomware weiterhin dominiert, verschiebt sich das Geschäftsmodell der Angreifer deutlich in Richtung reiner Datenexfiltration. Besonders betroffen sind Unternehmen in Westeuropa – darunter Deutschland als führender Industriestandort.
Im Jahr 2025 machten Ransomware, Business E-Mail Compromise (BEC) und Data Incidents 92 Prozent aller untersuchten Incident-Response-Fälle aus. Auffällig ist dabei der massive Anstieg von Vorfällen ohne Verschlüsselung: Reine Datenerpressung stieg global von zwei auf 22 Prozent der Fälle – ein elffacher Zuwachs innerhalb eines Jahres. Gleichzeitig erfolgen 65 Prozent der untersuchten Nicht-BEC-Angriffe über den Missbrauch legitimer Remote-Zugänge wie VPN, RDP oder RMM-Tools statt über komplexe Exploits, was zeigt, dass Angreifer bewusst auf einfache Einfallstore abzielen.
Angreifer setzen zunehmend auf Effizienz – sie melden sich an, statt einzubrechen, stehlen Daten, statt sie zu verschlüsseln, und missbrauchen vertraute Tools, statt komplexe Schwachstellen auszunutzen. Unternehmen, die Transparenz über ihre IT-Umgebungen geschaffen und Remote-Zugänge konsequent abgesichert haben, waren deutlich widerstandsfähiger.
Deutschland: Industrie, Mittelstand und Regulierung erhöhen den Erpressungshebel
Die ergänzende EMEA-Auswertung des Reports zeigt eine hohe Konzentration von Ransomware-Aktivität in Westeuropa. Frankreich, Deutschland und das Vereinigte Königreich führen die Opferstatistiken an. Für Deutschland lässt der Report eine klare Häufung von Leak-Site-Veröffentlichungen in Bau- und Finanzwirtschaft, IT-Services und Großhandel erkennen, wobei insbesondere kleine und mittelständische Unternehmen betroffen sind.
Zugleich verstärken regulatorische Anforderungen wie die DSGVO den Druck auf betroffene Unternehmen. Laut Report erhöhen Offenlegungspflichten in Europa die Wahrscheinlichkeit, dass Vorfälle öffentlich auf Leak-Sites erscheinen. Für deutsche Unternehmen entsteht dadurch ein zusätzlicher Erpressungshebel, da Reputations- und Compliance-Risiken unmittelbar wirksam werden.
Speziell in Deutschland wird deutlich, dass regulatorische Anforderungen und öffentliche Offenlegungspflichten den Druck im Ernstfall massiv erhöhen. Unternehmen sollten deshalb nicht nur in Prävention investieren, sondern insbesondere ihre Remote-Zugänge konsequent absichern, Datenabflüsse frühzeitig erkennen und Incident-Response-Prozesse regelmäßig testen. Resilienz entscheidet heute darüber, ob ein Angriff zur existenziellen Krise wird oder beherrschbar bleibt.
Als Industriestandort mit komplexen Lieferketten und hoher digitaler Vernetzung bleibt Deutschland ein attraktives Ziel. Besonders Fertigungsunternehmen geraten unter hohen Zeitdruck, da Betriebsunterbrechungen unmittelbar wirtschaftliche Folgen haben.
Christopher Fielder ist CTO bei Arctic Wolf.
