Rückgang bei Cyberangriffen trotz hoher Bedrohung

Check Point Research (CPR), die Sicherheitsforschungsabteilung von Check Point® Software Technologies Ltd. einem Pionier und weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat in seinem Monthly Cyber Threat Report für März 2026 erstmals seit langem einen grossflächigen Rückgang der Cyberangriffe beobachtet. Global waren Unternehmen durchschnittlich 1995 Cyber-Angriffe pro Woche ausgesetzt, fünf Prozent weniger als im Vorjahreszeitraum.

In der DACH-Region spiegelt sich dieser Trend verstärkt wider: In der Schweiz wurde der grösste Rückgang festgestellt, 21 Prozent weniger, aber dennoch immer noch 1118 Angriffe pro Woche. Doch auch in Deutschland und Österreich sanken die Zahlen um zwölf Prozent (1208) und um neun Prozent (1718) weniger (siehe Abbildung 1).

Marco Pierro, Country Manager Schweiz bei Check Point ordnet die Zahlen wie folgt ein: «Trotz der niedrigeren Zahlen liegt das Angriffsvolumen weiterhin auf historisch hohem Niveau. Wir sehen aber agressive Ransomware-Banden, die das Potential der KI erkannt haben. Der Rückgang deutet daher eher auf eine kurzfristige Stabilisierung der Bedrohungslage hin.»

Lagebericht für die Schweiz nach Sektoren

Hierzulande waren die folgenden Sektoren am meisten von Cyber-Angriffen betroffen:

1. Öffentliche Verwaltung
2. Einzelhandel und Handel
3. Telekommunikation

Cyber-Angriffe nach Regionen und Sektoren (global)

Das Bildungswesen blieb im März 2026 weltweit mit durchschnittlich 4632 Angriffen pro Organisation und Woche die am stärksten betroffene Branche, trotz eines Rückgangs von sechs Prozent gegenüber dem Vorjahr. Die grosse Nutzeranzahl, verteilte Zugangspunkte und begrenzte Sicherheitsressourcen machen Bildungseinrichtungen weiterhin zu bevorzugten Zielen.

An zweiter Stelle lagen öffentliche Einrichtungen und Behörden mit 2582 Angriffen pro Organisation und Woche – ein Rückgang um zwölf Prozent. Trotz der rücklaufenden Zahlen bleiben staatliche Einrichtungen aufgrund kritischer Infrastrukturen und sensibler Daten ein ständiges Ziel. Die Telekommunikationsbranche folgte dicht dahinter mit 2554 Angriffen (minus zehn Prozent), da Angreifer weiterhin die Abhängigkeit von Konnektivität und Lieferketten-Risiken ausnutzen.

Bemerkenswert war der sprunghafte Anstieg im Sektor Gastgewerbe, Tourismus und Freizeit um 30 Prozent im Jahresvergleich. Der Beginn der Frühjahrs- und Sommerreisezeit vergrössert die Angriffsfläche durch mehr Transaktionen, stärkere Abhängigkeit von Drittanbietern und eine schnellere operative Taktung. Das schafft Bedingungen, die Cyber-Kriminelle gezielt ausnutzen.

Regional betrachtet zeichnet sich ein breiter Rückgang ab, der jedoch ungleichmässig verteilt ist. Europa mit 1647 (minus sieben Prozent) und Nordamerika mit 1384 Angriffen (minus acht Prozent) verzeichneten moderate Rückgänge, bewegen sich aber weiterhin auf erheblichem Niveau. Lateinamerika verzeichnete mit 3054 Angriffen und einem Anstieg von neun Prozent als einzige Region einen Zuwachs und bleibt damit ein wachsender Brennpunkt. Die APAC-Region folgte mit 3026 Angriffen (minus vier Prozent), während Afrika mit 2722 Angriffen den stärksten Rückgang aller Regionen verzeichnete (minus 22 Prozent).

GenAI-Nutzung verschärft Risiken trotz rückläufiger Angriffszahlen

Trotz des Rückgangs des Angriffsvolumens nehmen Risiken in Verbindung mit GenAI in Unternehmen weiter zu. Die zunehmende Implementierung generativer KI in den Arbeitsalltag verstärkt das Risiko von Datenabflüssen:

• Jeder 28. GenAI-Prompt riskierte die Preisgabe sensibler Daten.
• 91 Prozent der Unternehmen, die regelmässig GenAI-Tools verwenden, waren von diesem Risiko betroffen.
• Weitere 17 Prozent der Prompts enthielten potenziell sensible Informationen.
• Unternehmen nutzten durchschnittlich neun verschiedene GenAI-Tools, was auf fragmentierte Adaptierung hindeutet.
• Der durchschnittliche Unternehmensnutzer generierte 78 GenAI-Prompts pro Monat – ein kontinuierlich wachsender Datenstrom.

Während die GenAI-Nutzung also weiter zunahm, stieg der Anteil risikoreicher Interaktionen gegenüber Februar. Dies unterstreicht die anhaltenden Lücken in Governance und Transparenz. Ohne zentralisierte Kontrollen bleiben Unternehmen anfällig für Passwortlecks, Offenlegung proprietärer Daten, unbeabsichtigte Weitergabe interner Dokumente und verstärkte Risiken in der Lieferkette.

Ransomware nimmt erneut Fahrt auf – Anstieg um sieben Prozent gegenüber dem Vormonat

Im März 2026 wurden 672 Ransomware-Angriffe* öffentlich gemeldet. Obwohl dies einem Rückgang von acht Prozent gegenüber März 2025 entspricht, stieg die Zahl gegenüber dem Vormonat Februar um sieben Prozent. Nach der kurzfristig beruhigten Lage zu Jahresbeginn nehmen die Operationen offenkundig wieder Fahrt auf.

Nordamerika war mit 55 Prozent der gemeldeten Vorfälle die am stärksten betroffene Region, gefolgt von Europa mit 24 Prozent und dem asiatisch-pazifischen Raum mit zwölf Prozent. Bemerkenswert: Der Anteil Europas stieg gegenüber dem Februar (17 Prozent) deutlich an, was auf eine Verlagerung in Richtung hochwertiger Ziele innerhalb der EU hindeutet.

Die USA blieben mit 52 Prozent der gemeldeten Ransomware-Opfer das am stärksten betroffene Land. Deutschland lag mit fünf Prozent auf Platz zwei, gefolgt von Frankreich und Großbritannien (je vier Prozent). Nach Branchen waren Unternehmensdienstleistungen mit 35 Prozent am stärksten betroffen, gefolgt von Konsumgütern und Dienstleistungen (14 Prozent) sowie industrieller Fertigung (13 Prozent).

*Anmerkung: Diese Erkenntnisse stammen von sogenannten Ransomware-Shame Sites, die von Erpressergruppen genutzt werden, um ihre Opfer öffentlich aufzulisten. Diese Angaben sind zwar von Natur aus selektiv, bieten jedoch einen wertvollen Einblick in das Ausmass, die Verbreitung und die sich entwickelnden Taktiken des Ransomware-Ökosystems.

Die aktivsten Ransomware-Gruppen im März 2026

Die Ransomware-Aktivität wurde im März von einer kleinen Gruppe hochprofessioneller Akteure angeführt. Während die drei führenden Gruppen für 40 Prozent aller gemeldeten Vorfälle verantwortlich waren, griffen insgesamt 47 verschiedene Ransomware-Gruppen weltweit öffentlich Organisationen an.

1. Qilin führte mit 20 Prozent der veröffentlichten Angriffe. Die seit 2022 bestehende Ransomware-as-a-Service-Gruppe (RaaS) betreibt ein ausgereiftes Partnernetzwerk mit Rust-basierten Verschlüsselungsprogrammen.
2. Akira, verantwortlich für zwölf Prozent der Angriffe, zielte weiterhin auf Windows-, Linux- und ESXi-Umgebungen ab. Die Gruppe konzentriert sich zunehmend auf Unternehmensdienstleistungen und industrielle Fertigung.
3. DragonForce belegte mit acht Prozent der Angriffe den dritten Platz. Die RaaS-Gruppe operiert nach einem Kartellmodell, das Affiliates ermöglicht, unter eigenen Marken auf einer gemeinsamen Infrastruktur zu arbeiten.

Fazit

Patrick Fetter, Lead Sales Engineer & Cyber Security Evangelist, kommentiert den Bericht: «Ob im DACH-Raum oder global: Das gesunkene Angriffsvolumen im März mag wie eine willkommene Verschnaufpause wirken. Doch die Angreifer haben keineswegs nachgelassen – sie haben lediglich die Strategie geändert. Während GenAI zum alltäglichen Werkzeug am Arbeitsplatz wird, behalten Ransomware-Gruppen ihr operatives Tempo bei. Unternehmen müssen für eine Zukunft planen, in der Risiken kontinuierlich, schnelllebig und zunehmend durch Automatisierung geprägt sind. Die widerstandsfähigsten Organisationen werden diejenigen sein, die Prävention als ganzheitlichen Ansatz verstehen. Das Credo sollte sein, die eigene Angriffsfläche zu reduzieren, Governance durchzusetzen und KI-gestützte Schutzmassnahmen zu implementieren, die Bedrohungen stoppen, bevor sie sich ausbreiten können.»