Cyber-Security 2025: Die gefährlichsten Hacker-Gruppen, aktuelle Statistiken und Schutzmaßnahmen

Cyberkriminalität im Jahr 2025

Ransomware ist 2025 an einem Punkt, an dem sie in fast der Hälfte aller Sicherheitsvorfälle eine Rolle spielt, und die Anzahl der betroffenen Organisationen steigt weiter deutlich an. Parallel dazu professionalisieren sich staatlich unterstützte Angreifer, die Cyberoperationen für Spionage, Sabotage und politische Einflussnahme nutzen. Dieser Artikel zeigt, welche Gruppen aktuell besonders gefährlich sind, wie sich die Bedrohung in Zahlen ausdrückt und welche Schlüsse Unternehmen daraus ziehen sollten.

Aktuelle Bedrohungsakteure 2025

Ransomware-Ökosystem: LockBit, RansomHub, Akira, Qilin & Co.

Mehrere Analysen zu 2025 identifizieren RansomHub, LockBit, Medusa und Play als besonders aktive Ransomware-Gruppen, die zusammen für Dutzende bestätigte Angriffe verantwortlich sind. LockBit, RansomHub, Akira und Qilin werden zudem als zentrale Player innerhalb eines hochdynamischen Ransomware-as-a-Service‑Ökosystems beschrieben, das Affiliates weltweit mit fertigen Angriffswerkzeugen versorgt.

LockBit: Weiterhin eines der dominierenden RaaS‑Programme mit schneller Verschlüsselung, aggressiver Erpressung und einer breiten Opferbasis über Branchen und Länder hinweg.
RansomHub: Stark wachsender Akteur, der nach dem Zerfall anderer Gruppen Affiliates übernimmt und durch Re‑Erpressung früherer Opfer auffällt.
Akira: Setzt auf Windows- und Linux‑Ziele, fokussiert mittelständische Unternehmen und nutzt oft kompromittierte VPN‑ oder Remote‑Zugänge.
Qilin (Agenda): Besonders aktiv im Gesundheitssektor und bei kritischen Infrastrukturen, mit großen Datenlecks und massiven Auswirkungen auf die Versorgung.

Staatliche APTs: Lazarus, APT29 & APT41

Staatlich unterstützte Gruppen wie Lazarus (Nordkorea), APT29 (Russland) oder APT41 (China) bleiben 2025 zentrale Akteure, die Cyberspionage und teilweise finanzielle Kriminalität miteinander verbinden. Sie zielen auf Ministerien, Rüstungsunternehmen, Technologieanbieter und kritische Infrastrukturen und nutzen dabei Zero‑Days, Supply‑Chain‑Angriffe und Cloud‑Missbrauch.

Lazarus Group: Nutzt Cyberangriffe, um Devisen zu beschaffen (Bank- und Krypto‑Diebstähle) und gleichzeitig militärische sowie technologische Informationen zu stehlen.
APT29 (Cozy Bear): Fokussiert auf diplomatische und politische Ziele, infiltriert E‑Mail‑ und Cloud‑Umgebungen von Behörden und Think Tanks.
APT41: Verschwimmt die Grenzen zwischen klassischer Spionage und krimineller Monetarisierung und gefährdet damit Technologie‑, Gesundheits‑ und öffentliche Sektoren.

Supergruppen und Datendiebe: Scattered Spider, Scattered LAPSUS$ Hunters, ShinyHunters

Scattered Spider (UNC3944) gilt 2025 als kriminelle Gruppe mit APT‑ähnlichen Fähigkeiten, die vor allem auf Social Engineering, SIM‑Swapping und Identitätsdiebstahl setzt. Diese Fähigkeiten werden zunehmend mit Ransomware‑Partnern kombiniert, um nach erfolgreicher Initialkompromittierung maximalen finanziellen Schaden anzurichten.
Scattered LAPSUS$ Hunters wird 2025 als föderierte „Supergruppe“ beschrieben, die Elemente von Scattered Spider, LAPSUS$ und ShinyHunters vereint. Sie kompromittiert Support‑ und SaaS‑Plattformen, exfiltriert große Datenmengen und betreibt professionelle Leak‑Infrastruktur zur Erpressung.
ShinyHunters selbst ist als Datendiebstahl‑Akteur bekannt, der Zugangsdaten, interne Repositories und Kundendaten in großem Stil erbeutet und verkauft oder leakt. Solche Gruppen sind gefährlich, weil sie keine Verschlüsselung benötigen: Schon der reine Datenabfluss erzeugt massiven Reputations‑ und Compliance‑Schaden.

Zahlen und Statistiken zu Cybercrime 2025

Aktuelle Auswertungen zeigen, dass von Januar bis September 2025 weltweit 4.701 bestätigte Ransomware‑Incidents registriert wurden – ein Anstieg um rund ein Drittel gegenüber dem Vorjahreszeitraum. Ein Monitoring‑Dienst meldet bis November 2025 sogar 6.903 beobachtete Ransomware‑Opfer, verteilt auf knapp 300 verschiedene Gruppen, was die Fragmentierung und Professionalisierung des Ökosystems verdeutlicht.

Der Anteil von Ransomware an Sicherheitsvorfällen ist hoch: In einigen Analysen taucht sie bei bis zu 44% der erfassten Datenpannen auf, und ein Großteil dieser Angriffe beinhaltet Datendiebstahl. Schätzungen sprechen von über drei Vierteln der Ransomware‑Fälle, in denen Daten vor der Verschlüsselung exfiltriert werden – damit verschwimmen die Grenzen zwischen klassischer Ransomware und „Data Breach“.

Auch die Auswirkungen im Gesundheitssektor sind eindrücklich: Ein Branchenreport sieht 2025 einen starken Anstieg der Angriffe auf Gesundheitsdienstleister und ihre Dienstleister, mit Millionen betroffener Patientendatensätze und Qilin, Akira, RansomHub und anderen als besonders aktiven Familien. Gleichzeitig zeigen Kostenstudien, dass die durchschnittlichen Kosten einer Datenpanne weiter ansteigen, insbesondere durch Ausfallzeiten, Rechtskosten und langfristige Reputationsschäden.

Kategorie	Kennzahl 2025 (Auswahl)
Bestätigte Ransomwarefälle	4.701 Vorfälle Jan–Sep 2025
Beobachtete Ransomware-Opfer	6.903 Opfer bis November 2025
Anteil Ransomware an Breaches	Ransomware in bis zu 44% der Verstöße
Häufige Gruppen	RansomHub, LockBit, Medusa, Play, Qilin, Akira u.a.
Dominante Sektoren	Industrie, Finanzwesen, Regierung, Gesundheitswesen

Warum diese Gruppen so gefährlich sind

Diese Akteure kombinieren technische Exzellenz (Zero‑Days, Cloud‑Exploits, Linux‑Ransomware) mit professioneller Organisation (RaaS‑Modelle, Affiliate‑Netzwerke, Support‑Strukturen). Ransomware ist inzwischen häufig Triple‑Extortion: Daten werden gestohlen, verschlüsselt und anschließend auch Kunden oder Partner direkt kontaktiert, um den Druck zu erhöhen.

Hinzu kommt, dass viele Angriffe über Phishing, Social Engineering oder kompromittierte Dienstleister laufen, was klassische Perimeter‑Sicherheit unterläuft. Staatliche APTs wiederum arbeiten langfristig und unauffällig, wodurch sie über Jahre hinweg sensible Daten absaugen und kritische Systeme vorbereiten können.

Schutzmaßnahmen für Unternehmen

Unter den häufigsten Einfallstoren dominieren ausgenutzte Schwachstellen, gestohlene Zugangsdaten und unsichere E‑Mail‑Kommunikation. Entsprechend sollten Unternehmen 2025 vor allem auf drei Schwerpunkte setzen:

Identität & Zugriff: Konsequent MFA, starke Passwortrichtlinien, privilegierte Konten absichern, Zero‑Trust‑Ansatz.
Angriffsfläche reduzieren: Systematische Patch‑Prozesse, Härtung von VPN/Remote‑Zugängen, Segmentierung und Schutz von Backups.
Resilienz & Reaktion: Geprüfte Notfallpläne, regelmäßige Restore‑Tests, Schulungen gegen Phishing sowie Monitoring und Incident‑Response‑Prozesse.

Identität & Zugriff: Konsequent MFA, starke Passwortrichtlinien, privilegierte Konten absichern, Zero‑Trust‑Ansatz.
Angriffsfläche reduzieren: Systematische Patch‑Prozesse, Härtung von VPN/Remote‑Zugängen, Segmentierung und Schutz von Backups.
Resilienz & Reaktion: Geprüfte Notfallpläne, regelmäßige Restore‑Tests, Schulungen gegen Phishing sowie Monitoring und Incident‑Response‑Prozesse.

Fazit: Cyber-Security 2025 – vom Ausnahmefall zur Planungsgröße

Die Zahlen für 2025 zeigen deutlich, dass Cyberangriffe – insbesondere Ransomware und Datendiebstahl – kein Ausnahmefall mehr sind, sondern ein kalkulierbares, wiederkehrendes Geschäftsmodell für Kriminelle und ein geopolitisches Werkzeug für Staaten. Wer Cyber-Security weiterhin nur als „IT‑Thema“ betrachtet, unterschätzt das Risiko: Es geht um Betriebsfähigkeit, Rechtskonformität, Reputation und im Gesundheitswesen sogar um Menschenleben. Unternehmen, Verwaltungen und Einrichtungen, die jetzt in Resilienz, Zero‑Trust‑Architekturen und Krisenfähigkeit investieren, verschaffen sich 2025 und darüber hinaus einen entscheidenden Risiko‑ und Wettbewerbsvorteil.

Weitere Infos & Links

Hier gibt es weiterführende Informationen und Statistiken: