Ransomware konzentriert sich: 10 Gruppen kontrollieren 71% der Angriffe im Q1 2026

Im ersten Quartal 2026 wurden 2.122 Organisationen auf Ransomware-Leak-Webseiten gelistet – die zweitgrößte Gesamtzahl im Q1 der Geschichte, gemäß dem Bericht State of Ransomware Q1 2026 von Check Point Research. Die Daten offenbaren eine strukturelle Veränderung im kriminellen Ökosystem mit direkten Auswirkungen auf die Sicherheitsstrategie von Unternehmen.

Die Hauptveränderung liegt nicht im Volumen – sondern in der Konzentration. Die zehn wichtigsten Ransomware-Gruppen waren für 71% aller Opfer im Quartal verantwortlich, eine deutliche Umkehr im Vergleich zum fragmentierten Ökosystem, das 2025 dominierte. Weniger Gruppen, die mehr Angriffe kontrollieren, führen zu komplexeren Operationen, höheren Lösegeldforderungen und geringeren Verhandlungsspielräumen für die Opfer.

Die vier Gruppen, die die Szene dominieren

Vier kriminelle Organisationen konzentrierten sich auf 41% aller Opfer des Quartals: Qilin, Akira, The Gentlemen und LockBit.

Qilin hielt die Position der produktivsten Gruppe im dritten Quartal in Folge mit 338 bestätigten Opfern. LockBit verzeichnete eine bemerkenswerte Wiederbelebung mit 163 Opfern – was Resilienz nach erheblichen Störungen durch Behörden im Jahr 2024 zeigt.

Der faszinierendste Fall ist der von The Gentlemen, einer neu entstandenen Gruppe, die schnell auf den dritten Platz weltweit aufstieg. Im Gegensatz zu opportunistischen Gruppen operieren sie aus vorab kompromittierten Zugängen und führen Angriffe in großem Maßstab mit ungewöhnlicher Geschwindigkeit aus. Die Methodik "Zugang zuerst, Angriff danach" stellt die Reifung des Ransomware-as-a-Service-Ökosystems dar.

Der dominierende Vektor: kompromittierte Dritte

Im April 2026 wurde jeder schwerwiegende Vorfall, den die Forscher verfolgt haben, einem kompromittierten Dritten zugeschrieben – einem Lieferanten, einem BPO-Dienstleister oder einer über OAuth verbundenen Anwendung. Die Angriffsfläche hat sich vom Unternehmensperimeter zur digitalen Lieferkette verlagert.

Die häufigsten anfänglichen Zugangsmethoden sind: Missbrauch von Anmeldedaten (22%) und Ausnutzung von Schwachstellen (20%). Die globalen Durchschnittskosten eines Datenvorfalls erreichten 4,44 Millionen US-Dollar, bei einem durchschnittlichen Zyklus von 241 Tagen zwischen Kompromittierung und Eindämmung.

Geografische und sektorale Konzentration

Die Vereinigten Staaten bleiben das Hauptziel, mit 49,6% der Opfer. LockBit diversifizierte geografisch in Europa und Lateinamerika, um die Exposition gegenüber der Kontrolle westlicher Behörden zu verringern.

Sektoraler Natur sind der Maschinenbau, das Gesundheitswesen und unternehmerische Dienstleistungen weiterhin die am stärksten betroffenen – eine Kombination aus operativer Komplexität, Sensibilität für Ausfallzeiten und wenig resilienten Altinfrastrukturen.

Was sich an der defensiven Strategie ändert

Die Machtkonzentration unter den anspruchsvolleren Gruppen erfordert eine Überprüfung des defensiven Ansatzes. Drei praktische Implikationen:

Management von Dritten als kritische Grenze: Das Risiko befindet sich nicht mehr nur innerhalb der Organisation. Sicherheitsprogramme für Lieferanten, Überprüfungen von OAuth und das Monitoring von BPOs müssen erstklassige Kontrollen sein.

Zero Trust als betriebliches Imperativ: Die Methodik des vorab kompromittierten Zugangs moderner Gruppen geht davon aus, dass der Angreifer bereits im Netzwerk ist. Zero-Trust-Architekturen, die die seitliche Bewegung einschränken, sind die angemessene strukturelle Antwort.

Reaktionsgeschwindigkeit statt absoluter Prävention: Mit schnelleren Angriffszyklen verschiebt sich das Ziel von "nicht kompromittiert zu werden" zu "erkennen und eindämmen vor der Exfiltration". Eine durchschnittliche Erkennungszeit von unter 48 Stunden ist der neue wettbewerbsfähige Maßstab in der Sicherheit.

Der Bericht des WEF (Global Cybersecurity Outlook 2026) kommt zu dem Schluss, dass das Cyberrisiko im Jahr 2026 durch drei gleichzeitige Kräfte beschleunigt wird: Fortschritte in der KI, die von Angreifern genutzt werden, geopolitische Fragmentierung, die die Zusammenarbeit zwischen den Ländern verringert, und die zunehmende Komplexität der digitalen Lieferketten. Organisationen, die ihre Sicherheitsstrategie auf der Grundlage dieser neuen Realität nicht überarbeiten, operieren mit einem veralteten Bedrohungsmodell.