Operation Endgame: Polizei zerschlägt Malware-Netzwerk, 41 Mio. Euro gefroren
25.06.2026 - 17:04:29 | boerse-global.de
Die Zahl der Erpressungsangriffe auf europäische Unternehmen und Behörden ist im ersten Quartal 2026 um über 55 Prozent gestiegen. Deutschland steht dabei ganz oben auf der Abschussliste der Cyberkriminellen.
Laut dem aktuellen „European Cyber Risk Report“ des Sicherheitsunternehmens Black Kite registrierten die Forscher zwischen Januar und April durchschnittlich 171 Vorfälle pro Monat – ein deutlicher Anstieg im Vergleich zum Vorjahreszeitraum. Die Angreifer konzentrieren sich zunehmend auf die größten Volkswirtschaften und die kritische Fertigungsinfrastruktur des Kontinents.
Fünf Länder im Visier – Deutschland führt die Statistik an
Die Angriffswelle konzentriert sich massiv auf fünf Nationen. Sie vereinen rund 70 Prozent aller Ransomware-Vorfälle in Europa auf sich. Deutschland ist mit 370 dokumentierten Angriffen das mit Abstand am stärksten betroffene Land – das entspricht 18 Prozent aller Attacken. Knapp dahinter folgt das Vereinigte Königreich mit 347 Vorfällen (17 Prozent), Frankreich mit 255 (12 Prozent), Italien mit 240 (12 Prozent) und Spanien mit 203 (10 Prozent).
Doch nicht nur die großen Wirtschaftsnationen sind betroffen. In einigen kleineren Ländern explodierten die Zahlen regelrecht: In der Türkei stiegen die Attacken um 433 Prozent, in Rumänien um 333 Prozent und in Polen um 217 Prozent im Vergleich zum Vorjahr.
Qilin, Akira und SafePay: Die gefährlichsten Banden
Als aktivste Gruppe identifizierten die Analysten Qilin – die Bande wird mit 372 Vorfällen in 26 Ländern in Verbindung gebracht. Auch Akira (159 Vorfälle) und SafePay (80 Attacken, fast ausschließlich auf deutsche Ziele) treiben ihr Unwesen. Die Zahl der aktiven Erpresserbanden ist rasant gestiegen: von 60 im Jahr 2023 auf mittlerweile 150.
Fertigungsindustrie im Fadenkreuz
Die Ransomware-Welle 2026 trifft Deutschland härter als jedes andere EU-Land – 370 Angriffe allein im ersten Quartal. Mit dem kostenlosen Sicherheits-Check prüfen Sie in 3 Minuten, ob Ihre IT-Infrastruktur gewappnet ist. Sicherheits-Check per E-Mail anfordern
Der wichtigste Sektor für die Erpresser bleibt das verarbeitende Gewerbe – rund 28 Prozent aller Angriffe zielen auf diese Branche. Auf Platz zwei folgen mit knapp 18 Prozent die Bereiche Wissenschaft, Technik und professionelle Dienstleistungen.
Besonders besorgniserregend ist die Lage im Gesundheitswesen. Experten des Hasso-Plattner-Instituts (HPI) berichten von extrem hohen Lösegeldforderungen gegenüber deutschen Kliniken – oft im sechsstelligen Euro-Bereich. Der Grund: Patientendaten sind besonders sensibel, die Zahlungsbereitschaft entsprechend hoch.
Die Folgen solcher Attacken sind verheerend. Ein aktueller Fall: Bei einem Angriff auf den Dienstleister Miljödata wurden mehr als 200 nachgelagerte Unternehmen infiziert, die Daten von über einer Million Menschen landeten in den Händen der Erpresser. In Rumänien mussten 100 Krankenhäuser komplett vom Netz gehen und auf Papierakten umstellen – die Einrichtungen weigerten sich, die geforderten 160.000 Euro Lösegeld zu zahlen.
„Operation Endgame“: Großangelegter Gegenschlag der Ermittler
Die internationale Staatengemeinschaft schlägt zurück. In der koordinierten Aktion „Operation Endgame“ gingen Polizeibehörden und private Partner massiv gegen die Infrastruktur der Cyberkriminellen vor. Im Fokus standen die Schadsoftware-Netzwerke SocGholish, Amadey und StealC – die „Fileßbänder der Cyberkriminalität“, wie Ermittler sie nennen.
Beteiligt waren Behörden aus Deutschland, den Niederlanden, Dänemark, Großbritannien, den USA und Kanada, unterstützt von Europol und Eurojust. Technische Hilfe kam von Microsoft sowie den Sicherheitsfirmen Bitdefender und ESET.
Qilin, Akira, SafePay – drei der aktivsten Erpresserbanden zielen gezielt auf deutsche Unternehmen. Der kostenlose Sicherheits-Check zeigt Ihnen, welche Schwachstellen Sie sofort schließen sollten. Checkliste sofort anfordern
Die Bilanz der Operation kann sich sehen lassen:
- 326 Command-and-Control-Server und 142 Domains wurden beschlagnahmt oder lahmgelegt
- 27 Millionen gestohlene Zugangsdaten von ĂĽber 385.000 Opfern wurden sichergestellt
- Knapp 15.000 kompromittierte Websites wurden bereinigt
- Rund 41 Millionen Euro in Kryptowährungen wurden identifiziert und eingefroren
Die Dimension der Bedrohung wird an den Zahlen vor der Zerschlagung deutlich: Allein in den ersten zwei Mai-Wochen 2025 waren Amadey und StealC mit mehr als 140.000 infizierten Computern verbunden. Microsoft nutzte in einem beispiellosen Schritt US-RICO-Gesetze, um gleich mehrere Malware-Infrastrukturen anzugreifen und die Verbindung zu 18.000 infizierten Geräten zu kappen.
