Die weltweite Cyberrisiko-Lage hat sich leicht verbessert, doch die Bedrohung durch Ransomware nimmt weiter zu. Das zeigt der neue Cyber Risk Report 2026 von TrendAI, dem Enterprise-Cybersicherheitsbereich von Trend Micro. Demnach konnten Unternehmen ihre Sicherheitsmaßnahmen verbessern, gleichzeitig verzeichneten Cyberkriminelle deutlich mehr erfolgreiche Erpressungsangriffe.
Der sogenannte Cyber Risk Index (CRI) sank im Jahresdurchschnitt 2025 auf 35,8 Punkte. Im Jahr davor lag der Wert noch bei 38,5 Punkten. Damit befinden sich Unternehmen weltweit weiterhin im mittleren Risikobereich. Die Entwicklung verlief allerdings nicht konstant: Während der Index im Jänner 2025 noch bei 34,6 Punkten lag, stieg er im April auf 37,4 Punkte und fiel im Juli auf einen Tiefstand von 34,1 Punkten.
Der Bericht zeigt damit ein gemischtes Bild: Viele Unternehmen investieren stärker in ihre Sicherheitsarchitektur, gleichzeitig verändern Angreifer ihre Methoden und suchen gezielt nach neuen Schwachstellen.
Beim Vergleich verschiedener Branchen zeigt sich, dass die Risiken unterschiedlich verteilt sind. Den höchsten Cyber Risk Index erreichte 2025 erstmals der Bereich Bergbau mit 42,5 Punkten. Dahinter folgen das Gesundheitswesen und die Landwirtschaft mit jeweils 40,3 Punkten.
Auch Telekommunikationsunternehmen (39,9), Bildungseinrichtungen (39,8) sowie Behörden und öffentliche Einrichtungen (39,7) liegen über dem Durchschnitt. Besonders kritisch sind Branchen, die mit großen Datenmengen arbeiten oder auf komplexe digitale Infrastrukturen angewiesen sind.
Während große Unternehmen traditionell als attraktive Ziele für Cyberkriminelle gelten, rücken zunehmend kleinere Firmen in den Fokus. Unternehmen mit bis zu 100 Mitarbeitenden weisen zwar weiterhin das niedrigste Risiko aller untersuchten Gruppen auf, waren 2025 aber die einzige Größenklasse mit einem steigenden CRI.
Laut TrendAI deutet diese Entwicklung darauf hin, dass Angreifer kleinere Unternehmen zunehmend als Einstiegspunkt in größere Lieferketten betrachten. Gerade Zulieferer oder Dienstleister können dadurch zu einem schwachen Glied werden, über das Cyberkriminelle Zugang zu größeren Organisationen erhalten.
Zu den häufigsten Sicherheitsproblemen gehören weiterhin riskante Zugriffe auf Cloud-Anwendungen sowie veraltete Konten in Microsoft Entra ID. Besonders problematisch sind Benutzerkonten, bei denen keine Multi-Faktor-Authentifizierung (MFA) aktiviert wurde.
Neu in den fünf häufigsten Risikofaktoren sind Verstöße gegen Zero-Trust-Zugriffsregeln. Das zeigt laut Bericht, dass viele Unternehmen zwar Zero-Trust-Sicherheitsmodelle einführen, diese aber noch nicht konsequent überall umgesetzt werden.
Ein weiterer Schwerpunkt des Berichts liegt auf der neuen Funktion "Attack Path Prediction" der Plattform TrendAI Vision One. Diese analysiert nicht nur einzelne Schwachstellen, sondern zeigt mögliche Wege auf, über die Angreifer von einem ersten Zugriff bis zu wichtigen Daten oder Systemen gelangen können. Die Analyse zeigt, dass ungepatchte Sicherheitslücken mit mehr als 2,3 Millionen erkannten Angriffspfaden am häufigsten am Beginn kompletter Angriffsketten stehen.
Dahinter folgen sogenannte Password-Spraying- und Password-Guessing-Angriffe auf schlecht geschützte Konten mit zusammen mehr als zwei Millionen möglichen Angriffspfaden. Besonders häufig stehen Benutzerkonten am Ende solcher Angriffsketten. Laut Bericht wurden durchschnittlich rund 33.000 Konten pro Tag als mögliche Ziele identifiziert – fast doppelt so viele wie Endgeräte.
Während sich das allgemeine Cyberrisiko verbessert, bleibt Ransomware eine der größten Gefahren. Die Zahl bestätigter Opfer der zehn aktivsten Ransomware-Gruppen stieg 2025 laut den ausgewerteten Leak-Seiten von Cyberkriminellen um 236 Prozent auf insgesamt 5.096 Unternehmen. Besonders stark wuchs die Gruppe Qilin, die von TrendAI als "Agenda" erkannt wird. Sie stieg innerhalb eines Jahres vom zehnten auf den ersten Platz der aktivsten Ransomware-Gruppen. Die Zahl bestätigter Angriffe erhöhte sich auf 1.262 Fälle, ein Plus von 1.270 Prozent.
Auf Platz zwei folgt Akira mit 857 bestätigten Opfern. Gleichzeitig verändert sich die Szene stark: Gleich fünf neue Gruppen schafften es 2025 in die Top Ten, darunter INC Ransom, SafePay, Lynx, DragonForce und Sinobi. Früher dominante Gruppen wie LockBit verloren hingegen deutlich an Bedeutung. Für Unternehmen bedeutet diese Entwicklung eine Herausforderung: Sicherheitsstrategien, die sich nur an bekannten Angreifergruppen orientieren, können schnell veraltet sein. Entscheidend sei laut TrendAI vielmehr, grundlegende Schwachstellen zu reduzieren, unabhängig davon, welche Gruppe sie ausnutzt.
TrendAI empfiehlt Unternehmen, ihre Sicherheitsmaßnahmen stärker nach tatsächlichen Angriffsmöglichkeiten auszurichten. Sicherheitskonfigurationen sollten regelmäßig überprüft und angepasst werden, da bereits kleine Fehlkonfigurationen vorhandene Schutzmechanismen schwächen können. Besonders wichtig bleibt ein konsequentes Identitäts- und Zugriffsmanagement. Dazu gehören das Entfernen veralteter Konten, sichere Passwortrichtlinien und die flächendeckende Aktivierung von Multi-Faktor-Authentifizierung.
Auch bei Sicherheitslücken sollten Unternehmen nicht ausschließlich auf klassische Bewertungen wie den CVSS-Score achten. Selbst mittelmäßig eingestufte Schwachstellen können gefährlich werden, wenn sie gemeinsam mit anderen Lücken eine komplette Angriffskette ermöglichen.