Sommerferien sind Hochsaison für Ransomware – warum Unternehmen jetzt besonders wachsam sein sollten
Während viele Unternehmen in den Sommerferien personell auf Sparflamme laufen, scheinen Cyberkriminelle keine Pause einzulegen. Im Gegenteil: Ein Blick auf die aktuellen Veröffentlichungen der Ransomware-Leakseiten zeigt, dass die Aktivität weiterhin hoch ist. In unserem Ransomware-Monitor wurden am 10. Juli 2026 innerhalb weniger Stunden mehr als 50 neue Opfer auf den Leakseiten verschiedener Ransomware-Gruppen veröffentlicht. Besonders aktiv waren die Gruppen The Gentlemen, Deadlock, Qilin und LockBit5, die ihre Opfer in mehreren Veröffentlichungswellen online stellten.
Inhalt
Viele Veröffentlichungen bedeuten nicht viele Angriffe an einem Tag
Diese hohe Zahl sollte jedoch nicht falsch interpretiert werden. Die Veröffentlichung eines Unternehmens auf einer Leaksite ist in den meisten Fällen nicht der Zeitpunkt des eigentlichen Angriffs. Zwischen der ersten Kompromittierung und der öffentlichen Nennung liegen häufig mehrere Wochen oder sogar Monate.
Der typische Ablauf sieht so aus:
- Angreifer verschaffen sich Zugang zum Unternehmensnetzwerk.
- Sie bewegen sich seitlich im Netzwerk und erhöhen ihre Berechtigungen.
- Sensible Daten werden exfiltriert.
- Anschließend folgt die Erpressung.
- Erst wenn keine Einigung erzielt wird oder keine Zahlung erfolgt, veröffentlichen die Täter das Unternehmen auf ihrer Leaksite.
Die Veröffentlichungen vom 10. Juli zeigen daher vor allem eines: Mehrere Ransomware-Gruppen haben ihre Leakseiten nahezu zeitgleich aktualisiert und abgeschlossene Erpressungsfälle veröffentlicht.
Auffällig: Mehrere Gruppen veröffentlichten komplette Opferlisten
Ein interessantes Detail sind die Zeitstempel. Innerhalb weniger Sekunden erschienen jeweils zahlreiche neue Einträge:
- LockBit5 veröffentlichte zehn neue Opfer in weniger als zehn Sekunden.
- The Gentlemen stellte innerhalb weniger Minuten sechzehn Unternehmen online.
- Deadlock veröffentlichte zwölf neue Opfer nahezu im Sekundentakt.
- Qilin ergänzte sieben weitere Unternehmen in einer kurzen Veröffentlichungsserie.
Dieses Muster spricht für automatisierte Batch-Veröffentlichungen und zeigt, dass viele Gruppen ihre Leakseiten regelmäßig in größeren Paketen aktualisieren.
Analyse der Ransomware-Aktivitäten am 10. Juli 2026
51 neue Leaksite-Einträge innerhalb eines Tages
Veröffentlichungen im Überblick:
| Gruppe | Veröffentlichungen |
|---|---|
| The Gentlemen | 16 |
| Deadlock | 12 |
| LockBit5 | 10 |
| Qilin | 7 |
| Gunra | 3 |
| Interlock | 1 |
| Payload | 1 |
| Akira | 1 |
| Blackwater | 1 |
Internationale Zielauswahl
Am selben Tag finden sich Ziele aus vielen Ländern:
- Deutschland (INTERNET AG)
- Griechenland (BDO Greece)
- Spanien
- Italien
- Mexiko
- Türkei (HİDROMEK)
- Kenia (KeNHA)
- Frankreich
- USA
- Kanada
- Philippinen
- Argentinien
- usw.
Keine erkennbare geografische Fokussierung.
Branchenfokus
Vertreten sind u.a.
- Bauunternehmen
- Hotels
- Immobilien
- Versicherungen
- Maschinenbau
- Medizin
- Rechtsanwälte
- Kommunen
- Behörden
- Energie
- Großhandel
- IT
Also keine Konzentration auf einen einzelnen Wirtschaftszweig.
Sommerferien schaffen günstige Bedingungen für Angreifer
Dass diese Veröffentlichungen mitten in der Ferienzeit erfolgen, ist kein Zufall. In vielen Unternehmen sind jetzt:
- Administratoren im Urlaub,
- IT-Teams kleiner besetzt,
- Sicherheitsverantwortliche nur eingeschränkt erreichbar,
- Vertretungen noch nicht vollständig eingearbeitet.
Diese Situation verlängert häufig die Zeit bis zur Erkennung eines Angriffs. Für Ransomware-Gruppen ist genau das attraktiv. Je länger sich ein Angreifer unbemerkt im Netzwerk bewegen kann, desto größer sind die Chancen, kritische Systeme zu kompromittieren, Daten zu stehlen und schließlich die Verschlüsselung vorzubereiten.
Die eigentliche Gefahr liegt vor der Veröffentlichung
Leakseiten sorgen regelmäßig für Aufmerksamkeit. Für betroffene Unternehmen beginnt der kritische Teil jedoch deutlich früher. Der größte Schaden entsteht meist bereits während der unbemerkten Phase eines Angriffs:
- Daten werden kopiert.
- Administratorrechte werden ausgebaut.
- Sicherheitsmechanismen werden deaktiviert.
- Backups werden gesucht oder manipuliert.
- Weitere Systeme werden kompromittiert.
Ist das Unternehmen schließlich auf einer Leaksite zu finden, ist der eigentliche Sicherheitsvorfall häufig bereits abgeschlossen. In der nachfolgenden Galerie kannst du dir aktuelle Leaksites ansehen:





Worauf Unternehmen jetzt besonders achten sollten
Die Sommerferien sind ein guter Zeitpunkt, die eigene Cyber-Resilienz zu überprüfen.
1. Sicherstellen, dass Sicherheitsüberwachung durchgängig funktioniert
Ein SIEM oder EDR hilft nur, wenn Alarme auch tatsächlich bewertet werden. Rufbereitschaften und Vertretungen sollten klar geregelt sein.
2. Exponierte Systeme aktuell halten
VPN-Gateways, Firewalls, Remote-Desktop-Zugänge und andere öffentlich erreichbare Systeme gehören weiterhin zu den bevorzugten Einstiegspunkten vieler Ransomware-Gruppen.
3. Privilegierte Konten überprüfen
Administratorkonten sollten regelmäßig kontrolliert und konsequent mit Multifaktor-Authentifizierung abgesichert werden.
4. Backups nicht nur erstellen, sondern testen
Ein funktionierendes Backup zeigt sich erst bei einer erfolgreichen Wiederherstellung. Restore-Tests sollten fester Bestandteil der Sicherheitsstrategie sein.
5. Anomalien ernst nehmen
Ungewöhnliche Anmeldungen, neue Administratoren, erhöhte Datenübertragungen oder Änderungen an Sicherheitsrichtlinien verdienen eine zeitnahe Untersuchung.
Checkliste für Unternehmen während der Urlaubszeit
- ☐ Ist die Sicherheitsüberwachung (SOC, SIEM oder EDR) auch während der Urlaubszeit rund um die Uhr besetzt?
- ☐ Gibt es Vertretungen für IT-Administratoren und Incident-Response-Verantwortliche?
- ☐ Sind VPN-, Firewall- und Remote-Zugänge vollständig gepatcht und mit Multifaktor-Authentifizierung abgesichert?
- ☐ Wurden Backups in den vergangenen Wochen erfolgreich getestet?
- ☐ Sind Notfallkontakte aktuell und jederzeit erreichbar?
- ☐ Werden Warnmeldungen auch außerhalb der Geschäftszeiten zeitnah bearbeitet?
- ☐ Ist bekannt, wer im Ernstfall Entscheidungen treffen darf?
Was Unternehmen aus den aktuellen Veröffentlichungen lernen können
Die hohe Zahl neuer Leaksite-Einträge zeigt, dass Ransomware-Gruppen weiterhin mit hoher Frequenz arbeiten. Gleichzeitig verdeutlichen die Veröffentlichungswellen, dass Cyberkriminelle ihre Opfer häufig gesammelt veröffentlichen und ihre Leakseiten regelmäßig aktualisieren.
Für Unternehmen ist deshalb weniger entscheidend, wann ein Unternehmen veröffentlicht wird, sondern wie früh ein Angriff erkannt wird. Je früher eine Kompromittierung entdeckt wird, desto größer ist die Chance, den Angriff zu stoppen, bevor Daten gestohlen oder Systeme verschlüsselt werden.
Mehr zum Thema Ransomware: Doppeltes Spiel: Wie ein Ransomware-Verhandler seine Kunden verriet
Bedrohungslage bleibt unverändert hoch
Die Beobachtungen vom 10. Juli 2026 sind ein deutliches Signal: Auch während der Ferienzeit bleibt die Bedrohungslage unverändert hoch. Unternehmen sollten die Sommermonate daher nicht als ruhigere Phase betrachten, sondern als Zeitraum mit erhöhtem organisatorischem Risiko. Gut vorbereitete Vertretungsregelungen, kontinuierliches Monitoring, aktuelle Systeme und geübte Incident-Response-Prozesse können entscheidend dazu beitragen, einen Sicherheitsvorfall frühzeitig zu erkennen und die Auswirkungen zu begrenzen.
Die wichtigste Erkenntnis lautet daher nicht, dass an einem Tag besonders viele Unternehmen veröffentlicht wurden. Entscheidend ist vielmehr, dass Ransomware-Gruppen ihre Aktivitäten kontinuierlich fortsetzen – unabhängig davon, ob in den Unternehmen gerade Urlaubszeit ist oder nicht.
:-)
Abonniere jetzt unsere Cyber-News!
Erhalte wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
