Die Bedrohungslage im deutschsprachigen Raum hat 2025 einen neuen Höchststand erreicht. Laut einer Auswertung von Check Point Software Technologies vom 22. Mai 2026 stiegen die Cyberangriffe in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent gegenüber dem Vorjahr. Deutschland trägt dabei die Hauptlast: Rund 82 Prozent aller im DACH-Raum erfassten Vorfälle entfielen auf die Bundesrepublik. Parallel beziffert der Branchenverband Bitkom den jährlichen Schaden für die deutsche Wirtschaft in seiner Studie zum Wirtschaftsschutz 2025 auf 289,2 Milliarden Euro. Diese Analyse ordnet die Zahlen ein, erklärt die neue Gesetzeslage seit dem NIS2-Umsetzungsgesetz und zeigt, was Unternehmen und Behörden jetzt erwartet.
Cyberangriffe in Deutschland: Die Zahlen des Check-Point-Reports
Der Auslöser der aktuellen Debatte ist ein Lagebild, das Check Point Software Technologies am 22. Mai 2026 veröffentlichte. Demnach verzeichnete der DACH-Raum 2025 einen Anstieg der registrierten Cyberangriffe um 124 Prozent. Die Region steht damit für 18 Prozent aller in Europa erfassten Attacken, ein überproportional hoher Wert gemessen an ihrer Wirtschaftskraft und Bevölkerung.
Bemerkenswert ist die Konzentration auf Deutschland. Von allen DACH-Vorfällen entfielen 82 Prozent auf die Bundesrepublik, 12 Prozent auf die Schweiz und 8 Prozent auf Österreich. Diese Verteilung spiegelt die Größe der deutschen Volkswirtschaft, ihre exportorientierte Industrie und ihre geopolitische Rolle wider. Die Forscher von Check Point sehen einen klaren Zusammenhang zwischen geopolitischen Spannungen und der Angriffsintensität: Deutschland ist als Unterstützer der Ukraine und als größte Volkswirtschaft der EU ein bevorzugtes Ziel.
| Land | Anteil an DACH-Vorfällen 2025 | Einordnung |
|---|---|---|
| Deutschland | 82 % | Größte Volkswirtschaft, Hauptziel |
| Schweiz | 12 % | Finanzsektor im Fokus |
| Österreich | 8 % | Geringste Last in der Region |
| DACH gesamt | 18 % aller EU-Angriffe | Überproportional betroffen |
Website-Defacement: 66 Prozent der Angriffe durch Hacktivisten
Die häufigste Angriffsform im DACH-Raum war 2025 nicht die klassische Datenverschlüsselung, sondern das Website-Defacement. Diese Manipulation öffentlich sichtbarer Webseiten machte 66 Prozent aller registrierten Vorfälle aus. Defacement-Angriffe richten meist begrenzten finanziellen Schaden an, erzeugen aber maximale öffentliche Aufmerksamkeit. Genau darum geht es den Tätern.
Check Point führt einen Großteil dieser Aktivität auf pro-russische Hacktivisten-Gruppen zurück. Namentlich genannt werden NoName057(16), Dark Storm Team und Mr Hamza. Diese Gruppen verfolgen weniger ein finanzielles als ein politisches Ziel: Sie wollen Unsicherheit verbreiten und westliche Unterstützung für die Ukraine bestrafen. Ihre Werkzeuge sind oft simpel, von DDoS-Kampagnen bis zur Ausnutzung schlecht gepflegter Content-Management-Systeme. Die Wirkung entsteht durch Masse und mediale Resonanz, nicht durch technische Raffinesse.
Diese Verschiebung markiert einen strukturellen Wandel. Cyberangriffe in Deutschland sind nicht länger ein rein kriminelles Phänomen, sondern zunehmend ein Instrument hybrider Konflikte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet seit dem Beginn des russischen Angriffskriegs gegen die Ukraine eine wachsende Überschneidung von Cyberkriminalität und staatsnaher Sabotage.
Ransomware Deutschland: Qilin, Akira und LockBit dominieren
Während Defacement die Statistik dominiert, bleibt Ransomware die wirtschaftlich gefährlichste Bedrohung. Rund 30 Prozent aller Vorfälle im DACH-Raum entfielen 2025 auf Erpressungssoftware. Hier sitzt der finanzielle Schmerz, denn Ransomware-Gruppen verschlüsseln Produktionssysteme, stehlen Daten und drohen mit Veröffentlichung, falls kein Lösegeld fließt.
Check Point nennt drei besonders aktive Gruppen: Qilin, Akira und LockBit. Sie zielen bevorzugt auf Organisationen mit schwacher Authentifizierung und exponierten, aus dem Internet erreichbaren Systemen. Der Angriffsweg ist selten exotisch. Gestohlene Zugangsdaten, ungepatchte VPN-Gateways und fehlende Mehr-Faktor-Authentifizierung öffnen die Tür. Die Professionalisierung der Szene zeigt sich im Modell Cybercrime-as-a-Service, bei dem Erstzugang, Schadsoftware, Datenexfiltration und Lösegeldverhandlung als getrennte Dienstleistungen gehandelt werden.
| Gruppe | Typ | Bevorzugte Angriffsvektoren | Motivation |
|---|---|---|---|
| Qilin | Ransomware-as-a-Service | Schwache Authentifizierung, exponierte Systeme | Finanziell |
| Akira | Ransomware | Ungepatchte VPN-Gateways | Finanziell |
| LockBit | Ransomware-as-a-Service | Gestohlene Zugangsdaten | Finanziell |
| NoName057(16) | Hacktivismus | DDoS, Defacement | Politisch (pro-russisch) |
| Dark Storm Team | Hacktivismus | DDoS, Defacement | Politisch |
| Mr Hamza | Hacktivismus | Defacement | Politisch |
Wirtschaftlicher Schaden: Bitkom beziffert 289 Milliarden Euro
Die Angriffsstatistik gewinnt erst durch die wirtschaftliche Dimension ihre volle Schärfe. Der Digitalverband Bitkom beziffert in seiner Studie zum Wirtschaftsschutz 2025 den jährlichen Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage auf 289,2 Milliarden Euro. Im Vorjahr lag dieser Wert noch bei 266,6 Milliarden Euro, wovon Bitkom 178,6 Milliarden Euro direkt auf digitale Angriffe zurückführte.
Die Betroffenheit ist nahezu flächendeckend. Laut der Bitkom-Erhebung 2025 wurden 87 Prozent der befragten Unternehmen Opfer von Datendiebstahl, Spionage oder Sabotage. Diese Zahl belegt, dass es längst nicht mehr um Einzelfälle geht. Cyberangriffe in Deutschland sind zu einem strukturellen Kostenfaktor geworden, der ganze Branchen belastet.
Wie sich der Schaden entwickelt hat
Der langfristige Trend ist eindeutig. Noch 2023 nannte Bitkom einen Schaden von rund 205,9 Milliarden Euro. Bis 2024 stieg dieser Wert auf 266,6 Milliarden Euro, ein Plus von etwa 29 Prozent. Mit 289,2 Milliarden Euro für 2025 setzt sich der Anstieg fort. Die Kombination aus mehr Angriffen, höherer Professionalisierung und gestiegenen Wiederherstellungskosten treibt die Summe Jahr für Jahr nach oben.
| Bitkom-Studie | Geschätzter Gesamtschaden | Veränderung |
|---|---|---|
| 2023 | 205,9 Mrd. Euro | Ausgangsbasis |
| 2024 | 266,6 Mrd. Euro | +29 % |
| 2025 | 289,2 Mrd. Euro | +8,5 % |
NIS2-Umsetzungsgesetz: Seit Dezember 2025 in Kraft
Auf die wachsende Bedrohung reagiert der Gesetzgeber. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) setzt die EU-Richtlinie 2022/2555 in deutsches Recht um und gilt seit dem 6. Dezember 2025, und zwar ohne Übergangsfrist. Der Bundestag hatte den Entwurf am 13. November 2025 nach kurzer Debatte verabschiedet. Damit traten die neuen Pflichten unmittelbar in Kraft, was viele Unternehmen unvorbereitet traf.
Deutschland setzte die Richtlinie deutlich verspätet um. Die ursprüngliche EU-Frist zur nationalen Umsetzung war der 17. Oktober 2024. Über ein Jahr Verzug bedeutete für betroffene Organisationen lange Rechtsunsicherheit, jetzt aber keine Schonfrist mehr. Das überarbeitete BSI-Gesetz (BSIG) bildet den rechtlichen Kern der neuen Anforderungen.
Was NIS2 für 29.500 Unternehmen bedeutet
Der Anwendungsbereich weitet sich massiv aus. Fachquellen schätzen die Zahl der nun regulierten Organisationen auf rund 29.500, ein deutlicher Sprung gegenüber den zuvor etwa 4.500 unter der alten KRITIS-Regulierung erfassten Betreibern. Betroffen sind grundsätzlich Unternehmen ab 50 Beschäftigten oder ab einem Jahresumsatz von 10 Millionen Euro in den definierten Sektoren, von Energie und Verkehr über Gesundheit bis zu digitalen Diensten.
Bußgelder und Meldepflichten
Die Sanktionen haben Gewicht. Für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes. Hinzu kommen verschärfte Meldepflichten. KRITIS-Betreiber müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden erstmalig melden. Auch die persönliche Haftung der Geschäftsleitung wird gestärkt, ein Punkt, der die Aufmerksamkeit in den Vorständen deutlich erhöht hat.
| Kategorie | Maximales Bußgeld | Umsatzbezogene Grenze |
|---|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. Euro | 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. Euro | 1,4 % des weltweiten Jahresumsatzes |
| Erstmeldung Vorfall (KRITIS) | Innerhalb von 24 Stunden | |
BSI-Lagebericht 2025: 119 neue Schwachstellen pro Tag
Das BSI beschreibt die Lage im aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2025“ (Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025) als angespannt. Eine zentrale Kennzahl: Im Schnitt registrierte das Amt 119 neue Schwachstellen pro Tag in Softwareprodukten. Jede dieser Lücken ist ein potenzielles Einfallstor, und Angreifer nutzen die Zeit zwischen Veröffentlichung und Patch konsequent aus.
Die Botschaft des Berichts ist unmissverständlich. Mit fortschreitender Digitalisierung wachsen die Angriffsflächen schneller, als viele Organisationen sie absichern können. Schlecht gewartete Systeme, fehlende Updates und unzureichende Härtung bleiben die häufigsten Ursachen erfolgreicher Angriffe. Das BSI unter Präsidentin Claudia Plattner mahnt seit Jahren, dass technische Resilienz und kontinuierliche Weiterbildung von IT-Fachkräften gleichermaßen entscheidend sind.
Cyber Resilience Act und DORA: Der regulatorische Fahrplan
NIS2 ist nur ein Baustein einer breiten europäischen Regulierungswelle. Zwei weitere Rechtsakte verändern die Pflichtenlage in Deutschland grundlegend. Der Cyber Resilience Act (CRA) verpflichtet Hersteller von Produkten mit digitalen Elementen zu Sicherheitsanforderungen über den gesamten Lebenszyklus. Er gilt vollständig ab dem 11. Dezember 2027 und betrifft praktisch jedes vernetzte Gerät, vom Router bis zur Industriesteuerung.
Für den Finanzsektor greift bereits seit dem 17. Januar 2025 die Verordnung über die digitale operationale Resilienz (DORA). Banken, Versicherer und ihre IT-Dienstleister müssen seither strenge Vorgaben für das Management von IKT-Risiken, das Testen ihrer Systeme und das Meldewesen erfüllen. Zusammen mit NIS2 entsteht ein dichtes Netz an Pflichten, das kaum eine relevante Branche auslässt.
| Rechtsakt | Geltung/Stichtag | Betroffene |
|---|---|---|
| NIS2 (EU-Frist) | 17. Oktober 2024 | Mitgliedstaaten (Umsetzung) |
| DORA | 17. Januar 2025 | Finanzunternehmen, IKT-Dienstleister |
| NIS2UmsuCG (Deutschland) | 6. Dezember 2025 | ca. 29.500 Organisationen |
| Cyber Resilience Act | 11. Dezember 2027 | Hersteller vernetzter Produkte |
Einordnung: Deutschland im europäischen Vergleich
Dass Deutschland 82 Prozent der DACH-Vorfälle auf sich zieht, ist kein Zufall. Die Bundesrepublik ist die größte Volkswirtschaft der EU, besitzt einen breiten industriellen Mittelstand und eine exportstarke Fertigung. Genau dieser Mittelstand ist häufig schlechter geschützt als Großkonzerne, verfügt aber über wertvolles geistiges Eigentum. Für Angreifer ergibt sich daraus ein attraktives Verhältnis von Aufwand und Ertrag.
Im europäischen Vergleich liegt Deutschland bei der NIS2-Umsetzung im hinteren Mittelfeld. Während einige Mitgliedstaaten die Richtlinie früher in nationales Recht überführten, brauchte Deutschland bis Dezember 2025. Diese Verzögerung verschaffte Angreifern Zeit und ließ Unternehmen im Unklaren über ihre Pflichten. Andere Länder, etwa im DACH-Raum die Schweiz mit ihrem Fokus auf den Finanzsektor, zeigen, dass Bedrohungsprofil und regulatorische Antwort eng zusammenhängen.
Historischer Kontext: Vom Einzelfall zum Dauerzustand
Noch vor wenigen Jahren galten spektakuläre Cyberangriffe in Deutschland als Ausnahmeereignisse, die Schlagzeilen machten. Der Angriff auf einen britischen Automobilkonzern, der allein 1,9 Milliarden Pfund Schaden verursachte, steht stellvertretend für eine neue Größenordnung. Heute sind solche Vorfälle Teil eines kontinuierlichen Belastungsbildes. Der Sprung des Bitkom-Schadens von 205,9 Milliarden Euro (2023) auf 289,2 Milliarden Euro (2025) zeigt die Beschleunigung in nackten Zahlen.
Entscheidend ist der qualitative Wandel. Mit dem russischen Angriffskrieg gegen die Ukraine verschmolzen finanziell motivierte Kriminalität und politisch motivierte Sabotage. Hacktivisten, staatsnahe Akteure und kommerzielle Ransomware-Banden nutzen teils dieselbe Infrastruktur. Diese Vermischung macht Zuordnung und Abwehr schwieriger und erklärt, warum klassische Schutzkonzepte allein nicht mehr ausreichen.
Stimmen aus Behörden und Branche
Die offiziellen Bewertungen lassen wenig Raum für Beschönigung. Das BSI hält in seinem Lagebericht 2025 fest:
Die IT-Sicherheitslage in Deutschland bleibt angespannt. Durch die fortschreitende Digitalisierung wachsen Angriffsflächen.
Bundesamt für Sicherheit in der Informationstechnik (BSI), Lagebericht 2025
Check Point Software Technologies ordnet den Anstieg in seinem DACH-Report vom Mai 2026 als Folge konvergierender Bedrohungen ein. Die Analysten beschreiben eine Entwicklung, bei der geopolitische Störkampagnen und gewinnorientierte Ransomware-Operationen zunehmend ineinandergreifen. Pro-russische Gruppen wie NoName057(16) sorgen für mediale Wirkung, während Banden wie Qilin und Akira den wirtschaftlichen Schaden anrichten.
Der Digitalverband Bitkom betont, dass die Betroffenheit längst die gesamte Breite der Wirtschaft erreicht hat. Mit 87 Prozent geschädigter Unternehmen in der Erhebung 2025 ist Cybersicherheit nach Verbandseinschätzung kein reines IT-Thema mehr, sondern eine Frage des unternehmerischen Risikomanagements. Die EU-Agentur ENISA verweist ihrerseits seit Jahren auf Lieferketten als systemisches Einfallstor, ein Befund, den auch die deutschen Analysen für 2026 bestätigen.
Fünf Prognosen für die Cybersicherheit in Deutschland bis 2027
- Mehr Durchsetzung statt Übergangsfrist. Da das NIS2UmsuCG ohne Schonfrist gilt, werden 2026 die ersten Bußgeldverfahren erwartet. Die persönliche Haftung der Geschäftsleitung dürfte den Druck in den Vorständen weiter erhöhen.
- Hacktivismus bleibt das Massenphänomen. Solange der Krieg in der Ukraine andauert, dürfte Website-Defacement durch pro-russische Gruppen die Vorfallstatistik dominieren, auch wenn der finanzielle Schaden pro Fall gering bleibt.
- Ransomware professionalisiert sich weiter. Das Cybercrime-as-a-Service-Modell senkt die Einstiegshürden. Gruppen wie Qilin, Akira und LockBit werden ihre Angriffe auf schwach geschützte Mittelständler ausweiten.
- KI verschärft Social Engineering. KI-generierte Phishing-Mails, Sprachnachrichten und Videos werden laut den 2026er-Analysen immer schwerer von echter Kommunikation zu unterscheiden sein.
- Der CRA verschiebt die Verantwortung zu den Herstellern. Bis zum vollständigen Inkrafttreten am 11. Dezember 2027 müssen Produzenten vernetzter Geräte Sicherheit über den gesamten Lebenszyklus nachweisen, was Produktdesign und Kosten verändert.
Was Unternehmen jetzt tun sollten
Die Datenlage liefert eine klare Handlungsagenda. Da gestohlene Zugangsdaten und exponierte Systeme die häufigsten Einfallstore sind, beginnt wirksamer Schutz bei den Grundlagen: konsequente Mehr-Faktor-Authentifizierung, schnelles Patchen der 119 täglich neu gemeldeten Schwachstellen und das Abschalten unnötig aus dem Internet erreichbarer Dienste.
Organisationen im NIS2-Anwendungsbereich sollten zuerst klären, ob sie als wichtige oder besonders wichtige Einrichtung gelten, und sich beim BSI registrieren. Ebenso wichtig sind ein dokumentierter Notfallplan für die 24-Stunden-Meldepflicht und die Absicherung der Lieferkette, denn Angreifer nutzen schwächere Partner als Brücke zum eigentlichen Ziel. Sicherheit ist damit endgültig zur Vorstandsaufgabe geworden.
Häufige Fragen (FAQ)
Um wie viel sind die Cyberangriffe in Deutschland 2025 gestiegen?
Laut Check Point Software Technologies (Bericht vom 22. Mai 2026) stiegen die registrierten Angriffe im DACH-Raum 2025 um 124 Prozent gegenüber dem Vorjahr. Deutschland trug dabei rund 82 Prozent der regionalen Vorfälle.
Wie hoch ist der wirtschaftliche Schaden durch Cybercrime in Deutschland?
Der Branchenverband Bitkom beziffert den jährlichen Gesamtschaden durch Datendiebstahl, Spionage und Sabotage in seiner Studie zum Wirtschaftsschutz 2025 auf 289,2 Milliarden Euro. 2024 waren es 266,6 Milliarden Euro.
Seit wann gilt das NIS2-Umsetzungsgesetz in Deutschland?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025, und zwar ohne Übergangsfrist. Der Bundestag verabschiedete es am 13. November 2025. Betroffen sind rund 29.500 Organisationen.
Wie hoch sind die Bußgelder bei NIS2-Verstößen?
Für besonders wichtige Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Grenze bei bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Welche Ransomware-Gruppen sind im DACH-Raum aktiv?
Check Point nennt Qilin, Akira und LockBit als besonders aktive Ransomware-Gruppen. Sie zielen auf Organisationen mit schwacher Authentifizierung und exponierten, aus dem Internet erreichbaren Systemen.
Wann gilt der Cyber Resilience Act vollständig?
Der Cyber Resilience Act (CRA) gilt vollständig ab dem 11. Dezember 2027. Er verpflichtet Hersteller von Produkten mit digitalen Elementen zu Sicherheitsanforderungen über den gesamten Produktlebenszyklus.
Verwandte Beiträge (Related Coverage)
- Jaguar Land Rover Cyberangriff: 1,9 Mrd. Pfund Schaden [2026]
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Phishing-Angriffe erkennen und vermeiden
- Post-Quanten-Kryptografie 2026: 50 Prozent des Webs gesichert
- HTTPS und TLS erklärt: Was das Schloss-Symbol wirklich bedeutet
- Passwortsicherheit: Was Konten wirklich schützt
- Online-Sicherheit erklärt: Der praktische Leitfaden
