Die europäische Cybersicherheitsbehörde ENISA hat für ihren Threat Landscape 2025 insgesamt 4.875 Sicherheitsvorfälle ausgewertet, die zwischen dem 1. Juli 2024 und dem 30. Juni 2025 öffentlich wurden. Das Ergebnis ist eindeutig: Ransomware verursacht 81,1 Prozent aller Cybercrime-Vorfälle gegen Organisationen in der EU. Für Deutschland, Österreich und die Schweiz ist das keine abstrakte Statistik. Der Bitkom beziffert den jährlichen Schaden für die deutsche Wirtschaft auf 289,2 Milliarden Euro, und das BSI registrierte im selben Zeitraum 119 neue Sicherheitslücken pro Tag, so viele wie nie zuvor.
Diese Analyse ordnet die aktuellen Zahlen ein, verknüpft sie mit einem konkreten Fall aus dem Herzen der deutschen Industrie (der SAP-NetWeaver-Lücke CVE-2025-31324 mit dem Höchstwert CVSS 10.0) und zeigt, warum 2026 das Jahr wird, in dem Ransomware und Schwachstellen-Ausnutzung endgültig zur Vorstandsfrage werden.
ENISA Threat Landscape 2025: 4.875 Vorfälle, ein klarer Spitzenreiter
Der ENISA Threat Landscape 2025 ist der maßgebliche Jahresbericht der EU-Agentur für Cybersicherheit. Die Datenbasis umfasst 4.875 dokumentierte Vorfälle aus zwölf Monaten. Methodisch trennt ENISA zwei Perspektiven, die in der öffentlichen Debatte oft vermischt werden: die Häufigkeit von Vorfällen und ihre Wirkung.
Nach Häufigkeit dominiert Hacktivismus. Rund 80 Prozent aller erfassten Vorfälle gehen auf hacktivistische Aktivitäten zurück, fast immer in Form niederschwelliger DDoS-Angriffe gegen öffentliche Verwaltungen und politische Ziele. Diese Angriffe sind laut, sichtbar und politisch motiviert, richten aber selten dauerhaften Schaden an. Genau hier setzt die zweite Perspektive an: Misst man nicht die Zahl, sondern die Schwere der Vorfälle, kippt das Bild. Dann steht Ransomware an der Spitze, gefolgt von Datenabfluss und Erpressung.
ENISA-Exekutivdirektor Juhan Lepassaar verweist in der Kommunikation zum Bericht auf genau diese Doppelstruktur: Ein hohes Aufkommen an DDoS-Lärm dürfe nicht darüber hinwegtäuschen, dass die wirtschaftlich gefährlichsten Angriffe von finanziell motivierten Ransomware-Gruppen ausgehen. Für Sicherheitsverantwortliche in der DACH-Region heißt das, Prioritäten an der Wirkung auszurichten, nicht an den Schlagzeilen.
Ransomware bleibt die teuerste Bedrohung (81,1 Prozent)
Der zentrale Befund: Ransomware macht 81,1 Prozent aller Cybercrime-Vorfälle gegen EU-Organisationen aus, Datenpannen folgen mit 15,2 Prozent. Diese beiden Kategorien überlappen zunehmend, denn moderne Ransomware-Banden setzen fast durchgängig auf doppelte Erpressung. Sie verschlüsseln nicht nur die Systeme, sie stehlen vorher die Daten und drohen mit Veröffentlichung. Wer das Backup sauber eingespielt hat, zahlt trotzdem, weil sonst Kundendaten, Verträge und Konstruktionspläne im Leak-Portal landen.
Diese Professionalisierung hat einen Namen: Ransomware-as-a-Service. Spezialisierte Entwickler stellen die Schadsoftware und die Verhandlungsinfrastruktur bereit, sogenannte Affiliates führen die Angriffe aus und teilen die Beute. In Deutschland sind die Folgen konkret: Gruppen wie Akira und Qilin haben 2025 und 2026 zahlreiche deutsche Mittelständler, Kliniken und Behörden getroffen. Die Erpressungsökonomie ist damit kein Randphänomen mehr, sondern ein eingespieltes Geschäftsmodell mit klarer Arbeitsteilung.
Hinzu kommt das Vorfeld des eigentlichen Angriffs. ENISA benennt Infostealer als beständige und weit verbreitete Vorstufe. Diese Schadprogramme greifen Zugangsdaten direkt aus dem Browser ab und liefern den Ransomware-Banden fertige Schlüssel ins Unternehmensnetz. Der Infostealer Lumma galt Anfang 2025 als die meistverbreitete Variante dieser Kategorie. Wer die Kette versteht, sieht: Der Verschlüsselungstrojaner ist nur das letzte Glied einer langen Vorbereitung.
Die EU-Bedrohungslandschaft 2025 in Zahlen
Die folgende Tabelle fasst die zentralen Kennzahlen des ENISA-Berichts zusammen. Alle Werte beziehen sich auf den Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025.
| Kennzahl | Wert | Bedeutung |
|---|---|---|
| Ausgewertete Vorfälle | 4.875 | Gesamtbasis des ENISA-Berichts |
| Ransomware-Anteil (Cybercrime) | 81,1 % | Wirkungsstärkste Bedrohung |
| Datenpannen-Anteil (Cybercrime) | 15,2 % | Oft Teil der doppelten Erpressung |
| Hacktivismus-Anteil (alle Vorfälle) | rund 80 % | Meist DDoS, hohe Frequenz |
| Phishing als Erstzugang | rund 60 % | Wichtigster Einstiegsvektor |
| Schwachstellen-Ausnutzung als Erstzugang | 21,3 % | Zweitwichtigster Einstiegsvektor |
Wie Angreifer hereinkommen: Phishing und offene Schwachstellen
Zwei Einstiegswege dominieren. Phishing steht laut ENISA hinter rund 60 Prozent der erfassten Erstzugänge. Die zweite große Tür ist die Ausnutzung bekannter Schwachstellen: 21,3 Prozent der Erstzugänge laufen über ungepatchte Systeme. Diese Zahl wiegt schwer, weil sie vermeidbar ist. Anders als beim Faktor Mensch beim Phishing gibt es für eine veröffentlichte Sicherheitslücke einen Patch, der das Tor schließt.
Das BSI unterstreicht die Dringlichkeit mit einer eigenen Zahl. Im Lagebericht 2025 registrierte die Behörde durchschnittlich 119 neue Sicherheitslücken pro Tag, ein Anstieg von 24 Prozent gegenüber dem Vorjahr und der höchste je gemessene Wert. Jede dieser Lücken ist ein potenzieller Erstzugang. Die Geschwindigkeit, mit der Angreifer veröffentlichte Schwachstellen ausnutzen, hat sich dabei dramatisch verkürzt. Zwischen Bekanntwerden und erster Massenausnutzung liegen heute oft nur noch Tage.
Besonders im Visier stehen sogenannte Edge-Systeme und unternehmenskritische Software, die direkt aus dem Internet erreichbar ist: VPN-Gateways, Firewalls, Mailserver und ERP-Systeme. Genau in diese Kategorie fällt der wohl wichtigste deutsche Fall der vergangenen zwölf Monate.
Der Fall SAP NetWeaver: CVSS 10.0 trifft Deutschlands Industrie
SAP ist Deutschlands größter Softwarekonzern mit Sitz in Walldorf und das digitale Rückgrat eines Großteils der deutschen Industrie. Genau deshalb war die Schwachstelle CVE-2025-31324 so brisant. Sie betrifft den Metadata Uploader des SAP NetWeaver Visual Composer und erhielt mit CVSS 10.0 die höchstmögliche Risikobewertung.
Die technische Ursache ist eine fehlende Berechtigungsprüfung am Endpunkt /developmentserver/metadatauploader. Ein nicht authentifizierter Angreifer, also jemand ganz ohne SAP-Zugang, kann eine präparierte POST-Anfrage senden und beliebige ausführbare Dateien hochladen. In der Praxis luden Angreifer JSP-Webshells wie helper.jsp und cache.jsp hoch und erlangten damit dauerhafte Fernsteuerung über den Anwendungsserver, mit den Rechten des SAP-Serverprozesses. Das Ergebnis ist eine vollständige Remote Code Execution auf einem System, das Finanzbuchungen, Produktionsaufträge und Personaldaten verwaltet.
SAP veröffentlichte am 24. April 2025 außerplanmäßig einen Notfall-Patch über die Security Note 3594142 für die betroffenen Versionen NetWeaver AS Java 7.50, 7.51 und 7.52. Die US-Behörde CISA nahm die Lücke am 15. Mai 2025 in ihren Known-Exploited-Vulnerabilities-Katalog auf. Am selben Tag landete dort auch die verwandte Schwachstelle CVE-2025-42999, die ein Restrisiko schließt, das nach dem ersten Patch bestehen blieb. Wer also nur CVE-2025-31324 gepatcht hatte, war nicht zwingend sicher.
| Merkmal | Detail |
|---|---|
| CVE-Kennung | CVE-2025-31324 |
| CVSS-Bewertung | 10.0 (kritisch) |
| Betroffenes Produkt | SAP NetWeaver Visual Composer (Metadata Uploader) |
| Angriffsart | Nicht authentifizierter Datei-Upload, Remote Code Execution |
| Patch verfügbar seit | 24. April 2025 (Security Note 3594142) |
| CISA-KEV-Aufnahme | 15. Mai 2025 |
| Verwandte Lücke | CVE-2025-42999 (Restrisiko) |
| Bestätigte Ausnutzung seit | mindestens 27. März 2025 |
Das Incident-Response-Team von Rapid7 bestätigte aktive Ausnutzung in mehreren Kundenumgebungen, die bis mindestens zum 27. März 2025 zurückreicht, also rund vier Wochen vor dem Patch. Nahezu alle betroffenen Opfer waren laut Rapid7 Fertigungsunternehmen. Das Sicherheitsunternehmen ReliaQuest hatte die Lücke ursprünglich entdeckt und beschrieb sie als unautorisierten Datei-Upload mit anschließender Schadcode-Ausführung. Auch Palo Alto Networks ordnete den Fall klar ein: Der CVSS-Wert von 10.0 unterstreiche die Schwere, da nicht authentifizierte Angreifer über den Metadata-Uploader-Endpunkt die volle Kontrolle erlangen könnten. Eine Zuordnung zu einer bestimmten Tätergruppe gab es laut Rapid7 zunächst nicht.
Warum gerade die Fertigung im Visier steht
Dass nahezu alle bekannten SAP-Opfer aus der Fertigung stammen, ist für Deutschland alarmierend. Maschinenbau, Automobilindustrie und industrielle Fertigung bilden den Kern der deutschen Volkswirtschaft. In vielen dieser Betriebe ist SAP eng mit der Produktionssteuerung verzahnt, von der Materialwirtschaft über die Instandhaltung bis zu Manufacturing-Execution-Systemen. Ein kompromittierter SAP-Server bleibt deshalb selten ein reines IT-Problem. Er kann Produktionslinien zum Stillstand bringen.
Hinzu kommt ein strukturelles Problem: Viele deutsche Unternehmen betreiben weiterhin ältere NetWeaver-AS-Java-Stacks parallel zu modernen S/4HANA-Landschaften, oft mit begrenzter SAP-Sicherheitsexpertise im Haus. Notfall-Patches außerhalb des regulären Wartungszyklus sind in solchen Umgebungen schwer umzusetzen, weil jede Änderung am Kernsystem getestet werden muss. Genau diese Trägheit ist es, die Angreifer ausnutzen. Die Lücke zwischen Patch-Verfügbarkeit und Patch-Einspielung ist das eigentliche Einfallstor.
Der Datenschutz verschärft die Lage zusätzlich. SAP-Systeme speichern Personaldaten, Gehaltsabrechnungen und Kundendaten. Ein erfolgreicher Angriff bedeutet damit nicht nur Produktionsausfall, sondern auch ein meldepflichtiges Datenschutzvorkommnis nach DSGVO und BDSG, mit allen aufsichtsrechtlichen Folgen.
Deutschland in Zahlen: 289 Milliarden Euro Schaden
Die wirtschaftliche Dimension lässt sich beziffern. Der Digitalverband Bitkom errechnete in seiner Studie Wirtschaftsschutz 2025 einen jährlichen Gesamtschaden von 289,2 Milliarden Euro für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage. 87 Prozent der deutschen Unternehmen waren betroffen. Im Vorjahr lag der Schaden noch bei 266,6 Milliarden Euro und die Betroffenheitsquote bei 81 Prozent. Beide Werte steigen also weiter, und zwar deutlich.
| Quelle | Kennzahl | Wert | Zeitraum |
|---|---|---|---|
| Bitkom Wirtschaftsschutz | Jahresschaden deutsche Wirtschaft | 289,2 Mrd. Euro | 2025 |
| Bitkom Wirtschaftsschutz | Betroffene Unternehmen | 87 % | 2025 |
| Bitkom Wirtschaftsschutz | Jahresschaden (Vorjahr) | 266,6 Mrd. Euro | 2024 |
| BSI Lagebericht | Neue Sicherheitslücken pro Tag | 119 | 2024/2025 |
| ENISA Threat Landscape | Ransomware-Anteil Cybercrime | 81,1 % | 2024/2025 |
| Check Point Research | Angriffe je Organisation pro Woche (global) | 2.027 | 2025 |
Das BSI fasst die Gesamtlage in einem Satz zusammen, der seit Jahren als offizielle Bewertung gilt. Präsidentin Claudia Plattner und ihre Behörde charakterisieren die Situation unverändert so:
Die Lage der IT-Sicherheit in Deutschland ist angespannt.
Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Hacktivismus und DDoS: Lärm mit politischer Botschaft
Während Ransomware die teuerste Bedrohung bleibt, prägt eine andere Kategorie das Tagesgeschehen: Hacktivismus. Rund 80 Prozent aller von ENISA erfassten Vorfälle entfallen auf diese Gruppe, fast immer über DDoS-Angriffe gegen Behörden und politische Institutionen. In der DACH-Region tritt vor allem das prorussische Kollektiv NoName057(16) in Erscheinung, das deutsche Webseiten in wiederkehrenden Wellen lahmlegt.
Der Schaden ist meist begrenzt und kurzlebig, eine überlastete Webseite ist nach Stunden wieder erreichbar. Die strategische Funktion liegt woanders. Diese Angriffe binden Personal, erzeugen mediale Aufmerksamkeit und senden eine politische Botschaft. Sie sind das digitale Äquivalent einer Demonstration, nicht eines Einbruchs. Für Sicherheitsteams besteht die Gefahr darin, dass der sichtbare DDoS-Lärm die Aufmerksamkeit von den leisen, gefährlichen Ransomware-Vorbereitungen ablenkt.
Marktauswirkungen: Cyberversicherung, MDR und Patch-Druck
Die Zahlen verschieben einen ganzen Markt. Cyberversicherer in der DACH-Region haben ihre Prämien in den vergangenen zwei Jahren deutlich angezogen und knüpfen den Versicherungsschutz inzwischen an konkrete technische Auflagen: Multi-Faktor-Authentifizierung, getestete Backups, ein dokumentierter Patch-Prozess. Ohne diese Nachweise gibt es entweder keinen Vertrag oder im Schadensfall keine Leistung.
Parallel wächst der Markt für Managed Detection and Response. Gerade Mittelständler ohne eigenes Security Operations Center lagern die Überwachung an externe Dienstleister aus. Der SAP-Fall zeigt, warum: Die aktive Ausnutzung lief schon Wochen vor dem Patch, sichtbar nur für Teams, die Webshell-Aktivität und ungewöhnliche SAP-Java-Prozesse rund um die Uhr beobachten. Wer erst nach dem Patch-Day reagiert, kommt bei kritischen Lücken systematisch zu spät.
Der dritte Effekt ist regulatorischer Natur. Mit der NIS2-Richtlinie und dem Cyber Resilience Act steigt der Meldedruck. Mehr Vorfälle werden öffentlich, weil sie gemeldet werden müssen. Das verändert die Statistik der kommenden Jahre: Ein Teil des erwarteten Anstiegs ist kein realer Zuwachs an Angriffen, sondern bessere Sichtbarkeit dank Meldepflicht.
Historischer Kontext: Von WannaCry zur Erpressungsindustrie
Die heutige Bedrohungslage ist das Ergebnis einer fast zehnjährigen Entwicklung. 2017 zeigte WannaCry, wie eine einzelne Schwachstelle global Schaden anrichten kann, damals noch als ungezielte Welle. Es folgte die Phase der gezielten Big-Game-Hunting-Angriffe, in der Banden bewusst große Organisationen mit hoher Zahlungsfähigkeit auswählten. Die nächste Stufe war die doppelte Erpressung, die das Backup als alleinige Schutzmaßnahme entwertete.
Heute steht am Ende dieser Entwicklung eine arbeitsteilige Industrie. Infostealer liefern Zugangsdaten, Initial Access Broker verkaufen den Erstzugang, Ransomware-as-a-Service-Plattformen stellen die Werkzeuge, Affiliates führen aus, spezialisierte Verhandler treiben die Lösegelder ein. Der ENISA-Befund von 81,1 Prozent Ransomware-Anteil ist die statistische Folge dieser Reife. Was als technisches Kuriosum begann, ist heute ein durchökonomisiertes kriminelles Geschäftsmodell.
Wettbewerbsvergleich: ENISA, BSI, Bitkom und Check Point
Vier große Datenquellen prägen die Diskussion in der DACH-Region, und sie messen Unterschiedliches. Wer die Lage bewerten will, muss die Perspektiven trennen.
- ENISA liefert die EU-weite Vorfallsanalyse mit Fokus auf Bedrohungstypen und Einstiegsvektoren. Stärke: methodische Vergleichbarkeit über die Jahre. Grenze: keine Euro-Schadensschätzung.
- BSI bewertet die nationale Lage Deutschlands und zählt technische Indikatoren wie neue Schwachstellen pro Tag. Stärke: Nähe zu deutschen Betreibern kritischer Infrastrukturen. Grenze: nationaler Ausschnitt.
- Bitkom erhebt den wirtschaftlichen Schaden per Unternehmensbefragung. Stärke: konkrete Euro-Zahlen. Grenze: Selbstauskunft statt forensischer Messung.
- Check Point misst Angriffsvolumina aus dem eigenen Sensornetz, etwa 2.027 Angriffe je Organisation pro Woche im globalen Schnitt. Stärke: Echtzeit-Telemetrie. Grenze: Herstellerperspektive.
Die Quellen widersprechen sich nicht, sie ergänzen sich. ENISA erklärt das Was, das BSI das Wo, Bitkom das Wie teuer, Check Point das Wie oft. Erst zusammen ergeben sie ein belastbares Bild der Bedrohungslage 2026.
Fünf Prognosen für die DACH-Bedrohungslage 2026 und 2027
Aus den vorliegenden Daten lassen sich fünf belastbare Entwicklungslinien ableiten.
- Ransomware bleibt Spitzenreiter. Der Anteil von über 80 Prozent dürfte sich halten, weil das RaaS-Modell wirtschaftlich funktioniert. Die doppelte Erpressung wird zum Standard, nicht zur Ausnahme.
- Schwachstellen-Ausnutzung legt zu. Mit 119 neuen Lücken pro Tag und schrumpfenden Patch-Fenstern werden Edge- und Unternehmenssoftware (SAP, VPN, Firewalls) noch stärker zum Erstzugang. Die Zeit zwischen Veröffentlichung und Massenausnutzung sinkt weiter auf wenige Tage.
- KI verschärft Phishing. Generative KI senkt die Hürde für überzeugende, fehlerfreie Phishing-Mails in flüssigem Deutsch. Der 60-Prozent-Anteil von Phishing am Erstzugang dürfte dadurch eher steigen als fallen.
- Die Fertigung bleibt Hauptziel. Solange OT und IT in der deutschen Industrie verschmelzen, vergrößert jeder kompromittierte ERP-Server den Schadensradius bis in die Produktion.
- Meldepflichten erhöhen die sichtbaren Fallzahlen. NIS2 und Cyber Resilience Act sorgen dafür, dass mehr Vorfälle öffentlich werden. Ein Teil des statistischen Anstiegs 2026/2027 ist bessere Sichtbarkeit, kein reiner Mengenzuwachs.
Was Unternehmen jetzt tun sollten
Die Empfehlungen der beteiligten Behörden und Sicherheitsfirmen lassen sich auf einen klaren Maßnahmenkatalog verdichten. Im Kern geht es darum, die beiden dominanten Einstiegswege (Phishing und Schwachstellen) systematisch zu schließen.
- Internet-exponierte kritische Software priorisiert patchen, kritische Lücken wie CVE-2025-31324 als Notfall behandeln, nicht im regulären Wartungsfenster.
- Verwaltungs- und Entwickler-Endpunkte (etwa
/developmentserver/metadatauploader) per Firewall oder Web Dispatcher aus dem Internet nehmen. - Multi-Faktor-Authentifizierung flächendeckend ausrollen, um gestohlene Zugangsdaten aus Infostealern zu entwerten.
- Backups offline und getestet vorhalten, im Wissen, dass sie gegen doppelte Erpressung allein nicht schützen.
- Kontinuierliche Überwachung (intern oder per MDR) einrichten, um Ausnutzung vor dem offiziellen Patch zu erkennen.
Für SAP-Betreiber lohnt eine gezielte Suche nach Kompromittierungsspuren. Die folgende Prüfung sucht nach den Webshell-Pfaden, die im Zusammenhang mit CVE-2025-31324 beobachtet wurden.
# Verdaechtige JSP-Webshells auf SAP-NetWeaver-Java-Stacks suchen
find /usr/sap -type f \( -name "helper.jsp" -o -name "cache.jsp" \) 2>/dev/null
# Zugriffe auf den verwundbaren Endpunkt in den Webserver-Logs pruefen
grep -i "metadatauploader" /usr/sap/*/*/work/*.log 2>/dev/null
# Externe Erreichbarkeit des Endpunkts testen (sollte NICHT oeffentlich sein)
curl -s -o /dev/null -w "%{http_code}\n" \
https://SAP-HOST/developmentserver/metadatauploaderFindet die Suche Treffer oder ist der Endpunkt öffentlich erreichbar, gehört der Vorfall in die Hände eines Incident-Response-Teams und, bei Personenbezug, zur Meldung an die zuständige Datenschutzaufsicht.
Verwandte Beiträge
- Akira Ransomware: 1.400 Opfer, 244 Mio $
- Qilin Ransomware: 500+ Opfer, Die Linke gehackt
- BSI Lagebericht: 280.000 Schadprogramme pro Tag
- Cyberschäden Deutschland: 289 Mrd Euro Rekord
- NoName057(16): 14 DDoS-Wellen gegen Deutschland
- Mehr Beiträge zur IT-Sicherheit
Häufig gestellte Fragen
Was ist der ENISA Threat Landscape 2025?
Der ENISA Threat Landscape 2025 ist der jährliche Bedrohungsbericht der EU-Agentur für Cybersicherheit. Für die Ausgabe 2025 wertete ENISA 4.875 Sicherheitsvorfälle aus dem Zeitraum 1. Juli 2024 bis 30. Juni 2025 aus und benennt Ransomware als wirkungsstärkste Bedrohung mit 81,1 Prozent Anteil an den Cybercrime-Vorfällen.
Warum ist Ransomware laut ENISA die größte Gefahr?
Nach Häufigkeit dominiert zwar Hacktivismus mit rund 80 Prozent der Vorfälle, doch gemessen an der wirtschaftlichen Wirkung steht Ransomware vorn. Sie verschlüsselt Systeme, stiehlt Daten und erzwingt über doppelte Erpressung hohe Lösegelder. Der Bitkom beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft auf 289,2 Milliarden Euro.
Was macht CVE-2025-31324 in SAP NetWeaver so gefährlich?
Die Lücke erhielt mit CVSS 10.0 die höchstmögliche Bewertung. Über eine fehlende Berechtigungsprüfung am Metadata Uploader können nicht authentifizierte Angreifer ohne SAP-Zugang Schadcode hochladen und ausführen. Da SAP das Kernsystem vieler deutscher Industriebetriebe ist, drohen Datendiebstahl, Manipulation von Buchungen und Produktionsausfälle.
Wann sollten SAP-Betreiber patchen?
Sofort. SAP veröffentlichte den Notfall-Patch über Security Note 3594142 bereits am 24. April 2025, und die aktive Ausnutzung lief nachweislich schon seit Ende März 2025. Wer betroffene NetWeaver-Versionen 7.50, 7.51 oder 7.52 betreibt, sollte zusätzlich die verwandte Lücke CVE-2025-42999 schließen.
Wie hoch ist der Cyberschaden für die deutsche Wirtschaft?
Laut Bitkom-Studie Wirtschaftsschutz 2025 entstehen der deutschen Wirtschaft jährlich 289,2 Milliarden Euro Schaden durch Diebstahl, Spionage und Sabotage. 87 Prozent der Unternehmen waren betroffen. Im Vorjahr lag der Schaden bei 266,6 Milliarden Euro bei einer Betroffenheitsquote von 81 Prozent.
Was ist der wichtigste Schutz gegen Ransomware?
Es gibt keinen Einzelschutz. Wirksam ist eine Kombination: schnelles Patchen internet-exponierter Software, flächendeckende Multi-Faktor-Authentifizierung gegen gestohlene Zugangsdaten, offline getestete Backups und kontinuierliche Überwachung. Da Phishing rund 60 Prozent der Erstzugänge ausmacht, gehören Mitarbeiterschulungen ebenfalls dazu.
Welche Quellen liegen dieser Analyse zugrunde?
Die Zahlen stammen aus dem ENISA Threat Landscape 2025, dem BSI-Lagebericht, der Bitkom-Studie Wirtschaftsschutz sowie aus den Analysen zur Schwachstelle CVE-2025-31324 und den SAP Security Notes. Aktuelle Einordnungen liefert zudem Heise Security.
