Der BKA-Cybercrime-Lagebericht 2025, veröffentlicht im Juni 2026, liefert Zahlen, die Sicherheitsverantwortliche in ganz Deutschland aufhorchen lassen: 333.922 registrierte Cyberstraftaten, davon 207.888 mit ausländischem Ursprung, und ein Gesamtschaden von rund 202,4 Milliarden Euro für die deutsche Wirtschaft. Parallel dazu dokumentiert eine im Mai 2026 publizierte Analyse von Check Point Software Technologies, dass Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent gestiegen sind. Die DACH-Region steht unter einem Beschuss, der in Intensität, Professionalität und geopolitischer Tiefe neue Maßstäbe setzt.
Deutschland trägt mit 82 Prozent aller registrierten Vorfälle die Hauptlast dieser Angriffswelle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Bedrohungslage als so hoch wie nie zuvor. Ransomware, Hacktivismus und staatlich gesteuerter Cyberkrieg sind keine getrennten Phänomene mehr, sondern greifen in einem Ökosystem ineinander, das Behörden, Unternehmen und kritische Infrastrukturen täglich herausfordert.
DACH im Visier: 124 Prozent mehr Cyberangriffe in 2025
Die Check-Point-Analyse, die Daten aus dem gesamten Jahr 2025 auswertet, stellt klar: Die DACH-Region ist kein Randschauplatz im globalen Cyberkonflikt. Mit einem Anstieg von 124 Prozent liegt das Wachstum der Angriffe auf Deutschland, Österreich und die Schweiz weit über dem europäischen Durchschnitt. Die DACH-Region macht zwar nur einen Bruchteil der europäischen Wirtschaftsfläche aus, trägt aber 18 Prozent aller in Europa registrierten Cyberangriffe.
Die Verteilung innerhalb der DACH-Region ist stark ungleich. Deutschland als größte Volkswirtschaft und wichtigster geopolitischer Akteur des Blocks absorbiert 82 Prozent der Vorfälle, die Schweiz 12 Prozent und Österreich 8 Prozent. Dieser Befund ist kein Zufall: Deutschland liefert aktiv Waffen an die Ukraine, betreibt kritische NATO-Infrastrukturen und beherbergt bedeutende Industriezentren, die für staatliche und kriminelle Angreifer gleichermaßen attraktiv sind.
Maya Horowitz, Vice President Research bei Check Point Software Technologies, erklärte anlässlich der Veröffentlichung des DACH-Berichts: “Deutschland ist nicht nur wegen seiner Wirtschaftsleistung im Fadenkreuz. Seine geopolitische Sichtbarkeit, besonders durch die Unterstützung der Ukraine, macht es zum primären Angriffsziel für pro-russische Akteure in der Region.”
Bereits im Januar 2026 setzten sich die Trends fort. Check Point dokumentierte, dass deutsche Unternehmen in diesem Monat durchschnittlich 1.314 Angriffe pro Woche erlitten, eine Steigerung von 16 Prozent gegenüber dem Vorjahresmonat. Die Angriffe verteilen sich auf Ransomware, DDoS-Kampagnen und gezielte Einbruchsversuche in Unternehmensnetzwerke.
BKA-Lagebericht 2025: Rekordzahlen im Detail
Das Bundeskriminalamt (BKA) registrierte im Jahr 2025 insgesamt 333.922 Cyberstraftaten in Deutschland, Inlandstaten und ausländische Straftaten mit deutschen Opfern zusammengerechnet. Mit 207.888 ausländischen Delikten zeigt sich, dass mehr als 60 Prozent der Angriffe grenzüberschreitend organisiert sind, eine strukturelle Herausforderung für nationalbehördliche Strafverfolgung.
Carsten Meywirth, Leiter der Abteilung Cybercrime beim BKA, kommentierte den Lagebericht: “Cyberkriminalität hat sich zu einer hochprofessionalisierten Dienstleistungsbranche entwickelt. Wir sehen eine zunehmende Arbeitsteilung zwischen Ransomware-Entwicklern, Zugangsvermittlern und Erpressungsspezialisten, die im Verbund operieren.” Das Phänomen Ransomware-as-a-Service (RaaS) ermöglicht es auch technisch weniger versierten Tätern, zerstörerische Angriffe durchzuführen.
Besonders relevant für Wirtschaft und Politik ist die wirtschaftliche Schadensumme: Laut der im BKA-Bericht zitierten Bitkom-Studie verursachten Cyberangriffe 202,4 Milliarden Euro Schaden für die deutsche Wirtschaft. Der Schwarz-Digits-Cybersecurity-Report 2026 ergänzt: In Deutschland entfallen inzwischen 70 Prozent aller wirtschaftlichen Schäden durch Diebstahl, Wirtschaftsspionage und Sabotage auf Cyberangriffe. Der Rest verteilt sich auf physische Einbrüche und klassische Industriespionage.
Ralf Wintergerst, Präsident des Digitalverbands Bitkom, ordnete die Schadenzahlen ein: “202 Milliarden Euro Schaden bedeuten, dass Cyberangriffe zum größten Einzelfaktor wirtschaftlicher Verluste in Deutschland geworden sind, weit vor Naturkatastrophen oder klassischen Wirtschaftsdelikten. Wir brauchen eine nationale Kraftanstrengung, die mit dem Ausmaß der Bedrohung Schritt hält.”
Ransomware: Fast 30 Prozent aller DACH-Angriffe
Innerhalb des DACH-Bedrohungsbilds nimmt Ransomware eine Sonderstellung ein. Zwar macht Website-Defacement mit 66 Prozent den größten Anteil der Vorfälle aus, diese Angriffe sind jedoch meistens spektakulär ohne langfristigen finanziellen Schaden. Ransomware hingegen, die knapp 30 Prozent der Vorfälle ausmacht, ist die kostspieligste Angriffsform und hält Organisationen teils wochenlang außer Gefecht.
Das BKA registrierte für 2025 genau 1.041 Ransomware-Angriffe auf deutsche Ziele, ein Anstieg von rund 10 Prozent gegenüber 2024. Bemerkenswerter als die absolute Zahl ist die Zielauswahl: 96 Prozent der Ransomware-Angriffe trafen Unternehmen, Organisationen und Institutionen. Nur 4 Prozent richteten sich gegen Privatpersonen. Von den betroffenen Unternehmen wiederum sind 90 Prozent kleine und mittelständische Betriebe (KMU).
Das dominante Muster ist die sogenannte doppelte Erpressung: Angreifer verschlüsseln nicht nur Daten, sondern exfiltrieren diese vorab und drohen mit Veröffentlichung. Dieses Vorgehen erhöht den Druck auf Opfer erheblich, weil Datensicherungen allein keine vollständige Schutzmaßnahme mehr bieten. Selbst Unternehmen mit funktionsfähigem Backup-System sehen sich mit Reputationsschäden und Compliance-Risiken konfrontiert, wenn sensible Kundendaten ins Darknet gelangen.
Die aktivsten Angreifergruppen in der DACH-Region 2025
Check Point identifizierte drei Ransomware-Gruppen als besonders aktiv in der DACH-Region: Qilin, Akira und LockBit. Alle drei betreiben das Ransomware-as-a-Service-Modell, vermieten also ihre Schadsoftware und Infrastruktur an sogenannte Affiliates, die selbst Angriffe durchführen und einen Teil des Lösegelds abführen.
Qilin tauchte 2023 erstmals auf und fokussierte sich früh auf kritische Sektoren, darunter Gesundheitswesen und kommunale Verwaltungen. Im September 2025 beanspruchte die Gruppe einen Angriff auf den japanischen Braukonzern Asahi, bei dem 27 GB Daten und 1,914 Millionen Kundendatensätze erbeutet wurden. Das Muster lässt sich auf deutsche Angriffe übertragen: kritische Infrastruktur, schwache Authentifizierungsmechanismen, exponierte Internet-Zugangspunkte.
Akira ist seit 2023 aktiv und hat sich auf Unternehmens-VPN-Schwachstellen spezialisiert, insbesondere auf Cisco-VPN-Produkte, bei denen fehlende Multifaktorauthentifizierung ausgenutzt wird. LockBit, trotz einer Zerschlagungsaktion der Behörden im Jahr 2024, blieb operativ. Neuere LockBit-Affiliates operieren unter veränderten Markennamen, nutzen aber dieselbe Kerntechnologie. Die Tätergruppen bevorzugen als Einfallstor schwache Authentifizierungskontrollen, ungepatchte VPN-Gateways und kompromittierte Fernzugangssoftware.
Hacktivismus: NoName057(16) und der geopolitische Cyberkrieg
Neben finanziell motivierten Kriminellen prägten politisch getriebene Hacktivistengruppen das Bild der DACH-Bedrohungslage in 2025. Website-Defacement machte 66 Prozent der Gesamtvorfälle aus und wurde überwiegend von pro-russischen Kollektiven durchgeführt. NoName057(16) war die bei weitem aktivste Gruppe, ergänzt durch Dark Storm Team und Mr Hamza.
NoName057(16) hat Deutschland als primäres Ziel erklärt, direkt als Reaktion auf deutsche Waffenlieferungen an die Ukraine und politische Unterstützung für Kiew. Die Gruppe nutzt DDoS-Angriffe und Defacement-Kampagnen als Mittel der psychologischen Kriegsführung. Deutsche Behörden-, Regierungs- und Medienwebsites sind regelmäßig betroffen. Bundesbehörden erlebten 2025 14 dokumentierte DDoS-Wellen von NoName057(16) allein in Deutschland.
Der Unterschied zu rein kriminellen Gruppen ist bedeutsam: Hacktivisten messen ihren Erfolg nicht in Lösegeldzahlungen, sondern in medialer Aufmerksamkeit und politischer Signalwirkung. Ein erfolgreicher Defacement-Angriff auf eine Bundesbehörde löst Nachrichten aus, schafft Verunsicherung und demonstriert Vulnerabilität, ohne dass die Angreifer eine finanzielle Gegenleistung benötigen. Das macht sie schwerer abzuschrecken als gewöhnliche Cyberkriminelle.
Der Mittelstand im Fadenkreuz: KMU tragen 90 Prozent der Last
Dass 90 Prozent der Ransomware-Opfer in Deutschland aus dem Mittelstand kommen, hat strukturelle Gründe. Große Konzerne investieren seit Jahren substanziell in Cybersicherheit, beschäftigen eigene Security-Operations-Center-Teams und verfügen über spezialisierte Incident-Response-Kapazitäten. KMU hingegen arbeiten oft mit veralteter IT-Infrastruktur, minimalen Sicherheitsbudgets und ohne dediziertes IT-Sicherheitspersonal.
Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), hat in mehreren Interviews 2026 betont: “Der Mittelstand ist das Rückgrat der deutschen Wirtschaft und gleichzeitig der schwächste Punkt in unserer kollektiven Cyberabwehr. Ein Angriff auf einen mittelständischen Zulieferer kann die gesamte Lieferkette eines Großunternehmens lahmlegen.” Das BSI arbeitet daher intensiv an vereinfachten Sicherheitsrahmenwerken und Zertifizierungsangeboten speziell für kleinere Betriebe.
Die wirtschaftlichen Folgen für KMU sind oft existenzbedrohend. Anders als Großunternehmen können mittelständische Betriebe mehrwöchige Betriebsausfälle selten ohne bleibenden Schaden überbrücken. Der Verlust von Kundendaten, Vertragsunterlagen und proprietärem Know-how durch Datenverschlüsselung trifft KMU strukturell härter. In einigen dokumentierten Fällen 2025 mussten Unternehmen nach einem erfolgreichen Ransomware-Angriff Insolvenz anmelden, weil weder Lösegeldzahlung noch vollständige Wiederherstellung wirtschaftlich tragfähig war.
Deutschland im EU-Vergleich: Angriffe, Schäden und Abwehrstrukturen
Im europäischen Kontext nimmt Deutschland eine Sonderrolle ein: größte Volkswirtschaft, größtes Angriffsziel und gleichzeitig einer der aktivsten Cybersicherheits-Investoren auf dem Kontinent. Der Vergleich mit anderen EU-Ländern verdeutlicht Gemeinsamkeiten im Bedrohungsprofil und Unterschiede bei Reaktion und Regulierung.
| Land | Anteil an DACH/EU-Angriffen 2025 | Wirtschaftsschaden | Zuständige Behörde | NIS2-Umsetzungsstand |
|---|---|---|---|---|
| Deutschland | 82% der DACH-Vorfälle, 18% EU | €202,4 Mrd. (Bitkom/BKA) | BSI, BKA | NIS2UmsuCG seit Oktober 2024 in Kraft |
| Österreich | 8% der DACH-Vorfälle | Anteilig ca. €12 bis €15 Mrd. | CERT.at, DSN | NISG 2024 umgesetzt |
| Schweiz (kein EU-Mitglied) | 12% der DACH-Vorfälle | CHF 8 bis 12 Mrd. (geschätzt) | BACS (ehem. NCSC) | Informationssicherheitsgesetz ISG |
| Frankreich | ca. 9% des EU-Anteils | ca. €82 Mrd. (ANSSI) | ANSSI | Vollständig umgesetzt |
| Niederlande | ca. 6% des EU-Anteils | ca. €45 Mrd. (NCTV) | NCSC-NL | Vollständig umgesetzt |
Der Vergleich zeigt: Deutschland trägt überproportional zur gesamteuropäischen Angriffslast bei, hat aber auch erhebliche Regulierungs- und Abwehrkapazitäten aufgebaut. Die NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt ist, verpflichtet zehntausende Unternehmen zur Einhaltung von Mindestsicherheitsstandards. Die praktische Durchsetzung und Aufsicht läuft jedoch erst schrittweise an.
NIS2 und DORA: Regulatorischer Gegenwind als Abwehrstrategie
Die europäische Reaktion auf die Bedrohungseskalation heißt Regulierung. Zwei Gesetze prägen 2026 die Compliance-Agenda in der DACH-Region: NIS2 und DORA. Die DORA-Verordnung verpflichtet seit Januar 2025 rund 22.000 Finanzunternehmen in der EU zu strikten IKT-Risikomanagementstandards, mit Strafen von bis zu 1 Prozent des globalen Jahresumsatzes bei Verstößen.
NIS2 erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie deutlich. Statt wie bisher nur wenige hundert kritische Betreiber erfasst NIS2 in Deutschland schätzungsweise 30.000 bis 40.000 Unternehmen aus 18 Sektoren. Dazu gehören Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Post- und Kurierdienste sowie große Teile der verarbeitenden Industrie. Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes drohen bei Verstößen gegen die Meldepflichten und Sicherheitsanforderungen.
Die Realität der Umsetzung ist gemischt. Viele mittelständische Unternehmen, die nun erstmals unter NIS2 fallen, kämpfen mit der Inventarisierung ihrer IT-Systeme, der Durchführung von Risikoanalysen und der Implementierung der vorgeschriebenen Sicherheitsmaßnahmen. Beratungsunternehmen und Sicherheitsdienstleister berichten von einer Nachfragewelle, die die verfügbaren Kapazitäten teilweise übersteigt. Die ersten NIS2-Bußgeldverfahren in Deutschland werden voraussichtlich noch 2026 eingeleitet.
Was ein Ransomware-Angriff in Deutschland wirklich kostet
Die direkten Kosten einer erfolgreichen Ransomware-Attacke übersteigen regelmäßig die Lösegeldforderung, die oft als einzige Schadengröße wahrgenommen wird. Tatsächlich entstehen erhebliche Folgekosten durch Betriebsunterbrechung, forensische Untersuchung, Systemwiederherstellung, Kommunikation, Rechtsberatung und regulatorische Bußgelder.
| Kostenposition | Typische Größenordnung (KMU) | Typische Größenordnung (Konzern) | Anmerkung |
|---|---|---|---|
| Lösegeldforderung | €50.000 bis €500.000 | €1 Mio. bis €50 Mio. | BSI rät ausdrücklich von Zahlung ab |
| Betriebsausfall | €100.000 bis €2 Mio. | €5 Mio. bis €500 Mio. | Durchschnittsdauer: 2 bis 6 Wochen |
| IT-Forensik und Incident Response | €30.000 bis €150.000 | €500.000 bis €5 Mio. | Externe Spezialisten in der Regel obligatorisch |
| Systemwiederherstellung | €50.000 bis €300.000 | €1 Mio. bis €20 Mio. | Selbst mit Backups aufwendig |
| Regulatorische Bußgelder (NIS2/DSGVO) | €100.000 bis €500.000 | Bis zu 2% des Jahresumsatzes | Bei Datenverlust fast immer fällig |
| Reputations- und Kundenverlust | Schwer quantifizierbar | Schwer quantifizierbar | Langfristig oft größter Schaden |
| Gesamtschaden (typisch) | €330.000 bis €3,5 Mio. | €8 Mio. bis €575 Mio. | Ohne Markenwertabschreibungen |
Diese Zahlen erklären, warum Cyberversicherungen in Deutschland 2025 und 2026 stark nachgefragt werden. Versicherer reagieren jedoch mit deutlich gestiegenen Prämien, strengeren Underwriting-Kriterien und Sublimits für Ransomware-Schäden. Unternehmen ohne nachweisliche Sicherheitsmaßnahmen wie Multifaktor-Authentifizierung oder Endpoint-Detection erhalten zunehmend keine oder nur eingeschränkte Deckung.
Doppelte Erpressung: Das neue Standardmodell der Cyberkriminalität
Das Bundeskriminalamt hebt in seinem Lagebericht 2025 hervor, dass eine große Anzahl von Ransomware-Angriffen nach dem Doppelerpressungsmodell abläuft. Der Angriff folgt einer klar strukturierten Abfolge: Netzwerkzugang über schwache Authentifizierung oder ungepatchte Systeme, laterale Bewegung durch das Netzwerk, Exfiltration sensibler Daten auf externe Server der Angreifer, anschließend Verschlüsselung der lokalen Systeme und schließlich eine zweistufige Lösegeldforderung, die sowohl die Entschlüsselung als auch das Schweigen über die erbeuteten Daten umfasst.
Die taktische Konsequenz: Selbst eine lückenlose Backup-Strategie schützt nicht mehr vollständig. Wenn Angreifer bereits 50 GB Kundendaten, Geschäftsgeheimnisse oder Personalakten besitzen und mit Veröffentlichung drohen, entsteht ein Druck unabhängig von der Fähigkeit zur Systemwiederherstellung. Das macht Prävention, also das Verhindern des Erstzugangs, zur einzig wirklich effektiven Abwehrstrategie.
Sicherheitsforscher beobachten zudem eine wachsende Verzahnung von Datenbrokern und Ransomware-Gruppen: Gestohlene Daten, die nicht durch Lösegeldzahlung zurückgehalten werden, landen nicht zwangsläufig direkt im Darknet, sondern werden an Spezialbroker verkauft, die sie für weitere Angriffe, Phishing-Kampagnen oder Identitätsdiebstahl verwenden. Dieser sekundäre Schadenskreislauf ist im BKA-Bericht explizit als wachsende Bedrohung benannt. Für die gesamteuropäische Ransomware-Lage zeigt der ENISA-Bericht: 81 Prozent aller EU-Cyberangriffe 2025 entfallen auf Erpressungsschadsoftware.
Der Cybersicherheitsmarkt in Deutschland: Wachstum auf 25,9 Milliarden Dollar bis 2034
Die Bedrohungslage treibt massive Investitionen an. Der deutsche Cybersicherheitsmarkt erreichte 2024 ein Volumen von rund 11,78 Milliarden US-Dollar und wächst mit einer jährlichen Wachstumsrate (CAGR) von 8,2 Prozent. Bis 2034 wird ein Marktvolumen von knapp 25,91 Milliarden US-Dollar erwartet, was Deutschland zum größten Cybersicherheitsmarkt in der EU machen würde.
Globale Cybersicherheitsausgaben sollen laut Gartner 2026 um 12,5 Prozent auf 240 Milliarden US-Dollar steigen. Besonders gefragt sind Security Operations Center als Service (SOCaaS), Extended Detection and Response (XDR), Zero-Trust-Architekturen und Backup-Lösungen mit unveränderlichen Speicheroptionen. Anbieter aus dem DACH-Raum wie Rohde & Schwarz Cybersecurity verzeichnen 2025 und 2026 stark steigende Nachfrage aus dem Mittelstand, der nach NIS2 erstmals zur aktiven Sicherheitsinvestition verpflichtet ist.
Cyberversicherungen entwickeln sich zum eigenständigen Wachstumsbereich. Allerdings reagieren Versicherer auf die Schadenshistorie: Prämien stiegen 2025 durchschnittlich um 30 bis 40 Prozent. Sicherheitsstandards sind damit nicht mehr nur eine technische, sondern auch eine versicherungsvertragliche Voraussetzung. Wer keine nachweisbare MFA-Implementierung vorweisen kann, zahlt Aufschläge oder erhält überhaupt keine Deckung.
Geopolitischer Kontext: Deutschland als NATO-Ziel im digitalen Raum
Der Chambers-Cybersicherheitsleitfaden für Deutschland 2026 bringt es auf den Punkt: Geopolitische Spannungen prägen zunehmend die Cybersicherheitslandschaft in Deutschland. Cyberoperationen sind jetzt ein dauerhaftes Element des deutschen Sicherheitsumfelds. Die Positionierung Deutschlands als führende europäische Volkswirtschaft und aktiver NATO-Partner macht das Land zum symbolisch und strategisch bedeutsamen Ziel für staatliche Angreifer.
Russland-nahe Akteure dominieren das hacktivistische Bild, während durch die BKA-Statistik belegte Angriffe auf Unternehmen und kritische Infrastruktur weitgehend finanziell motivierten Gruppen zugeordnet werden. Die Übergänge sind fließend: Einige Ransomware-Gruppen operieren unter dem Schutz oder mit der Duldung russischer Behörden und können auf staatliche Infrastruktur zugreifen, wenn politische Eskalation gefordert wird.
Das Bundesamt für Verfassungsschutz (BfV) und der Bundesnachrichtendienst (BND) koordinieren seit 2025 enger mit dem BSI und dem BKA, um staatsgesteuerte Cyberoperationen frühzeitig zu erkennen und zu attribuieren. Eine schnelle, öffentliche Attribuierung wirkt als Abschreckungssignal und politisches Instrument, stößt bei der transnationalen Strafverfolgung aber weiterhin an souveränitätsbedingte Grenzen. Die Angreifer operieren aus Ländern, mit denen kein Rechtshilfeabkommen besteht oder die entsprechende Anfragen schlicht ignorieren.
Fünf Prognosen für 2026 bis 2027
Die Datenlage aus BKA-Lagebericht, Check-Point-Analyse und internationalen Cybersicherheitsberichten erlaubt konkrete Prognosen für die kommenden 18 Monate.
1. Ransomware-Wachstum setzt sich fort. Global sind Ransomware-Angriffe auf dem Weg zu einem Anstieg von 40 Prozent bis Ende 2026 gegenüber 2024 (QBE Insurance Group). Für die DACH-Region bedeutet das weitere Eskalation. Bis Ende 2026 werden voraussichtlich über 7.000 Opfer weltweit namentlich auf Datenleck-Seiten veröffentlicht, verglichen mit 5.010 in 2024 und 1.412 in 2020.
2. KI-gestützte Angriffe werden zur Norm. Fast die Hälfte aller Organisationen (48 Prozent laut CrowdStrike) bezeichnet KI-automatisierte Angriffsketten als heute größtes Ransomware-Risiko. Angreifer nutzen Large Language Models zur Generierung überzeugender Phishing-E-Mails, zur Beschleunigung von Schwachstellen-Exploitation und zur Anpassung von Malware an spezifische Zielumgebungen.
3. NIS2-Durchsetzung erhöht den Compliance-Druck deutlich. Die ersten NIS2-Bußgeldverfahren in Deutschland werden voraussichtlich noch 2026 eingeleitet. BSI und sektorale Aufsichtsbehörden haben angekündigt, gezielt Unternehmen aus den neu erfassten Sektoren zu überprüfen. Für KMU, die sich noch in der Umsetzungsphase befinden, entsteht ein konkretes Strafrisiko.
4. Kritische Infrastruktur rückt weiter ins Visier. Energieversorger, Wasserwerke und Verkehrsinfrastruktur werden als priorisierte Ziele identifiziert, sowohl von staatlichen als auch kriminellen Akteuren. Angriffe auf KRITIS-Betreiber mit dem Ziel echter physischer Schäden, nicht nur Datenverlust, gelten in Expertenkreisen als wahrscheinliches Szenario für 2027.
5. Supply-Chain-Angriffe nehmen massiv zu. Software-Lieferketten-Angriffe stiegen global auf durchschnittlich 28 pro Monat in April 2025, ein Zuwachs von 100 Prozent gegenüber dem Vorjahresschnitt, mit einem weiteren Anstieg um 30 Prozent bis Oktober 2025 (Cyble). Für DACH-Unternehmen mit komplexen Lieferantennetzwerken erhöht das das Einfallstor für Kompromittierungen exponentiell.
Häufige Fragen zu Cyberangriffen in Deutschland 2025 und 2026
Wie viele Cyberangriffe gab es in Deutschland 2025?
Das BKA registrierte 333.922 Cyberstraftaten, davon 207.888 mit ausländischem Ursprung. Hinzu kommen tausende nicht gemeldete Vorfälle, da viele Unternehmen Angriffe aus Reputationsgründen oder Unkenntnis nicht anzeigen.
Wie hoch ist der wirtschaftliche Schaden durch Cyberangriffe in Deutschland?
Laut der im BKA-Bericht zitierten Bitkom-Studie beliefen sich die Schäden auf rund 202,4 Milliarden Euro. Cyberangriffe machen damit 70 Prozent aller wirtschaftlichen Schäden durch Diebstahl, Spionage und Sabotage in Deutschland aus.
Welche Ransomware-Gruppen sind in Deutschland besonders aktiv?
Qilin, Akira und LockBit sind laut Check-Point-Analyse die drei aktivsten Ransomware-Gruppen in der DACH-Region. Alle drei betreiben das Ransomware-as-a-Service-Modell und nutzen schwache Authentifizierung sowie exponierte VPN-Zugänge als Einstiegspunkt.
Warum sind KMU besonders häufig Ziel von Ransomware?
90 Prozent der Ransomware-Opfer in Deutschland sind kleine und mittelständische Unternehmen. Gründe sind geringere IT-Sicherheitsbudgets, fehlende Sicherheitsspezialisten und veraltete Infrastruktur. KMU sind zudem oft Teil von Lieferketten größerer Konzerne, was sie zu attraktiven Einstiegspunkten für komplexere Angriffe macht.
Was fordert NIS2 von deutschen Unternehmen?
NIS2 verpflichtet schätzungsweise 30.000 bis 40.000 deutsche Unternehmen aus 18 Sektoren zu Risikoanalysen, technischen Sicherheitsmaßnahmen, Meldepflichten bei Vorfällen und Lieferkettensicherheit. Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes sind bei Verstößen möglich.
Sollten Unternehmen Lösegeld zahlen?
Das BSI und das BKA raten ausdrücklich davon ab. Lösegeldzahlungen finanzieren weitere kriminelle Operationen und garantieren keine vollständige Datenrückgabe. Unternehmen sollten stattdessen in Prävention, segmentierte Backups und Incident-Response-Pläne investieren.
Was ist das Doppelerpressungsmodell bei Ransomware?
Beim Doppelerpressungsmodell exfiltrieren Angreifer Daten, bevor sie Systeme verschlüsseln. Anschließend fordern sie Lösegeld sowohl für die Entschlüsselung als auch dafür, die gestohlenen Daten nicht zu veröffentlichen. Damit ist selbst ein vollständig funktionsfähiges Backup kein vollständiger Schutz mehr gegen finanzielle Schäden.
Verwandte Berichte
- Ransomware: 81 Prozent aller EU-Cyberangriffe, ENISA-Bericht 2026
- NoName057(16): 14 DDoS-Wellen gegen Deutschland in 2026
- DORA-Verordnung: 22.000 Unternehmen, 1 Prozent Strafe bei Verstoß
- Cl0p hackt Oracle EBS: 29 Opfer, CVSS 9.8, Zero-Day-Exploit
- ModSecurity 3 mit Nginx: Web Application Firewall in 12 Schritten einrichten
Externe Quellen:
- Check Point: Germany Becomes Focal Point of Escalating DACH Cyber Campaign (Industrial Cyber, Mai 2026)
- BKA Cybercrime-Lagebericht 2025: Was Unternehmen wissen müssen (Cryptomator Blog, Juni 2026)
- Cybersecurity 2026 Germany: Trends and Developments (Chambers, März 2026)
- Top Cybersecurity Statistics for 2026 (Cobalt.io)
- Cyber Security Report 2026 (Schwarz Digits)
