Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeichnet im aktuellen Lagebericht ein nüchternes Bild: 280.000 neue Schadprogrammvarianten pro Tag und im Schnitt 119 neue Sicherheitslücken täglich, ein Plus von 24 Prozent gegenüber dem Vorjahr. Der BSI Lagebericht 2025 deckt den Zeitraum Juli 2024 bis Juni 2025 ab und fällt mit einer historischen Zäsur zusammen: Seit dem 2. Dezember 2025 ist das neue BSI-Gesetz in Kraft, das die EU-Richtlinie NIS2 in deutsches Recht überführt. Parallel beziffert der Digitalverband Bitkom den jährlichen Schaden durch Cyberangriffe für die deutsche Wirtschaft auf 202,4 Milliarden Euro. Diese Analyse ordnet die Zahlen ein, vergleicht Deutschland mit Österreich und der Schweiz und zeigt, was die neue Pflichtenlage für Unternehmen bedeutet.

BSI Lagebericht 2025: Die Bedrohungslage in Zahlen

Der jährliche BSI Lagebericht ist das offizielle Referenzdokument zur Cybersicherheit in Deutschland. Anders als Vendor-Reports stützt er sich auf behördliche Telemetrie, Meldungen aus dem CERT-Bund-Netzwerk und Daten aus der Wirtschaft. Für den Berichtszeitraum Juli 2024 bis Juni 2025 dokumentiert das BSI eine Bedrohungslage, die das Amt als angespannt einstuft, in einzelnen Bereichen aber als stabilisiert.

Die zentrale Kennzahl: 280.000 neue Schadprogrammvarianten registriert das BSI im Schnitt pro Tag. Das sind rund 3,2 neue Varianten pro Sekunde, rund um die Uhr. Hinzu kommen 119 neue Sicherheitslücken pro Tag, ein Anstieg um 24 Prozent gegenüber dem vorherigen Berichtszeitraum. Diese beiden Werte zusammen beschreiben das Grundproblem moderner IT-Sicherheit: Die Angriffsfläche wächst schneller, als Verteidiger sie absichern können.

BSI-Präsidentin Claudia Plattner, seit dem 1. Juli 2023 an der Spitze der Behörde, fasste die Lage bei der Vorstellung des Berichts so zusammen: „Vorab darf ich sagen, dass wir eine Stabilisierung im Bereich der Bedrohungen haben.” Sie begründete das damit, dass „wir die Abwehr in der vergangenen Periode stärken konnten” und „Infrastruktur von Angreifern vom Netz nehmen konnten.” Diese Stabilisierung ist relativ zu verstehen, nicht als Entwarnung. Im gleichen Atemzug stellte Plattner klar, dass die Gesamtgefährdung weiter zunimmt.

Die folgende Tabelle fasst die wichtigsten Kennzahlen des Berichts zusammen.

Kennzahl (BSI Lagebericht 2025)WertVeränderung
Neue Schadprogrammvarianten pro Tag280.000weiter hohes Niveau
Neue Sicherheitslücken pro Tag119+24 % ggü. Vorjahr
BerichtszeitraumJuli 2024 bis Juni 202512 Monate
Schaden Cyberangriffe (Bitkom 2025)202,4 Mrd. €Teil von 289,2 Mrd. € Gesamtschaden
NIS2-Umsetzung (BSIG)in Kraft seit 2. Dez. 2025nach EU-Frist 17. Okt. 2024
DACH-Angriffe 2025 (Check Point)+124 %Deutschland 82 % der Vorfälle

280.000 neue Schadprogramme pro Tag: Was hinter der Zahl steckt

Die Zahl von 280.000 täglichen Schadprogrammvarianten wirkt abstrakt, beschreibt aber einen handfesten Wandel in der Angreiferökonomie. Der Großteil dieser Varianten entsteht nicht durch handgeschriebenen Code, sondern durch Automatisierung. Angreifer nutzen Packer, Krypter und Polymorphie-Engines, um aus einer einzigen Schadfunktion Tausende signaturverschiedene Versionen zu erzeugen. Jede einzelne soll klassische, signaturbasierte Virenscanner umgehen.

Diese Masse erklärt, warum reine Signaturerkennung als alleinige Verteidigung ausgedient hat. Moderne Endpoint-Detection-and-Response-Systeme (EDR) bewerten stattdessen Verhalten: Welcher Prozess startet welchen Kindprozess, welche Datei verschlüsselt plötzlich Tausende Dokumente, welche Verbindung baut ein Office-Makro zu einem unbekannten Server auf. Das BSI empfiehlt seit Jahren genau diesen verhaltensbasierten Ansatz, kombiniert mit konsequentem Patch-Management.

Ein zweiter Treiber ist Künstliche Intelligenz. Generative Modelle senken die Einstiegshürde für Angreifer drastisch. Phishing-Mails ohne Grammatikfehler, automatisch generierte Köder in fehlerfreiem Deutsch und maßgeschneiderte Social-Engineering-Texte lassen sich heute in Sekunden erzeugen. Plattner adressierte diesen Punkt deutlich und warnte, dass Deutschland ohne eigene Souveränität bei KI und kryptografischen Verfahren strategisch ins Hintertreffen gerät.

Für Privatpersonen bedeutet die Schadprogramm-Flut vor allem eins: Die Wahrscheinlichkeit, dass eine einzelne präparierte Mail oder Webseite den eigenen Virenscanner passiert, steigt. Mehrschichtige Verteidigung bleibt entscheidend, vom aktuellen Betriebssystem über Zwei-Faktor-Authentisierung bis zu regelmäßigen Backups. Wer verstehen will, wie solche Angriffe technisch ablaufen, findet in unserer Analyse zu Datenlecks und ihrer Entstehung die Grundlagen.

119 neue Sicherheitslücken täglich: Das Patch-Dilemma

Der Anstieg der neu gemeldeten Schwachstellen um 24 Prozent ist die vielleicht beunruhigendste Einzelzahl im Bericht. 119 neue Lücken pro Tag bedeuten über 43.000 im Jahr. Kein Sicherheitsteam der Welt kann jede davon sofort bewerten, geschweige denn patchen. Die eigentliche Herausforderung ist nicht das Schließen einzelner Lücken, sondern die Priorisierung.

Genau hier setzt das Konzept der aktiv ausgenutzten Schwachstellen an. Die US-Behörde CISA pflegt mit dem Known-Exploited-Vulnerabilities-Katalog (KEV) eine Liste der Lücken, die Angreifer nachweislich bereits ausnutzen. Solche Schwachstellen verdienen Priorität, unabhängig vom theoretischen CVSS-Score. Ein Beispiel aus dem laufenden Jahr lieferte die Citrix-NetScaler-Lücke, die binnen weniger Tage nach Bekanntwerden ausgenutzt wurde. Wir haben den Fall in unserer Analyse zur Citrix-NetScaler-Lücke aufgearbeitet.

Plattner brachte das strukturelle Problem auf den Punkt: „wir haben in der Tat nach wie vor unzureichend geschützte Angriffsflächen in Deutschland”, was Deutschland „auch im digitalen Raum verwundbar macht.” Gemeint sind veraltete Systeme, ungepatchte VPN-Gateways, exponierte Verwaltungsoberflächen und vergessene Server. Jede dieser Flächen ist ein potenzieller Einstiegspunkt.

Das Patch-Dilemma trifft besonders kleine und mittlere Unternehmen (KMU), die das Rückgrat der deutschen Wirtschaft bilden. Ihnen fehlen oft dedizierte Sicherheitsteams. Automatisiertes Schwachstellen-Management, Asset-Inventarisierung und das Abschalten nicht benötigter Dienste sind die wirksamsten Hebel. Für Unternehmen mit Webpräsenz gehört die korrekte TLS-Konfiguration dazu, wie wir in unserem Beitrag zu HTTPS und TLS erklären.

Ransomware bleibt das Geschäftsmodell Nummer eins

Ransomware ist seit Jahren die wirtschaftlich folgenreichste Bedrohung, und daran ändert sich auch 2025 nichts. Der Sicherheitsanbieter Check Point benennt in seinem DACH-Bericht vom 22. Mai 2026 drei besonders aktive Gruppen: Qilin, Akira und LockBit. Alle drei operieren nach dem Modell Ransomware-as-a-Service (RaaS), bei dem die Kerngruppe die Schadsoftware entwickelt und Partner (Affiliates) die eigentlichen Angriffe ausführen.

Das dominierende Druckmittel ist seit Jahren die doppelte Erpressung (Double Extortion): Angreifer verschlüsseln nicht nur die Daten, sondern stehlen sie zuvor und drohen mit Veröffentlichung. Selbst Unternehmen mit funktionierenden Backups stehen damit unter Druck, weil ein Datenleck Geschäftsgeheimnisse, Kundendaten und die Reputation gefährdet. Laut Check Point macht Ransomware knapp 30 Prozent aller in der DACH-Region erfassten Vorfälle aus.

Auf der Gegenseite zeigen Strafverfolger zunehmend Wirkung. Plattners Hinweis, man habe „Infrastruktur von Angreifern vom Netz nehmen” können, verweist auf internationale Takedown-Operationen. Ein deutsches Beispiel ist die Enttarnung mutmaßlicher REvil-Akteure durch das Bundeskriminalamt, die wir im Beitrag zu REvil und dem BKA dokumentiert haben. Solche Schläge zerschlagen einzelne Gruppen, doch die RaaS-Affiliates wechseln schnell zur nächsten Plattform.

Hacktivismus und der Russland-Faktor

Neben finanziell motivierter Kriminalität prägt 2025 eine zweite Angriffsklasse die Statistik: politisch motivierter Hacktivismus. Check Point nennt drei besonders aktive Kollektive: NoName057(16), Dark Storm Team und Mr Hamza. NoName057(16) gilt als prorussische Gruppe mit Schwerpunkt auf DDoS-Angriffen und Web-Störungen. Genau das erklärt eine auf den ersten Blick überraschende Zahl im DACH-Bericht: 66 Prozent der Vorfälle entfallen auf Website-Defacements, also das Verunstalten oder Lahmlegen öffentlich erreichbarer Webseiten.

Diese Angriffe richten selten technischen Großschaden an, entfalten aber politische Wirkung. Sie sollen Aufmerksamkeit erzeugen und Verunsicherung säen. Deutschlands geopolitische Sichtbarkeit und die Unterstützung der Ukraine gelten laut Check Point als zentrale Gründe, warum das Land so stark ins Visier gerät. Im Februar 2026 traf eine DDoS-Welle prominente Ziele, darunter Systeme im Umfeld der Deutschen Bahn und des Flughafens Berlin Brandenburg.

Für Betreiber kritischer Infrastruktur verschiebt sich damit das Risikoprofil. Ein DDoS-Angriff ist technisch simpel, aber öffentlichkeitswirksam. Wirksame Gegenmaßnahmen sind Anycast-Netze, spezialisierte Mitigation-Dienste und redundante Anbindungen. Die politische Dimension bedeutet zudem, dass Angriffswellen oft mit geopolitischen Ereignissen korrelieren, was Vorhersage und Vorbereitung erleichtert.

202 Milliarden Euro: Was Cyberangriffe die Wirtschaft kosten

Die ökonomische Dimension liefert der Digitalverband Bitkom. Seine aktuelle Wirtschaftsschutz-Studie beziffert den Gesamtschaden für die deutsche Wirtschaft auf 289,2 Milliarden Euro pro Jahr. Davon entfallen 202,4 Milliarden Euro auf Cyberangriffe im engeren Sinn, also Datendiebstahl, Sabotage und digitale Spionage. Der Rest verteilt sich auf analoge Formen von Spionage und Sabotage.

Zur Einordnung: 202 Milliarden Euro entsprechen rund 4,7 Prozent der deutschen Wirtschaftsleistung. Die Schäden umfassen nicht nur Lösegeldzahlungen, sondern Produktionsausfälle, Wiederherstellungskosten, Reputationsverluste, abgewanderte Kunden und gestiegene Versicherungsprämien. Bitkom-Präsident Ralf Wintergerst verweist seit Jahren darauf, dass ein wachsender Anteil der Angriffe staatlichen oder staatsnahen Akteuren zugeschrieben wird, was die Abwehr zusätzlich erschwert.

Diese Zahlen erklären, warum Cybersicherheit längst Chefsache ist. Vorstände haften, Lieferketten brechen, und einzelne Vorfälle können börsennotierte Konzerne Milliarden kosten. Plattner ordnete die Entwicklung so ein: „das Ergebnis führt dazu, dass insgesamt die Gefährdung und das Gefährdungspotential steigt und erkennbar auch die Schäden steigen.” Die Kombination aus mehr Angriffen und teureren Folgen treibt die Schadenssumme nach oben.

DACH im Vergleich: Deutschland, Österreich, Schweiz

Der Check-Point-Bericht vom Mai 2026 erlaubt einen direkten Vergleich innerhalb der DACH-Region. Das Ergebnis ist eindeutig: Deutschland steht im Zentrum. 82 Prozent aller in der Region erfassten Vorfälle entfallen auf die Bundesrepublik, 12 Prozent auf die Schweiz und 8 Prozent auf Österreich. Insgesamt stiegen die Angriffe in der DACH-Region 2025 um 124 Prozent, und die Region machte 18 Prozent aller in Europa erfassten Cyberattacken aus.

DACH-Vergleich 2025 (Check Point)Anteil / WertEinordnung
Deutschland82 % der DACH-Vorfälleklarer Schwerpunkt
Schweiz12 % der DACH-Vorfällezweithöchster Anteil
Österreich8 % der DACH-Vorfällegeringster Anteil
Anstieg DACH gesamt 2025+124 %mehr als Verdoppelung
DACH-Anteil an Europa18 %größter Länderblock
Website-Defacement66 % der Vorfällev. a. Hacktivismus
Ransomware~30 % der Vorfällefinanziell motiviert

Dass die Anteile in Summe leicht über 100 Prozent liegen, liegt an Rundungen und Mehrfachzuordnungen einzelner Kampagnen. Die Botschaft bleibt: Deutschland ist mit Abstand das Hauptziel. Gründe sind die wirtschaftliche Bedeutung als größte Volkswirtschaft Europas, die hohe Dichte an Industrie- und Mittelstandsunternehmen und die geopolitische Exponiertheit. Österreich und die Schweiz profitieren teils von kleinerer Angriffsfläche, sind aber keineswegs sicher. Die Schweiz mit ihrem starken Finanzsektor ist ein attraktives Ziel für finanziell motivierte Gruppen.

Eine ausführliche Aufarbeitung der DACH-Welle, inklusive der einzelnen Angriffsvektoren, finden Sie in unserer Analyse zu Cyberangriffen in Deutschland und im DACH-Raum.

NIS2 und das BSIG: Neue Pflichten seit Dezember 2025

Die wichtigste regulatorische Neuerung ist das novellierte BSI-Gesetz (BSIG), das die EU-Richtlinie NIS2 in deutsches Recht umsetzt und seit dem 2. Dezember 2025 in Kraft ist. Deutschland hat die ursprüngliche EU-Umsetzungsfrist vom 17. Oktober 2024 deutlich überschritten, was Unternehmen monatelange Rechtsunsicherheit bescherte. Mit dem Inkrafttreten ist diese Phase beendet.

NIS2 erweitert den Kreis der regulierten Einrichtungen massiv. Statt einiger Tausend Betreiber kritischer Infrastruktur fallen nun deutlich mehr Unternehmen unter die Pflichten, geschätzt mehrere Zehntausend. Betroffen sind Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abwasser, Lebensmittel und Teile der verarbeitenden Industrie. Maßgeblich sind Größe (ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz) und Sektor.

Die Kernpflichten umfassen drei Bereiche. Erstens ein Risikomanagement mit konkreten technischen Maßnahmen, von Verschlüsselung über Zugriffskontrollen bis zu Notfallplänen. Zweitens verschärfte Meldepflichten: Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden erstgemeldet werden, eine detaillierte Meldung folgt innerhalb von 72 Stunden. Drittens die persönliche Verantwortung der Geschäftsleitung, die Maßnahmen billigen und überwachen muss und bei Versäumnissen haftet.

Für viele Mittelständler ist das eine Zäsur. Wer bisher Cybersicherheit als reines IT-Thema delegierte, muss sie nun auf Vorstandsebene verankern. Die gute Nachricht: Die geforderten Maßnahmen decken sich weitgehend mit etablierten Standards wie ISO 27001 und dem BSI-Grundschutz. Unternehmen, die diese bereits umsetzen, müssen vor allem Meldeprozesse und Governance nachschärfen.

Stimmen aus der Branche: Was die Verantwortlichen sagen

Die Einordnung der Zahlen durch die Verantwortlichen zeigt eine vorsichtige, aber bestimmte Tonlage. BSI-Präsidentin Claudia Plattner betonte bei der Vorstellung des Lageberichts die erreichten Fortschritte, ohne die Risiken kleinzureden. Ihre zentrale Aussage zur Stabilisierung steht neben der klaren Warnung vor wachsenden Schäden.

„Vorab darf ich sagen, dass wir eine Stabilisierung im Bereich der Bedrohungen haben, weil wir die Abwehr in der vergangenen Periode stärken konnten und Infrastruktur von Angreifern vom Netz nehmen konnten.”

Claudia Plattner, Präsidentin des BSI

Diese Stabilisierung darf nicht als Entwarnung gelesen werden. Im selben Statement machte Plattner deutlich, dass die Schäden trotzdem steigen, weil Angriffe gezielter und folgenreicher werden.

„Das Ergebnis führt dazu, dass insgesamt die Gefährdung und das Gefährdungspotential steigt und erkennbar auch die Schäden steigen.”

Claudia Plattner, Präsidentin des BSI

Besonders deutlich wurde die BSI-Chefin bei den strukturellen Schwächen. Sie verwies auf ungeschützte Angriffsflächen, die Deutschland verwundbar machen, und verband dies mit einem Appell zur digitalen Souveränität.

„Wir haben in der Tat nach wie vor unzureichend geschützte Angriffsflächen in Deutschland, was uns damit auch im digitalen Raum verwundbar macht.”

Claudia Plattner, Präsidentin des BSI

Aus der Wirtschaft kommt die finanzielle Perspektive. Der Digitalverband Bitkom unter Präsident Ralf Wintergerst beziffert den jährlichen Cyberschaden auf 202,4 Milliarden Euro und betont, dass ein steigender Anteil der Angriffe staatlich gesteuert ist. Der Sicherheitsanbieter Check Point wiederum ordnet Deutschland als klares Hauptziel im DACH-Raum ein und führt dies auf die wirtschaftliche und geopolitische Bedeutung des Landes zurück.

Historischer Kontext: Vom Bundestags-Hack bis heute

Die aktuelle Lage ist kein plötzlicher Bruch, sondern das Ergebnis einer langen Entwicklung. Der Cyberangriff auf den Deutschen Bundestag 2015 gilt vielen als Weckruf für die deutsche Sicherheitspolitik. 2017 zeigte WannaCry, wie ein einzelner Wurm binnen Stunden weltweit Krankenhäuser, Konzerne und Verkehrsbetriebe lahmlegen kann, auch in Deutschland.

Ab 2019 verschob sich der Schwerpunkt zu professioneller Ransomware. Die Emotet-Kampagnen trafen deutsche Behörden und Unternehmen schwer, bevor internationale Ermittler die Infrastruktur 2021 zerschlugen. 2021 legte ein Angriff auf den Landkreis Anhalt-Bitterfeld die Verwaltung wochenlang lahm und führte zum ersten cyberbedingten Katastrophenfall in Deutschland. Diese Eskalation zeigt das Muster: Auf jeden Takedown folgt eine Neuformierung.

Was den aktuellen Bericht von früheren unterscheidet, ist die Verschmelzung zweier Bedrohungen. Finanziell motivierte Ransomware und politisch motivierter Hacktivismus überlagern sich, befeuert durch den russischen Angriffskrieg gegen die Ukraine. Die Grundlagen kryptografischer Sicherheit, die jeder Verteidigung zugrunde liegen, erklären wir im Überblick zu Hashing und Kryptographie.

Markt- und Wirtschaftsfolgen für 2026

Die Zahlen des Lageberichts treffen auf einen boomenden Sicherheitsmarkt. Mit NIS2 entsteht in Deutschland kurzfristig eine erhebliche Nachfrage nach Beratung, Audits, Managed-Security-Diensten und qualifiziertem Personal. Der Fachkräftemangel verschärft sich: Tausende Stellen in der IT-Sicherheit bleiben unbesetzt, und die neuen Pflichten erhöhen den Bedarf zusätzlich.

Profitieren dürften vor allem Managed-Security-Service-Provider (MSSP), die KMU eine schlüsselfertige Absicherung bieten, sowie Anbieter von EDR- und XDR-Plattformen. Auch Cyberversicherer stehen vor einem zwiespältigen Jahr: Steigende Nachfrage trifft auf steigende Schadenshöhen, was Prämien weiter nach oben treibt und die Bedingungen verschärft. Versicherer verlangen zunehmend Mindeststandards wie Multi-Faktor-Authentisierung als Voraussetzung für Deckung.

Für die deutsche Industrie hat die Lage strategische Folgen. Wer in vernetzte Produktion (Industrie 4.0) investiert, muss Sicherheit von Beginn an mitdenken. Die Konvergenz von IT und Betriebstechnik (OT) öffnet neue Angriffsflächen, etwa in Produktionsanlagen und Steuerungssystemen, die historisch nie für die Anbindung ans Internet gebaut wurden.

Fünf Prognosen für die zweite Jahreshälfte 2026

Aus den Daten des Lageberichts und den aktuellen Trends lassen sich mehrere belastbare Erwartungen ableiten.

  • Erste NIS2-Durchsetzung wird sichtbar. Nach einer Eingewöhnungsphase werden Aufsichtsbehörden 2026 erste Prüfungen und Beanstandungen vornehmen. Spätestens dann wird Compliance vom Papier zur gelebten Praxis.
  • KI-gestützte Angriffe nehmen weiter zu. Automatisiert generierte Phishing-Kampagnen und Deepfake-gestütztes Social Engineering werden zur Normalität, was die Erkennung erschwert und Schulungen wichtiger macht.
  • Hacktivismus bleibt geopolitisch getaktet. DDoS-Wellen gegen deutsche Ziele werden mit politischen Ereignissen korrelieren. Betreiber kritischer Infrastruktur müssen mit Spitzenlasten rechnen.
  • Lieferketten geraten stärker ins Visier. Angreifer zielen auf Dienstleister und Software-Lieferanten, um über einen einzigen Einbruch viele Opfer zu erreichen. Der Schutz der Supply Chain wird zur Pflicht.
  • Der Druck auf Post-Quanten-Kryptografie wächst. Mit Blick auf künftige Quantenrechner beginnen Behörden und Konzerne, ihre Verschlüsselung auf quantenresistente Verfahren umzustellen.

Was Unternehmen und Privatpersonen jetzt tun sollten

Die wirksamsten Maßnahmen sind selten die teuersten. Für Unternehmen steht ein realistisches Asset-Inventar an erster Stelle: Man kann nur schützen, was man kennt. Darauf folgen konsequentes Patch-Management mit Priorisierung aktiv ausgenutzter Lücken, flächendeckende Multi-Faktor-Authentisierung und ein getestetes Backup-Konzept nach der 3-2-1-Regel (drei Kopien, zwei Medien, eine offline).

Genauso wichtig ist der Faktor Mensch. Da viele Angriffe mit Phishing beginnen, zahlen sich regelmäßige Schulungen aus. Unser Leitfaden zu Phishing-Angriffen hilft, die typischen Muster zu erkennen. Ergänzend sollten Unternehmen einen geübten Incident-Response-Plan haben, denn im Ernstfall entscheidet die Reaktionsgeschwindigkeit über das Schadensausmaß.

Privatpersonen schützen sich mit denselben Grundprinzipien im Kleinen: aktuelle Software, ein Passwort-Manager für lange, einzigartige Passwörter, Zwei-Faktor-Authentisierung für wichtige Konten und gesunde Skepsis gegenüber unerwarteten Nachrichten. Die Basis dazu liefert unser Ratgeber zur Passwortsicherheit. Einen verständlichen Gesamtüberblick bietet unser Hub für Online-Sicherheit.

Häufig gestellte Fragen (FAQ)

Was ist der BSI Lagebericht 2025?

Der BSI Lagebericht ist der jährliche Bericht des Bundesamts für Sicherheit in der Informationstechnik zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2025 deckt den Zeitraum Juli 2024 bis Juni 2025 ab und nennt unter anderem 280.000 neue Schadprogrammvarianten und 119 neue Sicherheitslücken pro Tag.

Wie viele neue Schadprogramme registriert das BSI pro Tag?

Laut Lagebericht 2025 sind es rund 280.000 neue Schadprogrammvarianten pro Tag. Der Großteil entsteht automatisiert durch Packer und Polymorphie-Engines, die aus einer Schadfunktion viele signaturverschiedene Versionen erzeugen, um Virenscanner zu umgehen.

Was kostet Cyberkriminalität die deutsche Wirtschaft?

Die Bitkom-Studie Wirtschaftsschutz beziffert den jährlichen Gesamtschaden auf 289,2 Milliarden Euro, davon 202,4 Milliarden Euro durch Cyberangriffe im engeren Sinn. Eingerechnet sind Produktionsausfälle, Wiederherstellung, Reputationsverluste und Lösegeldzahlungen.

Seit wann gilt NIS2 in Deutschland?

Das BSI-Gesetz, das die EU-Richtlinie NIS2 umsetzt, ist seit dem 2. Dezember 2025 in Kraft. Damit hat Deutschland die EU-Frist vom 17. Oktober 2024 überschritten. Betroffene Unternehmen müssen nun Risikomanagement betreiben und erhebliche Vorfälle binnen 24 Stunden melden.

Warum ist Deutschland im DACH-Raum das Hauptziel?

Laut Check Point entfallen 82 Prozent der DACH-Vorfälle auf Deutschland. Gründe sind die wirtschaftliche Bedeutung als größte Volkswirtschaft Europas, die hohe Dichte an Industrie- und Mittelstandsunternehmen sowie die geopolitische Sichtbarkeit, unter anderem durch die Unterstützung der Ukraine.

Welche Ransomware-Gruppen sind 2025 besonders aktiv?

Check Point nennt für die DACH-Region vor allem Qilin, Akira und LockBit. Alle drei arbeiten nach dem Ransomware-as-a-Service-Modell und setzen auf doppelte Erpressung, also Verschlüsselung kombiniert mit dem Diebstahl und der Androhung einer Veröffentlichung von Daten.

Was sollten Unternehmen jetzt konkret tun?

Die wirksamsten Schritte sind ein vollständiges Asset-Inventar, priorisiertes Patch-Management, flächendeckende Multi-Faktor-Authentisierung, getestete Offline-Backups nach der 3-2-1-Regel, regelmäßige Mitarbeiterschulungen gegen Phishing und ein geübter Incident-Response-Plan. Diese Maßnahmen decken zugleich einen Großteil der NIS2-Anforderungen ab.

Verwandte Beiträge

Quellen und weiterführende Informationen

Stand: 12. Juni 2026. Alle Zahlen stammen aus dem BSI Lagebericht 2025, der Bitkom-Studie Wirtschaftsschutz sowie dem Check-Point-Bericht zur DACH-Bedrohungslage vom Mai 2026.