Die Bedrohungslage in Deutschland hat 2026 ein neues Niveau erreicht. Sicherheitsforscher von Check Point registrierten in der DACH-Region einen Anstieg der Cyberangriffe um 124 Prozent gegenüber dem Vorjahr. Deutschland trägt dabei die Hauptlast: 82 Prozent aller erfassten Vorfälle im deutschsprachigen Raum entfallen auf die Bundesrepublik. Parallel beziffert der Branchenverband Bitkom den jährlichen Schaden durch Cyberkriminalität für die deutsche Wirtschaft auf 266 Milliarden Euro. Dieser Beitrag analysiert die Zahlen hinter dem jüngsten Cyberangriff-Boom in Deutschland, ordnet ihn historisch ein und zeigt, was die neue NIS2-Pflicht für 29.000 Unternehmen bedeutet.
Cyberangriff Deutschland 2026: Die wichtigsten Zahlen im Überblick
Der Cyberangriff auf Deutschland ist kein Einzelereignis mehr, sondern ein dauerhafter Zustand. Die Daten aus dem ersten Halbjahr 2026 zeichnen ein klares Bild. Check Point Research dokumentierte für die DACH-Region (Deutschland, Österreich, Schweiz) einen Zuwachs der Attacken von 124 Prozent im Jahr 2025. Innerhalb dieser Region dominiert Deutschland mit 82 Prozent der Vorfälle, die Schweiz folgt mit 12 Prozent, Österreich mit 8 Prozent. Auf europäischer Ebene stehen die drei Länder zusammen für 18 Prozent aller verzeichneten Cyberangriffe.
Auffällig ist die Verschiebung der Angriffsarten. Mit 66 Prozent waren Website-Defacements (das Verunstalten öffentlicher Webseiten) der häufigste Vorfallstyp. Diese Aktionen ordnen die Forscher überwiegend prorussischen Hacktivisten-Kollektiven zu, allen voran NoName057(16), daneben Gruppen wie Dark Storm Team und Mr Hamza. Finanziell am schwersten wiegt jedoch Ransomware: Knapp 30 Prozent aller Vorfälle in der Region entfielen auf erpresserische Verschlüsselung, die damit die wirtschaftlich gefährlichste Bedrohung bleibt.
Der Lagebericht 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) stützt diesen Befund mit eigenen Kennzahlen. Im Berichtszeitraum kamen durchschnittlich 119 neue IT-Schwachstellen pro Tag hinzu, ein Plus von rund 24 Prozent. Das BSI zählte etwa 950 Ransomware-Vorfälle und stuft die Gesamtlage weiterhin als “angespannt” ein. Deutschland rangierte bei kriminellen Gruppierungen auf Platz drei der weltweit am häufigsten angegriffenen Länder (64 Prozent) und bei staatsnahen APT-Gruppen auf Platz vier (25 Prozent).
Die nackten Fakten: Cyberangriff-Statistik 2025 bis 2026
Die folgende Tabelle fasst die zentralen Messwerte aus den Berichten von Check Point und dem BSI zusammen. Alle Angaben beziehen sich auf den Zeitraum 2025 bis Mitte 2026.
| Kennzahl | Wert | Quelle |
|---|---|---|
| Anstieg Cyberangriffe DACH (2025) | +124 % | Check Point Research |
| Anteil Deutschland an DACH-Vorfällen | 82 % | Check Point Research |
| Anteil Schweiz / Österreich | 12 % / 8 % | Check Point Research |
| Häufigste Angriffsart (Defacement) | 66 % | Check Point Research |
| Anteil Ransomware an Vorfällen | ~30 % | Check Point Research |
| Neue Schwachstellen pro Tag | 119 (+24 %) | BSI-Lagebericht 2025 |
| Erfasste Ransomware-Vorfälle | ~950 | BSI-Lagebericht 2025 |
| Mehr DDoS rund um die Bundestagswahl | +52 % | BSI / Tagesschau |
| Jährlicher Schaden für die Wirtschaft | 266 Mrd. € | Bitkom Research 2025 |
Ein Detail verdient besondere Beachtung: Rund um die Bundestagswahl und die Münchner Sicherheitskonferenz im Februar 2025 registrierte das BSI 52 Prozent mehr DDoS-Angriffe (Überlastungsattacken). Cyberangriffe folgen damit zunehmend dem politischen Kalender. Wahltermine, Gipfeltreffen und außenpolitische Spannungen wirken inzwischen wie Brandbeschleuniger für digitale Attacken auf deutsche Ziele.
266 Milliarden Euro: Der wirtschaftliche Schaden in Deutschland
Die finanzielle Dimension des Cyberangriff-Problems in Deutschland sprengt jede frühere Größenordnung. Bitkom Research veranschlagt den jährlichen Gesamtschaden durch Cyberkriminalität für die deutsche Wirtschaft auf 266 Milliarden Euro. In einzelnen Auswertungen kursiert sogar die Zahl von 289 Milliarden Euro. Wir nennen bewusst den niedrigeren Wert, da die Erhebungsmethoden zwischen den Berichten variieren. Selbst die konservative Schätzung entspricht in etwa dem Bundeshaushalt mehrerer Ministerien.
Der Schaden setzt sich aus direkten und indirekten Kosten zusammen. Zu den direkten zählen Lösegeldzahlungen, Wiederherstellung der Systeme und Ersatz beschädigter Hardware. Indirekte Kosten entstehen durch Produktionsausfälle, Umsatzverluste während der Ausfallzeit, Reputationsschäden und steigende Versicherungsprämien. Gerade kleine und mittlere Unternehmen (KMU) unterschätzen die zweite Kategorie systematisch. Das BSI warnt ausdrücklich, dass der Mittelstand zur bevorzugten Beute geworden ist, weil dort Schutzmaßnahmen und Personal fehlen.
Eine ernüchternde Zahl aus dem KRITIS-Umfeld unterstreicht die Lücke: Laut einer Auswertung auf Basis der BSI-Daten verfügten 48 Prozent der Kritischen Infrastrukturen über keine systematische Angriffserkennung. Fast die Hälfte der Betreiber lebenswichtiger Dienste (Energie, Wasser, Gesundheit) bemerkt einen Cyberangriff also bestenfalls verspätet. Wer einen Einbruch nicht sieht, kann ihn nicht stoppen, und die Verweildauer der Angreifer im Netz verlängert den Schaden mit jedem Tag.
Ransomware Deutschland: Geschäftsmodell statt Einzeltäter
Die Zeiten des einsamen Hackers im Kapuzenpulli sind vorbei. Ransomware in Deutschland funktioniert 2026 wie ein arbeitsteiliger Konzern. Das BSI beschreibt eine ausgereifte Cybercrime-as-a-Service-Ökonomie mit spezialisierten Rollen: Entwickler programmieren die Schadsoftware, Initial Access Broker verkaufen Zugänge zu kompromittierten Netzen, Affiliates führen die eigentliche Verschlüsselung durch, und Verhandlungsteams treiben das Lösegeld ein. Jede Rolle hat ihr eigenes Umsatzmodell.
Das Ransomware-as-a-Service-Modell (RaaS) senkt die technische Einstiegshürde drastisch. Angreifer mieten fertige Werkzeuge und teilen die Beute prozentual mit den Entwicklern. Dadurch steigt die Zahl der aktiven Akteure, selbst wenn einzelne Gruppen zerschlagen werden. Genau das geschah 2024 und 2025: Internationale Ermittler nahmen prominente Marken wie LockBit und Alphv/BlackCat ins Visier. Das BSI berichtet, dass zwei zuvor sehr aktive Gruppen ihren Betrieb nach den Polizeiaktionen nahezu vollständig einstellten.
Diese Erfolge zeigen Wirkung, aber begrenzt. Finanziell motivierte Cyberangriffe gingen laut BSI-nahem Bericht um 9 Prozent zurück, zurückgeführt auf die gemeinsame Arbeit von BKA und BSI. Der Rückgang täuscht jedoch über die Gesamtdynamik hinweg: Während die Ransomware-Front stagniert, wächst die hacktivistische und staatsnahe Front rasant. Das verschobene Gleichgewicht erklärt, warum die absolute Zahl der Vorfälle trotz Strafverfolgung weiter klettert.
Doppelte Erpressung als neue Norm
Moderne Ransomware-Gruppen setzen auf “Double Extortion”. Sie verschlüsseln die Daten nicht nur, sondern stehlen sie vorher und drohen mit Veröffentlichung. Das BSI bestätigt, dass der größte Schaden inzwischen aus der Kombination von Verschlüsselung und Datenleck entsteht. Selbst Unternehmen mit funktionierenden Backups geraten unter Druck, weil ein Datenleck Geschäftsgeheimnisse, Kundendaten und damit DSGVO-Bußgelder nach sich zieht. Die Erpressung trifft so auf zwei Ebenen gleichzeitig.
Wer steckt dahinter? Die aktiven Bedrohungsakteure
Die Angreiferlandschaft 2026 lässt sich grob in drei Lager teilen: finanziell motivierte Ransomware-Banden, prorussische Hacktivisten und staatsnahe APT-Gruppen. Die folgende Tabelle ordnet die in den Berichten genannten Akteure ihren Motiven und Methoden zu.
| Akteur | Typ | Methode | Motiv |
|---|---|---|---|
| NoName057(16) | Hacktivisten (prorussisch) | DDoS, Defacement | Politisch / Propaganda |
| Dark Storm Team | Hacktivisten | DDoS, Defacement | Politisch |
| Mr Hamza | Hacktivisten | Defacement | Politisch |
| LockBit | Ransomware-Bande (RaaS) | Verschlüsselung, Datenleck | Finanziell |
| Alphv / BlackCat | Ransomware-Bande (RaaS) | Double Extortion | Finanziell |
| APT-Gruppen | Staatsnah | Spionage, Sabotage | Geopolitisch |
Wichtig zur Einordnung: NoName057(16) ist primär ein DDoS- und Defacement-Akteur, keine klassische Ransomware-Gruppe. Die hohe Defacement-Quote von 66 Prozent erklärt sich genau daraus. Politisch motivierte Attacken zielen auf Sichtbarkeit und Verunsicherung, nicht auf Lösegeld. Sie richten oft geringeren direkten Schaden an, binden aber erhebliche Abwehrressourcen und prägen die öffentliche Wahrnehmung der Bedrohungslage.
Die geopolitische Komponente verschärft sich. Der deutsche Cybersicherheits-Praxisleitfaden 2026 hält fest, dass geopolitische Spannungen die Bedrohungslandschaft zunehmend formen. Angriffe auf kritische Infrastruktur dienen nicht mehr nur dem Geldverdienen, sondern auch der Einflussnahme. Diese Vermischung von Kriminalität und Staatsinteresse macht Zuordnung und Abwehr für deutsche Behörden deutlich komplizierter.
KI als Brandbeschleuniger: Phishing erreicht neue Qualität
Künstliche Intelligenz hat die Spielregeln verändert. Der deutsche Branchenleitfaden 2026 warnt, dass KI-generierte Phishing-Mails, Sprachnachrichten und videobasierte Social-Engineering-Angriffe kaum noch von echter Kommunikation zu unterscheiden sind. Die klassischen Erkennungsmerkmale (holprige Grammatik, falsche Anrede, plumpe Aufmachung) verschwinden. Eine perfekt formulierte deutsche Phishing-Mail kostet den Angreifer heute Sekunden statt Stunden.
Besonders gefährlich wird die Kombination aus Deepfake-Stimme und Echtzeit-Manipulation. Betrüger imitieren die Stimme von Geschäftsführern, um Buchhaltungen zu Überweisungen zu drängen (CEO-Fraud). Was früher menschliche Schauspielkunst erforderte, erledigt heute ein Sprachmodell. Für Unternehmen bedeutet das: Technische Schutzmaßnahmen allein reichen nicht. Die menschliche Verifikation über einen zweiten Kanal wird zur Pflicht.
Gleichzeitig nutzen Verteidiger KI zur Mustererkennung. Moderne Endpoint-Detection-Systeme analysieren Verhaltensmuster im Netzwerk und schlagen bei Anomalien Alarm, bevor die Verschlüsselung startet. Der Wettlauf zwischen angreifender und verteidigender KI prägt die Sicherheitsbranche 2026. Wer in diesem Rennen auf veraltete, signaturbasierte Erkennung setzt, verliert. Das erklärt, warum die 48 Prozent KRITIS-Betreiber ohne Angriffserkennung so alarmierend sind.
NIS2 in Deutschland: 29.000 Unternehmen in der Pflicht
Die größte regulatorische Neuerung ist das deutsche NIS2-Umsetzungsgesetz. Nach langer Verzögerung verabschiedete der Bundestag das Gesetz am 13. November 2025. Es trat am 6. Dezember 2025 in Kraft, ohne Übergangsfrist. Das BSI-Portal für Registrierung und Meldungen ging am 6. Januar 2026 online. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI registrieren. Wer die Frist verpasste, riskiert empfindliche Sanktionen.
Der Geltungsbereich wächst dramatisch. Bisher fielen rund 4.500 Organisationen unter die KRITIS-Regeln. NIS2 weitet den Kreis auf etwa 29.000 Unternehmen aus, einzelne juristische Analysen sprechen von mehr als 29.500 betroffenen Einrichtungen. Das Gesetz unterscheidet zwischen “wichtigen” und “besonders wichtigen” Einrichtungen und erfasst Sektoren wie Gesundheit, Transport, digitale Infrastruktur und öffentliche Verwaltung. Krankenhäuser, Hochschulen und Stadtverwaltungen rücken damit in den Pflichtkreis.
Die Sanktionen haben Zähne. Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ausfällt. Das BSI erhält erweiterte Prüf- und Sanktionsbefugnisse. Geschäftsführer haften persönlich für die Umsetzung der Sicherheitsmaßnahmen. Diese Personalisierung der Verantwortung soll Cybersicherheit endgültig von der IT-Abteilung in die Chefetage holen.
DORA: Eigene Regeln für den Finanzsektor
Parallel zu NIS2 gilt seit dem 17. Januar 2025 die EU-Verordnung DORA (Digital Operational Resilience Act) für den Finanzsektor. Banken, Versicherer und ihre kritischen IT-Dienstleister müssen ihre digitale Widerstandsfähigkeit nachweisen, Vorfälle melden und das Drittparteienrisiko ihrer Cloud- und Software-Anbieter steuern. Für viele Finanzinstitute überlagern sich NIS2 und DORA, was die Compliance-Komplexität 2026 zusätzlich erhöht.
Stimmen aus der Praxis: Was Experten warnen
Die Einschätzungen führender Sicherheitsverantwortlicher decken sich mit den Daten. BSI-Präsidentin Claudia Plattner ordnet die Lage in ihrer öffentlichen Kommunikation klar ein. Ihre wiederkehrende Kernbotschaft lautet sinngemäß:
“Die Bedrohungslage bleibt angespannt. Wir machen Fortschritte, doch zu viele Systeme in Wirtschaft und Verwaltung sind weiterhin verwundbar. Cybersicherheit muss Chefsache werden, nicht Aufgabe einer einzelnen Abteilung.”
Claudia Plattner, Präsidentin des BSI
Die Sicherheitsforscher von Check Point Research, die den 124-Prozent-Anstieg dokumentierten, ziehen ein ähnliches Fazit zur DACH-Region. Ihr Befund:
“Deutschland ist zum Brennpunkt einer eskalierenden Kampagne geworden, in der finanziell motivierte Ransomware und geopolitisch getriebener Hacktivismus zunehmend verschmelzen. Die schiere Geschwindigkeit der Zunahme zwingt Organisationen, ihre Annahmen über Risiko grundlegend zu überdenken.”
Check Point Research, DACH-Lagebericht 2026
Auch der Branchenverband Bitkom mahnt seit Jahren zur Eile. Bitkom-Präsident Ralf Wintergerst verweist auf die Rekordschäden und fordert mehr Tempo bei Investitionen und Fachkräften:
“Ein Schaden von mehreren Hundert Milliarden Euro pro Jahr ist keine abstrakte Statistik, sondern eine direkte Belastung für Arbeitsplätze und Innovation. Deutschland kann sich Zögern bei der digitalen Sicherheit nicht länger leisten.”
Ralf Wintergerst, Präsident des Bitkom
Die drei Stimmen markieren einen Konsens: Die Technik existiert, die Gesetze sind beschlossen, doch die Umsetzung in der Fläche hinkt hinterher. Besonders der Mittelstand und die öffentliche Verwaltung gelten als Achillesferse der deutschen Cyberabwehr. Genau dort konzentrieren sich die Angreifer.
Historischer Kontext: Vom Bundestag-Hack zur Dauerkrise
Der aktuelle Cyberangriff-Boom in Deutschland hat eine Vorgeschichte. 2015 erschütterte der Hack des Bundestags die politische Klasse, als Angreifer über Wochen Daten aus dem Parlamentsnetz abzogen. 2017 legte die WannaCry-Welle weltweit Systeme lahm und traf in Deutschland sichtbar die Anzeigetafeln der Deutschen Bahn. Diese Ereignisse galten lange als Ausnahmen, als spektakuläre Einzelfälle.
Der Wendepunkt kam mit der Kommunalisierung des Risikos. Im Oktober 2023 traf ein Ransomware-Angriff den Dienstleister Südwestfalen-IT und legte die Verwaltung zahlreicher Kommunen in Nordrhein-Westfalen über Monate lahm. Bürger konnten keine Ausweise beantragen, keine Sozialleistungen abrufen, keine Kfz anmelden. Der Vorfall zeigte, dass ein einziger kompromittierter Dienstleister Dutzende Behörden gleichzeitig ausschalten kann. Lieferketten-Sicherheit rückte ins Zentrum der Debatte.
2026 ist aus der Ausnahme der Normalzustand geworden. Die Frage lautet nicht mehr “ob”, sondern “wann” eine Organisation getroffen wird. Diese mentale Verschiebung prägt die Sicherheitsstrategie. Konzepte wie “Assume Breach” (geh vom Einbruch aus) und “Zero Trust” (vertraue keinem Gerät automatisch) lösen den alten Burggraben-Gedanken ab, der allein auf eine starke Außenmauer setzte.
DACH-Vergleich: Deutschland, Österreich und Schweiz im Wettbewerb der Abwehr
Der Cyberangriff auf den DACH-Raum trifft die drei Länder unterschiedlich hart. Mit 82 Prozent der Vorfälle steht Deutschland klar im Fadenkreuz, was sich teils durch die schiere Größe der Volkswirtschaft und die Zahl exponierter Unternehmen erklärt. Die Schweiz (12 Prozent) und Österreich (8 Prozent) sind kleinere Ziele, ihre Behörden agieren teils agiler, kämpfen aber mit denselben strukturellen Problemen: Fachkräftemangel und unterfinanzierte KMU.
Regulatorisch zieht die EU die DACH-Mitglieder Deutschland und Österreich enger zusammen, da beide NIS2 umsetzen müssen. Österreich verabschiedete seine Umsetzung in einem eigenen Zeitplan, Deutschland folgte erst im Dezember 2025. Die Schweiz als Nicht-EU-Mitglied geht einen Sonderweg mit eigener Meldepflicht für kritische Infrastrukturen, orientiert sich inhaltlich aber stark an den europäischen Standards, um anschlussfähig zu bleiben.
Im Vergleich der Schlagkraft zeigt sich ein gemischtes Bild. Deutschland verfügt mit dem BSI über eine der personell stärksten nationalen Cybersicherheitsbehörden Europas. Gleichzeitig bremsen föderale Zuständigkeiten und langsame Beschaffung die Reaktionsgeschwindigkeit. Die kleineren Nachbarn punkten mit kürzeren Entscheidungswegen, verfügen aber über weniger Ressourcen für Großlagen. Kein Land im DACH-Raum kann sich entspannt zurücklehnen.
Marktwirkung: Boom für Sicherheitsanbieter und Versicherer
Jede Krise schafft Gewinner. Der Ransomware-Druck in Deutschland beschert der IT-Sicherheitsbranche ein robustes Wachstum. Anbieter von Managed Detection and Response (MDR), Backup-Lösungen und Schwachstellenmanagement verzeichnen volle Auftragsbücher, getrieben durch die NIS2-Pflicht von 29.000 Unternehmen. Der Markt verschiebt sich von Einzelprodukten hin zu integrierten Plattformen, die Erkennung, Reaktion und Compliance-Nachweise bündeln.
Auch der Markt für Cyberversicherungen ordnet sich neu. Nach Jahren explodierender Schäden haben Versicherer ihre Bedingungen verschärft. Policen verlangen heute den Nachweis konkreter Mindeststandards: Multi-Faktor-Authentifizierung, getestete Backups und Notfallpläne. Wer diese nicht vorweisen kann, erhält keine Deckung oder zahlt deutlich höhere Prämien. Die Versicherung wird so indirekt zum Treiber besserer Sicherheitshygiene.
Für die Fachkräfte ist die Lage ein Arbeitnehmermarkt. Der Mangel an qualifizierten Sicherheitsexperten in Deutschland verschärft sich mit jeder neuen Pflicht. Gehälter für erfahrene Security-Analysten und CISOs steigen, gleichzeitig wächst der Markt für ausgelagerte Sicherheitsdienste (SOC-as-a-Service), weil viele Mittelständler eigenes Personal weder finden noch bezahlen können. Diese Auslagerung wiederum konzentriert Risiken bei wenigen Dienstleistern, ein Echo des Südwestfalen-IT-Falls.
Fünf Prognosen: Wohin sich die Bedrohungslage 2026 und 2027 entwickelt
Aus den aktuellen Daten lassen sich mehrere belastbare Trends ableiten. Diese fünf Entwicklungen prägen die deutsche Cybersicherheit in den kommenden Monaten.
- KI-Angriffe werden zur Standardausstattung. Bis Ende 2026 dürften individuell zugeschnittene, KI-generierte Phishing- und Deepfake-Kampagnen den Großteil erfolgreicher Erstinfektionen ausmachen. Die menschliche Erkennung allein versagt zunehmend.
- NIS2 erzwingt eine Welle von Nachrüstungen. Die Registrierungspflicht bis März 2026 deckt enorme Lücken auf. 2026 und 2027 werden zu Jahren hektischer Investitionen, besonders bei Kommunen und Mittelständlern, die bisher zögerten.
- Hacktivismus übertrifft klassische Kriminalität in der Häufigkeit. Solange geopolitische Spannungen anhalten, bleiben Defacement und DDoS die häufigste Angriffsart, während Ransomware der teuerste Vorfallstyp bleibt.
- Lieferketten werden zum Hauptangriffsvektor. Nach dem Vorbild Südwestfalen-IT zielen Angreifer verstärkt auf zentrale Dienstleister, um mit einem Treffer viele Opfer gleichzeitig zu erreichen.
- Geschäftsführerhaftung verändert die Prioritäten. Die persönliche Haftung unter NIS2 hebt Cybersicherheit dauerhaft auf die Vorstandsebene und verschiebt Budgets von der Kür zur Pflicht.
Die gemeinsame Klammer dieser Prognosen: Die Angriffsfläche wächst schneller als die Abwehr. Digitalisierung, Vernetzung und Cloud-Nutzung erzeugen laufend neue Einfallstore. Solange die Verteidigung reaktiv bleibt, behält der Angreifer den Zeitvorteil. Der einzige Ausweg führt über Automatisierung, geteilte Bedrohungsinformationen und konsequente Umsetzung der bereits bekannten Schutzmaßnahmen.
Was Unternehmen jetzt konkret tun sollten
Die gute Nachricht: Die meisten erfolgreichen Angriffe nutzen bekannte, vermeidbare Schwächen. Wer die Grundlagen beherrscht, schließt einen Großteil der Einfallstore. Die folgenden Maßnahmen bilden das Fundament jeder ernsthaften Abwehr gegen einen Cyberangriff in Deutschland.
- Multi-Faktor-Authentifizierung überall. MFA stoppt die meisten Angriffe mit gestohlenen Passwörtern. Sie ist die wirksamste Einzelmaßnahme im Verhältnis zum Aufwand.
- Backups testen, nicht nur anlegen. Ein Backup, das sich im Ernstfall nicht wiederherstellen lässt, ist wertlos. Offline-Kopien (Air-Gap) schützen vor Mitverschlüsselung.
- Patches schnell einspielen. Bei 119 neuen Schwachstellen pro Tag zählt jede Stunde. Automatisiertes Schwachstellenmanagement ist Pflicht, kein Luxus.
- Angriffserkennung einführen. Die 48-Prozent-Lücke bei KRITIS zeigt: Ohne Monitoring bleibt ein Einbruch unsichtbar. EDR- und SIEM-Systeme schaffen Sichtbarkeit.
- Mitarbeiter schulen. Gegen KI-Phishing hilft die Regel der Verifikation über einen zweiten Kanal. Keine Überweisung allein auf Zuruf, auch nicht per vermeintlichem Anruf des Chefs.
- Notfallplan üben. Wer den Ernstfall einmal durchgespielt hat, reagiert im echten Vorfall schneller und ruhiger. Die Meldepflicht unter NIS2 macht klare Prozesse ohnehin verbindlich.
Häufig gestellte Fragen (FAQ)
Wie stark sind die Cyberangriffe auf Deutschland 2026 gestiegen?
Check Point Research verzeichnete für die DACH-Region einen Anstieg von 124 Prozent im Jahr 2025. Deutschland trägt davon 82 Prozent der Vorfälle. Das BSI meldet zudem 119 neue Schwachstellen pro Tag, ein Plus von rund 24 Prozent gegenüber dem Vorjahr.
Wie hoch ist der wirtschaftliche Schaden durch Cyberkriminalität in Deutschland?
Bitkom Research beziffert den jährlichen Schaden für die deutsche Wirtschaft auf 266 Milliarden Euro. Einzelne Auswertungen nennen sogar 289 Milliarden Euro. Der Schaden umfasst Lösegelder, Wiederherstellung, Produktionsausfälle und Reputationsverluste.
Wer muss sich unter NIS2 in Deutschland registrieren?
Etwa 29.000 Unternehmen fallen unter das NIS2-Umsetzungsgesetz, das am 6. Dezember 2025 in Kraft trat. Betroffen sind “wichtige” und “besonders wichtige” Einrichtungen in Sektoren wie Gesundheit, Transport, digitale Infrastruktur und Verwaltung. Die Registrierungsfrist beim BSI lief bis zum 6. März 2026.
Welche Bußgelder drohen bei Verstößen gegen NIS2?
Für besonders wichtige Einrichtungen sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist. Zusätzlich haften Geschäftsführer persönlich für die Umsetzung der Sicherheitsmaßnahmen.
Welche Ransomware-Gruppen sind in Deutschland aktiv?
Zu den prominenten finanziell motivierten Gruppen zählen LockBit und Alphv/BlackCat, beide standen im Visier internationaler Ermittler. Bei politisch motivierten Attacken dominieren Hacktivisten wie NoName057(16), Dark Storm Team und Mr Hamza mit DDoS und Defacement.
Was ist die wirksamste Schutzmaßnahme gegen Ransomware?
Es gibt keine Einzellösung, doch die Kombination aus Multi-Faktor-Authentifizierung, getesteten Offline-Backups und schnellem Patchen deckt die meisten Angriffswege ab. Ergänzend sorgt eine aktive Angriffserkennung dafür, dass ein Einbruch früh auffällt, bevor die Verschlüsselung startet.
Related Coverage
- Jaguar Land Rover Cyberangriff: 1,9 Mrd. £ Schaden
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Phishing-Angriffe erkennen und abwehren
- Passwortsicherheit: Was Konten wirklich schützt
- HTTPS und TLS verständlich erklärt
- Online-Sicherheit: Der praktische Leitfaden
Weiterführende offizielle Quellen: der BSI-Lagebericht 2025, die Tagesschau-Analyse zur IT-Sicherheitslage, die Schadensstatistik des Bitkom, die offizielle NIS2-Übersicht der EU-Kommission sowie der Lagebericht der EU-Agentur ENISA.
Stand: 11. Juni 2026. Alle Zahlen basieren auf den Veröffentlichungen von BSI, Bitkom und Check Point Research aus den Jahren 2025 und 2026.
