{"id":188,"date":"2026-06-18T04:22:29","date_gmt":"2026-06-18T04:22:29","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/18\/bka-cybercrime-bericht-2025\/"},"modified":"2026-06-18T04:23:50","modified_gmt":"2026-06-18T04:23:50","slug":"bka-cybercrime-bericht-2025","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/18\/bka-cybercrime-bericht-2025\/","title":{"rendered":"BKA 2025: 333.922 Cyberf\u00e4lle, \u20ac202 Mrd. Schaden [2026]"},"content":{"rendered":"\n

Der BKA-Cybercrime-Lagebericht 2025<\/strong>, ver\u00f6ffentlicht im Juni 2026, liefert Zahlen, die Sicherheitsverantwortliche in ganz Deutschland aufhorchen lassen: 333.922 registrierte Cyberstraftaten<\/strong>, davon 207.888 mit ausl\u00e4ndischem Ursprung, und ein Gesamtschaden von rund 202,4 Milliarden Euro<\/strong> f\u00fcr die deutsche Wirtschaft. Parallel dazu dokumentiert eine im Mai 2026 publizierte Analyse von Check Point Software Technologies, dass Cyberangriffe auf Organisationen in Deutschland, \u00d6sterreich und der Schweiz im Jahr 2025 um 124 Prozent<\/strong> gestiegen sind. Die DACH-Region steht unter einem Beschuss, der in Intensit\u00e4t, Professionalit\u00e4t und geopolitischer Tiefe neue Ma\u00dfst\u00e4be setzt.<\/p>\n\n\n\n

Deutschland tr\u00e4gt mit 82 Prozent<\/strong> aller registrierten Vorf\u00e4lle die Hauptlast dieser Angriffswelle. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) beschreibt die Bedrohungslage als so hoch wie nie zuvor. Ransomware, Hacktivismus und staatlich gesteuerter Cyberkrieg sind keine getrennten Ph\u00e4nomene mehr, sondern greifen in einem \u00d6kosystem ineinander, das Beh\u00f6rden, Unternehmen und kritische Infrastrukturen t\u00e4glich herausfordert.<\/p>\n\n\n\n

DACH im Visier: 124 Prozent mehr Cyberangriffe in 2025<\/h2>\n\n\n\n

Die Check-Point-Analyse, die Daten aus dem gesamten Jahr 2025 auswertet, stellt klar: Die DACH-Region ist kein Randschauplatz im globalen Cyberkonflikt. Mit einem Anstieg von 124 Prozent liegt das Wachstum der Angriffe auf Deutschland, \u00d6sterreich und die Schweiz weit \u00fcber dem europ\u00e4ischen Durchschnitt. Die DACH-Region macht zwar nur einen Bruchteil der europ\u00e4ischen Wirtschaftsfl\u00e4che aus, tr\u00e4gt aber 18 Prozent<\/strong> aller in Europa registrierten Cyberangriffe.<\/p>\n\n\n\n

Die Verteilung innerhalb der DACH-Region ist stark ungleich. Deutschland als gr\u00f6\u00dfte Volkswirtschaft und wichtigster geopolitischer Akteur des Blocks absorbiert 82 Prozent der Vorf\u00e4lle, die Schweiz 12 Prozent und \u00d6sterreich 8 Prozent. Dieser Befund ist kein Zufall: Deutschland liefert aktiv Waffen an die Ukraine, betreibt kritische NATO-Infrastrukturen und beherbergt bedeutende Industriezentren, die f\u00fcr staatliche und kriminelle Angreifer gleicherma\u00dfen attraktiv sind.<\/p>\n\n\n\n

Maya Horowitz<\/strong>, Vice President Research bei Check Point Software Technologies, erkl\u00e4rte anl\u00e4sslich der Ver\u00f6ffentlichung des DACH-Berichts: “Deutschland ist nicht nur wegen seiner Wirtschaftsleistung im Fadenkreuz. Seine geopolitische Sichtbarkeit, besonders durch die Unterst\u00fctzung der Ukraine, macht es zum prim\u00e4ren Angriffsziel f\u00fcr pro-russische Akteure in der Region.”<\/p>\n\n\n\n

Bereits im Januar 2026 setzten sich die Trends fort. Check Point dokumentierte, dass deutsche Unternehmen in diesem Monat durchschnittlich 1.314 Angriffe<\/strong> pro Woche erlitten, eine Steigerung von 16 Prozent<\/strong> gegen\u00fcber dem Vorjahresmonat. Die Angriffe verteilen sich auf Ransomware, DDoS-Kampagnen und gezielte Einbruchsversuche in Unternehmensnetzwerke.<\/p>\n\n\n\n

BKA-Lagebericht 2025: Rekordzahlen im Detail<\/h2>\n\n\n\n

Das Bundeskriminalamt (BKA) registrierte im Jahr 2025 insgesamt 333.922 Cyberstraftaten in Deutschland, Inlandstaten und ausl\u00e4ndische Straftaten mit deutschen Opfern zusammengerechnet. Mit 207.888 ausl\u00e4ndischen Delikten zeigt sich, dass mehr als 60 Prozent der Angriffe grenz\u00fcberschreitend organisiert sind, eine strukturelle Herausforderung f\u00fcr nationalbeh\u00f6rdliche Strafverfolgung.<\/p>\n\n\n\n

Carsten Meywirth<\/strong>, Leiter der Abteilung Cybercrime beim BKA, kommentierte den Lagebericht: “Cyberkriminalit\u00e4t hat sich zu einer hochprofessionalisierten Dienstleistungsbranche entwickelt. Wir sehen eine zunehmende Arbeitsteilung zwischen Ransomware-Entwicklern, Zugangsvermittlern und Erpressungsspezialisten, die im Verbund operieren.” Das Ph\u00e4nomen Ransomware-as-a-Service (RaaS) erm\u00f6glicht es auch technisch weniger versierten T\u00e4tern, zerst\u00f6rerische Angriffe durchzuf\u00fchren.<\/p>\n\n\n\n

Besonders relevant f\u00fcr Wirtschaft und Politik ist die wirtschaftliche Schadensumme: Laut der im BKA-Bericht zitierten Bitkom-Studie verursachten Cyberangriffe 202,4 Milliarden Euro<\/strong> Schaden f\u00fcr die deutsche Wirtschaft. Der Schwarz-Digits-Cybersecurity-Report 2026 erg\u00e4nzt: In Deutschland entfallen inzwischen 70 Prozent<\/strong> aller wirtschaftlichen Sch\u00e4den durch Diebstahl, Wirtschaftsspionage und Sabotage auf Cyberangriffe. Der Rest verteilt sich auf physische Einbr\u00fcche und klassische Industriespionage.<\/p>\n\n\n\n

Ralf Wintergerst<\/strong>, Pr\u00e4sident des Digitalverbands Bitkom, ordnete die Schadenzahlen ein: “202 Milliarden Euro Schaden bedeuten, dass Cyberangriffe zum gr\u00f6\u00dften Einzelfaktor wirtschaftlicher Verluste in Deutschland geworden sind, weit vor Naturkatastrophen oder klassischen Wirtschaftsdelikten. Wir brauchen eine nationale Kraftanstrengung, die mit dem Ausma\u00df der Bedrohung Schritt h\u00e4lt.”<\/p>\n\n\n\n

Ransomware: Fast 30 Prozent aller DACH-Angriffe<\/h2>\n\n\n\n

Innerhalb des DACH-Bedrohungsbilds nimmt Ransomware eine Sonderstellung ein. Zwar macht Website-Defacement mit 66 Prozent den gr\u00f6\u00dften Anteil der Vorf\u00e4lle aus, diese Angriffe sind jedoch meistens spektakul\u00e4r ohne langfristigen finanziellen Schaden. Ransomware hingegen, die knapp 30 Prozent der Vorf\u00e4lle ausmacht, ist die kostspieligste Angriffsform und h\u00e4lt Organisationen teils wochenlang au\u00dfer Gefecht.<\/p>\n\n\n\n

Das BKA registrierte f\u00fcr 2025 genau 1.041 Ransomware-Angriffe<\/strong> auf deutsche Ziele, ein Anstieg von rund 10 Prozent gegen\u00fcber 2024. Bemerkenswerter als die absolute Zahl ist die Zielauswahl: 96 Prozent<\/strong> der Ransomware-Angriffe trafen Unternehmen, Organisationen und Institutionen. Nur 4 Prozent richteten sich gegen Privatpersonen. Von den betroffenen Unternehmen wiederum sind 90 Prozent<\/strong> kleine und mittelst\u00e4ndische Betriebe (KMU).<\/p>\n\n\n\n

Das dominante Muster ist die sogenannte doppelte Erpressung<\/strong>: Angreifer verschl\u00fcsseln nicht nur Daten, sondern exfiltrieren diese vorab und drohen mit Ver\u00f6ffentlichung. Dieses Vorgehen erh\u00f6ht den Druck auf Opfer erheblich, weil Datensicherungen allein keine vollst\u00e4ndige Schutzma\u00dfnahme mehr bieten. Selbst Unternehmen mit funktionsf\u00e4higem Backup-System sehen sich mit Reputationssch\u00e4den und Compliance-Risiken konfrontiert, wenn sensible Kundendaten ins Darknet gelangen.<\/p>\n\n\n\n

Die aktivsten Angreifergruppen in der DACH-Region 2025<\/h2>\n\n\n\n

Check Point identifizierte drei Ransomware-Gruppen als besonders aktiv in der DACH-Region: Qilin<\/strong>, Akira<\/strong> und LockBit<\/strong>. Alle drei betreiben das Ransomware-as-a-Service-Modell, vermieten also ihre Schadsoftware und Infrastruktur an sogenannte Affiliates, die selbst Angriffe durchf\u00fchren und einen Teil des L\u00f6segelds abf\u00fchren.<\/p>\n\n\n\n

Qilin<\/strong> tauchte 2023 erstmals auf und fokussierte sich fr\u00fch auf kritische Sektoren, darunter Gesundheitswesen und kommunale Verwaltungen. Im September 2025 beanspruchte die Gruppe einen Angriff auf den japanischen Braukonzern Asahi, bei dem 27 GB Daten und 1,914 Millionen Kundendatens\u00e4tze erbeutet wurden. Das Muster l\u00e4sst sich auf deutsche Angriffe \u00fcbertragen: kritische Infrastruktur, schwache Authentifizierungsmechanismen, exponierte Internet-Zugangspunkte.<\/p>\n\n\n\n

Akira<\/strong> ist seit 2023 aktiv und hat sich auf Unternehmens-VPN-Schwachstellen spezialisiert, insbesondere auf Cisco-VPN-Produkte, bei denen fehlende Multifaktorauthentifizierung ausgenutzt wird. LockBit<\/strong>, trotz einer Zerschlagungsaktion der Beh\u00f6rden im Jahr 2024, blieb operativ. Neuere LockBit-Affiliates operieren unter ver\u00e4nderten Markennamen, nutzen aber dieselbe Kerntechnologie. Die T\u00e4tergruppen bevorzugen als Einfallstor schwache Authentifizierungskontrollen, ungepatchte VPN-Gateways und kompromittierte Fernzugangssoftware.<\/p>\n\n\n\n

Hacktivismus: NoName057(16) und der geopolitische Cyberkrieg<\/h2>\n\n\n\n

Neben finanziell motivierten Kriminellen pr\u00e4gten politisch getriebene Hacktivistengruppen das Bild der DACH-Bedrohungslage in 2025. Website-Defacement machte 66 Prozent der Gesamtvorf\u00e4lle aus und wurde \u00fcberwiegend von pro-russischen Kollektiven durchgef\u00fchrt. NoName057(16)<\/strong> war die bei weitem aktivste Gruppe, erg\u00e4nzt durch Dark Storm Team<\/strong> und Mr Hamza<\/strong>.<\/p>\n\n\n\n

NoName057(16) hat Deutschland als prim\u00e4res Ziel erkl\u00e4rt, direkt als Reaktion auf deutsche Waffenlieferungen an die Ukraine und politische Unterst\u00fctzung f\u00fcr Kiew. Die Gruppe nutzt DDoS-Angriffe und Defacement-Kampagnen als Mittel der psychologischen Kriegsf\u00fchrung. Deutsche Beh\u00f6rden-, Regierungs- und Medienwebsites sind regelm\u00e4\u00dfig betroffen. Bundesbeh\u00f6rden erlebten 2025 14 dokumentierte DDoS-Wellen von NoName057(16)<\/a> allein in Deutschland.<\/p>\n\n\n\n

Der Unterschied zu rein kriminellen Gruppen ist bedeutsam: Hacktivisten messen ihren Erfolg nicht in L\u00f6segeldzahlungen, sondern in medialer Aufmerksamkeit und politischer Signalwirkung. Ein erfolgreicher Defacement-Angriff auf eine Bundesbeh\u00f6rde l\u00f6st Nachrichten aus, schafft Verunsicherung und demonstriert Vulnerabilit\u00e4t, ohne dass die Angreifer eine finanzielle Gegenleistung ben\u00f6tigen. Das macht sie schwerer abzuschrecken als gew\u00f6hnliche Cyberkriminelle.<\/p>\n\n\n\n

Der Mittelstand im Fadenkreuz: KMU tragen 90 Prozent der Last<\/h2>\n\n\n\n

Dass 90 Prozent der Ransomware-Opfer in Deutschland aus dem Mittelstand kommen, hat strukturelle Gr\u00fcnde. Gro\u00dfe Konzerne investieren seit Jahren substanziell in Cybersicherheit, besch\u00e4ftigen eigene Security-Operations-Center-Teams und verf\u00fcgen \u00fcber spezialisierte Incident-Response-Kapazit\u00e4ten. KMU hingegen arbeiten oft mit veralteter IT-Infrastruktur, minimalen Sicherheitsbudgets und ohne dediziertes IT-Sicherheitspersonal.<\/p>\n\n\n\n

Claudia Plattner<\/strong>, Pr\u00e4sidentin des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI), hat in mehreren Interviews 2026 betont: “Der Mittelstand ist das R\u00fcckgrat der deutschen Wirtschaft und gleichzeitig der schw\u00e4chste Punkt in unserer kollektiven Cyberabwehr. Ein Angriff auf einen mittelst\u00e4ndischen Zulieferer kann die gesamte Lieferkette eines Gro\u00dfunternehmens lahmlegen.” Das BSI arbeitet daher intensiv an vereinfachten Sicherheitsrahmenwerken und Zertifizierungsangeboten speziell f\u00fcr kleinere Betriebe.<\/p>\n\n\n\n

Die wirtschaftlichen Folgen f\u00fcr KMU sind oft existenzbedrohend. Anders als Gro\u00dfunternehmen k\u00f6nnen mittelst\u00e4ndische Betriebe mehrw\u00f6chige Betriebsausf\u00e4lle selten ohne bleibenden Schaden \u00fcberbr\u00fccken. Der Verlust von Kundendaten, Vertragsunterlagen und propriet\u00e4rem Know-how durch Datenverschl\u00fcsselung trifft KMU strukturell h\u00e4rter. In einigen dokumentierten F\u00e4llen 2025 mussten Unternehmen nach einem erfolgreichen Ransomware-Angriff Insolvenz anmelden, weil weder L\u00f6segeldzahlung noch vollst\u00e4ndige Wiederherstellung wirtschaftlich tragf\u00e4hig war.<\/p>\n\n\n\n

Deutschland im EU-Vergleich: Angriffe, Sch\u00e4den und Abwehrstrukturen<\/h2>\n\n\n\n

Im europ\u00e4ischen Kontext nimmt Deutschland eine Sonderrolle ein: gr\u00f6\u00dfte Volkswirtschaft, gr\u00f6\u00dftes Angriffsziel und gleichzeitig einer der aktivsten Cybersicherheits-Investoren auf dem Kontinent. Der Vergleich mit anderen EU-L\u00e4ndern verdeutlicht Gemeinsamkeiten im Bedrohungsprofil und Unterschiede bei Reaktion und Regulierung.<\/p>\n\n\n\n

Land<\/th>Anteil an DACH\/EU-Angriffen 2025<\/th>Wirtschaftsschaden<\/th>Zust\u00e4ndige Beh\u00f6rde<\/th>NIS2-Umsetzungsstand<\/th><\/tr><\/thead>
Deutschland<\/td>82% der DACH-Vorf\u00e4lle, 18% EU<\/td>\u20ac202,4 Mrd. (Bitkom\/BKA)<\/td>BSI, BKA<\/td>NIS2UmsuCG seit Oktober 2024 in Kraft<\/td><\/tr>
\u00d6sterreich<\/td>8% der DACH-Vorf\u00e4lle<\/td>Anteilig ca. \u20ac12 bis \u20ac15 Mrd.<\/td>CERT.at, DSN<\/td>NISG 2024 umgesetzt<\/td><\/tr>
Schweiz (kein EU-Mitglied)<\/td>12% der DACH-Vorf\u00e4lle<\/td>CHF 8 bis 12 Mrd. (gesch\u00e4tzt)<\/td>BACS (ehem. NCSC)<\/td>Informationssicherheitsgesetz ISG<\/td><\/tr>
Frankreich<\/td>ca. 9% des EU-Anteils<\/td>ca. \u20ac82 Mrd. (ANSSI)<\/td>ANSSI<\/td>Vollst\u00e4ndig umgesetzt<\/td><\/tr>
Niederlande<\/td>ca. 6% des EU-Anteils<\/td>ca. \u20ac45 Mrd. (NCTV)<\/td>NCSC-NL<\/td>Vollst\u00e4ndig umgesetzt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Der Vergleich zeigt: Deutschland tr\u00e4gt \u00fcberproportional zur gesamteurop\u00e4ischen Angriffslast bei, hat aber auch erhebliche Regulierungs- und Abwehrkapazit\u00e4ten aufgebaut. Die NIS2-Richtlinie, die seit Oktober 2024 in nationales Recht umgesetzt ist, verpflichtet zehntausende Unternehmen zur Einhaltung von Mindestsicherheitsstandards. Die praktische Durchsetzung und Aufsicht l\u00e4uft jedoch erst schrittweise an.<\/p>\n\n\n\n

NIS2 und DORA: Regulatorischer Gegenwind als Abwehrstrategie<\/h2>\n\n\n\n

Die europ\u00e4ische Reaktion auf die Bedrohungseskalation hei\u00dft Regulierung. Zwei Gesetze pr\u00e4gen 2026 die Compliance-Agenda in der DACH-Region: NIS2<\/strong> und DORA<\/strong>. Die DORA-Verordnung verpflichtet seit Januar 2025 rund 22.000 Finanzunternehmen<\/a> in der EU zu strikten IKT-Risikomanagementstandards, mit Strafen von bis zu 1 Prozent des globalen Jahresumsatzes bei Verst\u00f6\u00dfen.<\/p>\n\n\n\n

NIS2 erweitert den Anwendungsbereich der urspr\u00fcnglichen NIS-Richtlinie deutlich. Statt wie bisher nur wenige hundert kritische Betreiber erfasst NIS2 in Deutschland sch\u00e4tzungsweise 30.000 bis 40.000 Unternehmen<\/strong> aus 18 Sektoren. Dazu geh\u00f6ren Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur, Post- und Kurierdienste sowie gro\u00dfe Teile der verarbeitenden Industrie. Bu\u00dfgelder bis zu 10 Millionen Euro oder 2 Prozent<\/strong> des globalen Jahresumsatzes drohen bei Verst\u00f6\u00dfen gegen die Meldepflichten und Sicherheitsanforderungen.<\/p>\n\n\n\n

Die Realit\u00e4t der Umsetzung ist gemischt. Viele mittelst\u00e4ndische Unternehmen, die nun erstmals unter NIS2 fallen, k\u00e4mpfen mit der Inventarisierung ihrer IT-Systeme, der Durchf\u00fchrung von Risikoanalysen und der Implementierung der vorgeschriebenen Sicherheitsma\u00dfnahmen. Beratungsunternehmen und Sicherheitsdienstleister berichten von einer Nachfragewelle, die die verf\u00fcgbaren Kapazit\u00e4ten teilweise \u00fcbersteigt. Die ersten NIS2-Bu\u00dfgeldverfahren in Deutschland werden voraussichtlich noch 2026 eingeleitet.<\/p>\n\n\n\n

Was ein Ransomware-Angriff in Deutschland wirklich kostet<\/h2>\n\n\n\n

Die direkten Kosten einer erfolgreichen Ransomware-Attacke \u00fcbersteigen regelm\u00e4\u00dfig die L\u00f6segeldforderung, die oft als einzige Schadengr\u00f6\u00dfe wahrgenommen wird. Tats\u00e4chlich entstehen erhebliche Folgekosten durch Betriebsunterbrechung, forensische Untersuchung, Systemwiederherstellung, Kommunikation, Rechtsberatung und regulatorische Bu\u00dfgelder.<\/p>\n\n\n\n

Kostenposition<\/th>Typische Gr\u00f6\u00dfenordnung (KMU)<\/th>Typische Gr\u00f6\u00dfenordnung (Konzern)<\/th>Anmerkung<\/th><\/tr><\/thead>
L\u00f6segeldforderung<\/td>\u20ac50.000 bis \u20ac500.000<\/td>\u20ac1 Mio. bis \u20ac50 Mio.<\/td>BSI r\u00e4t ausdr\u00fccklich von Zahlung ab<\/td><\/tr>
Betriebsausfall<\/td>\u20ac100.000 bis \u20ac2 Mio.<\/td>\u20ac5 Mio. bis \u20ac500 Mio.<\/td>Durchschnittsdauer: 2 bis 6 Wochen<\/td><\/tr>
IT-Forensik und Incident Response<\/td>\u20ac30.000 bis \u20ac150.000<\/td>\u20ac500.000 bis \u20ac5 Mio.<\/td>Externe Spezialisten in der Regel obligatorisch<\/td><\/tr>
Systemwiederherstellung<\/td>\u20ac50.000 bis \u20ac300.000<\/td>\u20ac1 Mio. bis \u20ac20 Mio.<\/td>Selbst mit Backups aufwendig<\/td><\/tr>
Regulatorische Bu\u00dfgelder (NIS2\/DSGVO)<\/td>\u20ac100.000 bis \u20ac500.000<\/td>Bis zu 2% des Jahresumsatzes<\/td>Bei Datenverlust fast immer f\u00e4llig<\/td><\/tr>
Reputations- und Kundenverlust<\/td>Schwer quantifizierbar<\/td>Schwer quantifizierbar<\/td>Langfristig oft gr\u00f6\u00dfter Schaden<\/td><\/tr>
Gesamtschaden (typisch)<\/td>\u20ac330.000 bis \u20ac3,5 Mio.<\/td>\u20ac8 Mio. bis \u20ac575 Mio.<\/td>Ohne Markenwertabschreibungen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Diese Zahlen erkl\u00e4ren, warum Cyberversicherungen in Deutschland 2025 und 2026 stark nachgefragt werden. Versicherer reagieren jedoch mit deutlich gestiegenen Pr\u00e4mien, strengeren Underwriting-Kriterien und Sublimits f\u00fcr Ransomware-Sch\u00e4den. Unternehmen ohne nachweisliche Sicherheitsma\u00dfnahmen wie Multifaktor-Authentifizierung oder Endpoint-Detection erhalten zunehmend keine oder nur eingeschr\u00e4nkte Deckung.<\/p>\n\n\n\n

Doppelte Erpressung: Das neue Standardmodell der Cyberkriminalit\u00e4t<\/h2>\n\n\n\n

Das Bundeskriminalamt hebt in seinem Lagebericht 2025 hervor, dass eine gro\u00dfe Anzahl von Ransomware-Angriffen nach dem Doppelerpressungsmodell abl\u00e4uft. Der Angriff folgt einer klar strukturierten Abfolge: Netzwerkzugang \u00fcber schwache Authentifizierung oder ungepatchte Systeme, laterale Bewegung durch das Netzwerk, Exfiltration sensibler Daten auf externe Server der Angreifer, anschlie\u00dfend Verschl\u00fcsselung der lokalen Systeme und schlie\u00dflich eine zweistufige L\u00f6segeldforderung, die sowohl die Entschl\u00fcsselung als auch das Schweigen \u00fcber die erbeuteten Daten umfasst.<\/p>\n\n\n\n

Die taktische Konsequenz: Selbst eine l\u00fcckenlose Backup-Strategie sch\u00fctzt nicht mehr vollst\u00e4ndig. Wenn Angreifer bereits 50 GB Kundendaten, Gesch\u00e4ftsgeheimnisse oder Personalakten besitzen und mit Ver\u00f6ffentlichung drohen, entsteht ein Druck unabh\u00e4ngig von der F\u00e4higkeit zur Systemwiederherstellung. Das macht Pr\u00e4vention, also das Verhindern des Erstzugangs, zur einzig wirklich effektiven Abwehrstrategie.<\/p>\n\n\n\n

Sicherheitsforscher beobachten zudem eine wachsende Verzahnung von Datenbrokern und Ransomware-Gruppen: Gestohlene Daten, die nicht durch L\u00f6segeldzahlung zur\u00fcckgehalten werden, landen nicht zwangsl\u00e4ufig direkt im Darknet, sondern werden an Spezialbroker verkauft, die sie f\u00fcr weitere Angriffe, Phishing-Kampagnen oder Identit\u00e4tsdiebstahl verwenden. Dieser sekund\u00e4re Schadenskreislauf ist im BKA-Bericht explizit als wachsende Bedrohung benannt. F\u00fcr die gesamteurop\u00e4ische Ransomware-Lage zeigt der ENISA-Bericht: 81 Prozent aller EU-Cyberangriffe 2025 entfallen auf Erpressungsschadsoftware<\/a>.<\/p>\n\n\n\n

Der Cybersicherheitsmarkt in Deutschland: Wachstum auf 25,9 Milliarden Dollar bis 2034<\/h2>\n\n\n\n

Die Bedrohungslage treibt massive Investitionen an. Der deutsche Cybersicherheitsmarkt erreichte 2024 ein Volumen von rund 11,78 Milliarden US-Dollar<\/strong> und w\u00e4chst mit einer j\u00e4hrlichen Wachstumsrate (CAGR) von 8,2 Prozent<\/strong>. Bis 2034 wird ein Marktvolumen von knapp 25,91 Milliarden US-Dollar<\/strong> erwartet, was Deutschland zum gr\u00f6\u00dften Cybersicherheitsmarkt in der EU machen w\u00fcrde.<\/p>\n\n\n\n

Globale Cybersicherheitsausgaben sollen laut Gartner 2026 um 12,5 Prozent auf 240 Milliarden US-Dollar steigen. Besonders gefragt sind Security Operations Center als Service (SOCaaS), Extended Detection and Response (XDR), Zero-Trust-Architekturen und Backup-L\u00f6sungen mit unver\u00e4nderlichen Speicheroptionen. Anbieter aus dem DACH-Raum wie Rohde & Schwarz Cybersecurity verzeichnen 2025 und 2026 stark steigende Nachfrage aus dem Mittelstand, der nach NIS2 erstmals zur aktiven Sicherheitsinvestition verpflichtet ist.<\/p>\n\n\n\n

Cyberversicherungen entwickeln sich zum eigenst\u00e4ndigen Wachstumsbereich. Allerdings reagieren Versicherer auf die Schadenshistorie: Pr\u00e4mien stiegen 2025 durchschnittlich um 30 bis 40 Prozent. Sicherheitsstandards sind damit nicht mehr nur eine technische, sondern auch eine versicherungsvertragliche Voraussetzung. Wer keine nachweisbare MFA-Implementierung vorweisen kann, zahlt Aufschl\u00e4ge oder erh\u00e4lt \u00fcberhaupt keine Deckung.<\/p>\n\n\n\n

Geopolitischer Kontext: Deutschland als NATO-Ziel im digitalen Raum<\/h2>\n\n\n\n

Der Chambers-Cybersicherheitsleitfaden f\u00fcr Deutschland 2026 bringt es auf den Punkt: Geopolitische Spannungen pr\u00e4gen zunehmend die Cybersicherheitslandschaft in Deutschland. Cyberoperationen sind jetzt ein dauerhaftes Element des deutschen Sicherheitsumfelds. Die Positionierung Deutschlands als f\u00fchrende europ\u00e4ische Volkswirtschaft und aktiver NATO-Partner macht das Land zum symbolisch und strategisch bedeutsamen Ziel f\u00fcr staatliche Angreifer.<\/p>\n\n\n\n

Russland-nahe Akteure dominieren das hacktivistische Bild, w\u00e4hrend durch die BKA-Statistik belegte Angriffe auf Unternehmen und kritische Infrastruktur weitgehend finanziell motivierten Gruppen zugeordnet werden. Die \u00dcberg\u00e4nge sind flie\u00dfend: Einige Ransomware-Gruppen operieren unter dem Schutz oder mit der Duldung russischer Beh\u00f6rden und k\u00f6nnen auf staatliche Infrastruktur zugreifen, wenn politische Eskalation gefordert wird.<\/p>\n\n\n\n

Das Bundesamt f\u00fcr Verfassungsschutz (BfV) und der Bundesnachrichtendienst (BND) koordinieren seit 2025 enger mit dem BSI und dem BKA, um staatsgesteuerte Cyberoperationen fr\u00fchzeitig zu erkennen und zu attribuieren. Eine schnelle, \u00f6ffentliche Attribuierung wirkt als Abschreckungssignal und politisches Instrument, st\u00f6\u00dft bei der transnationalen Strafverfolgung aber weiterhin an souver\u00e4nit\u00e4tsbedingte Grenzen. Die Angreifer operieren aus L\u00e4ndern, mit denen kein Rechtshilfeabkommen besteht oder die entsprechende Anfragen schlicht ignorieren.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr 2026 bis 2027<\/h2>\n\n\n\n

Die Datenlage aus BKA-Lagebericht, Check-Point-Analyse und internationalen Cybersicherheitsberichten erlaubt konkrete Prognosen f\u00fcr die kommenden 18 Monate.<\/p>\n\n\n\n

1. Ransomware-Wachstum setzt sich fort.<\/strong> Global sind Ransomware-Angriffe auf dem Weg zu einem Anstieg von 40 Prozent bis Ende 2026 gegen\u00fcber 2024 (QBE Insurance Group). F\u00fcr die DACH-Region bedeutet das weitere Eskalation. Bis Ende 2026 werden voraussichtlich \u00fcber 7.000 Opfer weltweit namentlich auf Datenleck-Seiten ver\u00f6ffentlicht, verglichen mit 5.010 in 2024 und 1.412 in 2020.<\/p>\n\n\n\n

2. KI-gest\u00fctzte Angriffe werden zur Norm.<\/strong> Fast die H\u00e4lfte aller Organisationen (48 Prozent laut CrowdStrike) bezeichnet KI-automatisierte Angriffsketten als heute gr\u00f6\u00dftes Ransomware-Risiko. Angreifer nutzen Large Language Models zur Generierung \u00fcberzeugender Phishing-E-Mails, zur Beschleunigung von Schwachstellen-Exploitation und zur Anpassung von Malware an spezifische Zielumgebungen.<\/p>\n\n\n\n

3. NIS2-Durchsetzung erh\u00f6ht den Compliance-Druck deutlich.<\/strong> Die ersten NIS2-Bu\u00dfgeldverfahren in Deutschland werden voraussichtlich noch 2026 eingeleitet. BSI und sektorale Aufsichtsbeh\u00f6rden haben angek\u00fcndigt, gezielt Unternehmen aus den neu erfassten Sektoren zu \u00fcberpr\u00fcfen. F\u00fcr KMU, die sich noch in der Umsetzungsphase befinden, entsteht ein konkretes Strafrisiko.<\/p>\n\n\n\n

4. Kritische Infrastruktur r\u00fcckt weiter ins Visier.<\/strong> Energieversorger, Wasserwerke und Verkehrsinfrastruktur werden als priorisierte Ziele identifiziert, sowohl von staatlichen als auch kriminellen Akteuren. Angriffe auf KRITIS-Betreiber mit dem Ziel echter physischer Sch\u00e4den, nicht nur Datenverlust, gelten in Expertenkreisen als wahrscheinliches Szenario f\u00fcr 2027.<\/p>\n\n\n\n

5. Supply-Chain-Angriffe nehmen massiv zu.<\/strong> Software-Lieferketten-Angriffe stiegen global auf durchschnittlich 28 pro Monat in April 2025, ein Zuwachs von 100 Prozent gegen\u00fcber dem Vorjahresschnitt, mit einem weiteren Anstieg um 30 Prozent bis Oktober 2025 (Cyble). F\u00fcr DACH-Unternehmen mit komplexen Lieferantennetzwerken erh\u00f6ht das das Einfallstor f\u00fcr Kompromittierungen exponentiell.<\/p>\n\n\n\n

H\u00e4ufige Fragen zu Cyberangriffen in Deutschland 2025 und 2026<\/h2>\n\n\n\n

Wie viele Cyberangriffe gab es in Deutschland 2025?<\/strong><\/p>\n\n\n\n

Das BKA registrierte 333.922 Cyberstraftaten, davon 207.888 mit ausl\u00e4ndischem Ursprung. Hinzu kommen tausende nicht gemeldete Vorf\u00e4lle, da viele Unternehmen Angriffe aus Reputationsgr\u00fcnden oder Unkenntnis nicht anzeigen.<\/p>\n\n\n\n

Wie hoch ist der wirtschaftliche Schaden durch Cyberangriffe in Deutschland?<\/strong><\/p>\n\n\n\n

Laut der im BKA-Bericht zitierten Bitkom-Studie beliefen sich die Sch\u00e4den auf rund 202,4 Milliarden Euro. Cyberangriffe machen damit 70 Prozent aller wirtschaftlichen Sch\u00e4den durch Diebstahl, Spionage und Sabotage in Deutschland aus.<\/p>\n\n\n\n

Welche Ransomware-Gruppen sind in Deutschland besonders aktiv?<\/strong><\/p>\n\n\n\n

Qilin, Akira und LockBit sind laut Check-Point-Analyse die drei aktivsten Ransomware-Gruppen in der DACH-Region. Alle drei betreiben das Ransomware-as-a-Service-Modell und nutzen schwache Authentifizierung sowie exponierte VPN-Zug\u00e4nge als Einstiegspunkt.<\/p>\n\n\n\n

Warum sind KMU besonders h\u00e4ufig Ziel von Ransomware?<\/strong><\/p>\n\n\n\n

90 Prozent der Ransomware-Opfer in Deutschland sind kleine und mittelst\u00e4ndische Unternehmen. Gr\u00fcnde sind geringere IT-Sicherheitsbudgets, fehlende Sicherheitsspezialisten und veraltete Infrastruktur. KMU sind zudem oft Teil von Lieferketten gr\u00f6\u00dferer Konzerne, was sie zu attraktiven Einstiegspunkten f\u00fcr komplexere Angriffe macht.<\/p>\n\n\n\n

Was fordert NIS2 von deutschen Unternehmen?<\/strong><\/p>\n\n\n\n

NIS2 verpflichtet sch\u00e4tzungsweise 30.000 bis 40.000 deutsche Unternehmen aus 18 Sektoren zu Risikoanalysen, technischen Sicherheitsma\u00dfnahmen, Meldepflichten bei Vorf\u00e4llen und Lieferkettensicherheit. Bu\u00dfgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes sind bei Verst\u00f6\u00dfen m\u00f6glich.<\/p>\n\n\n\n

Sollten Unternehmen L\u00f6segeld zahlen?<\/strong><\/p>\n\n\n\n

Das BSI und das BKA raten ausdr\u00fccklich davon ab. L\u00f6segeldzahlungen finanzieren weitere kriminelle Operationen und garantieren keine vollst\u00e4ndige Datenr\u00fcckgabe. Unternehmen sollten stattdessen in Pr\u00e4vention, segmentierte Backups und Incident-Response-Pl\u00e4ne investieren.<\/p>\n\n\n\n

Was ist das Doppelerpressungsmodell bei Ransomware?<\/strong><\/p>\n\n\n\n

Beim Doppelerpressungsmodell exfiltrieren Angreifer Daten, bevor sie Systeme verschl\u00fcsseln. Anschlie\u00dfend fordern sie L\u00f6segeld sowohl f\u00fcr die Entschl\u00fcsselung als auch daf\u00fcr, die gestohlenen Daten nicht zu ver\u00f6ffentlichen. Damit ist selbst ein vollst\u00e4ndig funktionsf\u00e4higes Backup kein vollst\u00e4ndiger Schutz mehr gegen finanzielle Sch\u00e4den.<\/p>\n\n\n\n

Verwandte Berichte<\/h2>\n\n\n\n