{"id":273,"date":"2026-06-21T08:13:22","date_gmt":"2026-06-21T08:13:22","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/21\/bka-cybercrime-lagebericht-2025\/"},"modified":"2026-06-21T08:27:38","modified_gmt":"2026-06-21T08:27:38","slug":"bka-cybercrime-lagebericht-2025","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/21\/bka-cybercrime-lagebericht-2025\/","title":{"rendered":"BKA Cybercrime-Lagebericht 2025: 333.922 F\u00e4lle, 202 Mrd. \u20ac Schaden [2026]"},"content":{"rendered":"\n

Das Bundeskriminalamt (BKA) hat seinen Cybercrime-Lagebericht 2025<\/strong> ver\u00f6ffentlicht. Das Ergebnis: 333.922 registrierte F\u00e4lle, ein Schaden von 202,4 Milliarden Euro allein durch Cyberangriffe und 1.041 gemeldete Ransomware-Attacken in einem einzigen Jahr. Gleichzeitig bereitet die Bundesregierung f\u00fcr den 26. Juni 2026 die erste Lesung eines neuen Gesetzentwurfs zur St\u00e4rkung der Cybersicherheit vor. Beide Meldungen zusammen zeichnen das bisher deutlichste Bild der digitalen Bedrohungslage f\u00fcr den Wirtschaftsstandort Deutschland.<\/p>\n\n\n\n

Der BKA-Lagebericht 2025 auf einen Blick: Die wichtigsten Kennzahlen<\/h2>\n\n\n\n

Der BKA Cybercrime-Lagebericht 2025<\/strong> fasst die Lage in drei Kernaussagen zusammen: Die Fallzahlen steigen, die T\u00e4ter kommen \u00fcberwiegend aus dem Ausland, und der Schaden w\u00e4chst schneller als die Strafverfolgungskapazit\u00e4ten. Von den 333.922 registrierten F\u00e4llen wurden 207.888, also gut 62 Prozent, als Auslandstaten eingestuft. Diese Zahl ist besonders aussagekr\u00e4ftig, weil sie zeigt, wie effektiv Cyberkriminelle Grenzen nutzen, um sich dem deutschen Rechtssystem zu entziehen.<\/p>\n\n\n\n

Carsten Meywirth, Leiter der Abteilung Cybercrime im BKA, betonte in der Begleitkommunikation zum Lagebericht, dass die Professionalisierung der T\u00e4tergruppen im Jahr 2025 eine neue Qualit\u00e4tsstufe erreicht habe. Kriminelle Netzwerke operieren heute mit klaren Rollenverteilungen, definierten Gesch\u00e4ftsmodellen und arbeitsteiligen Strukturen, die legitimen Technologieunternehmen \u00e4hneln.<\/p>\n\n\n\n

Kennzahl<\/th>Wert 2025<\/th>Ver\u00e4nderung gg\u00fc. Vorjahr<\/th><\/tr><\/thead>
Cybercrime-F\u00e4lle gesamt<\/td>333.922<\/td>Nicht verf\u00fcgbar<\/td><\/tr>
Davon Auslandstaten<\/td>207.888 (62 %)<\/td>Anteil gestiegen<\/td><\/tr>
Wirtschaftsschaden durch Cyberangriffe<\/td>202,4 Mrd. Euro<\/td>Deutlich h\u00f6her<\/td><\/tr>
Gemeldete Ransomware-Angriffe<\/td>1.041<\/td>+10 %<\/td><\/tr>
Ransomware-Opfer: Organisationen<\/td>96 %<\/td>Stabil<\/td><\/tr>
Ransomware-Opfer: KMU<\/td>90 %<\/td>Stabil<\/td><\/tr>
Unternehmen mit Cyberangriff (12 Monate)<\/td>87 %<\/td>Leicht gestiegen<\/td><\/tr>
Durchschnittliche Angriffe pro Woche<\/td>1.223 je Unternehmen<\/td>+14 %<\/td><\/tr><\/tbody><\/table>
Quellen: BKA Cybercrime-Lagebericht 2025, Bitkom-Wirtschaftsschutz-Studie 2025<\/figcaption><\/figure>\n\n\n\n

333.922 Cybercrime-F\u00e4lle: Das Dunkelfeld macht die Lage noch ernster<\/h2>\n\n\n\n

Die Zahl 333.922 klingt hoch, beschreibt aber nur die erfassten F\u00e4lle. Das BKA weist ausdr\u00fccklich darauf hin, dass das Dunkelfeld, also nicht gemeldete Vorf\u00e4lle, die offiziellen Zahlen erheblich \u00fcbersteigt. Viele Unternehmen melden Angriffe nicht, weil sie Reputationssch\u00e4den f\u00fcrchten, weil sie keinen unmittelbaren Nutzen einer Anzeige sehen, oder weil sie gar nicht merken, dass sie kompromittiert wurden. Sicherheitsexperten gehen davon aus, dass die tats\u00e4chliche Zahl der Cyberangriffe auf deutsche Organisationen mindestens das Dreifache der gemeldeten Vorf\u00e4lle betr\u00e4gt.<\/p>\n\n\n\n

Besonders auff\u00e4llig: Der Anteil ausl\u00e4ndischer T\u00e4terschaft liegt bei 62 Prozent der erfassten F\u00e4lle. Noch beunruhigender ist die Tatsache, dass weitere F\u00e4lle nicht zuzuordnen sind, sodass die tats\u00e4chliche Quote auslandsbasierter Angriffe vermutlich noch deutlich h\u00f6her liegt. Gem\u00e4\u00df einer Bitkom-Umfrage nennen 98 Prozent der deutschen Sicherheitsverantwortlichen Russland als Hauptbedrohungsquelle, gefolgt von China mit 84 Prozent. Diese Zahlen decken sich mit der BKA-Bewertung staatlich gesteuerter oder staatlich tolerierter Angriffskampagnen.<\/p>\n\n\n\n

F\u00fcr die Strafverfolgung bedeutet diese Internationalit\u00e4t eine strukturelle H\u00fcrde. Rechtshilfeersuchen, unterschiedliche Rechtssysteme und fehlende Auslieferungsabkommen mit Russland oder China machen es nahezu unm\u00f6glich, die T\u00e4ter zur Verantwortung zu ziehen. Das BKA setzt deshalb verst\u00e4rkt auf internationale Kooperationen, etwa im Rahmen von Europol oder der Task Force KK-O, die Strafverfolgungsbeh\u00f6rden aus 35 L\u00e4ndern verbindet.<\/p>\n\n\n\n

202 Milliarden Euro Schaden: Die volkswirtschaftliche Dimension des Cyberverbrechens<\/h2>\n\n\n\n

Der durch Cyberangriffe verursachte Schaden in Deutschland belief sich 2025 laut der Bitkom-Wirtschaftsschutz-Studie auf 202,4 Milliarden Euro<\/strong>. Diese Zahl ist Teil eines noch gr\u00f6\u00dferen Gesamtschadens von 289,2 Milliarden Euro, der alle Formen von Industriespionage, Datendiebstahl und Sabotage einschlie\u00dft, aber der Cyberanteil macht mit 69,9 Prozent den weitaus gr\u00f6\u00dften Posten aus.<\/p>\n\n\n\n

Zum Vergleich: Der deutsche Verteidigungshaushalt 2025 umfasste rund 53 Milliarden Euro. Der Schaden durch Cyberkriminalit\u00e4t ist damit knapp viermal so gro\u00df wie das gesamte Milit\u00e4rbudget der Bundesrepublik. Dr. Ralf Wintergerst, Pr\u00e4sident des Digitalverbands Bitkom, kommentierte die Zahlen mit dem Hinweis, dass Cyberkriminalit\u00e4t l\u00e4ngst zur ernsthaftesten Einzelbedrohung f\u00fcr den Wirtschaftsstandort Deutschland geworden sei, deutlich vor klassischen Risiken wie Feuer oder Einbruch.<\/p>\n\n\n\n

F\u00fcr die betroffenen Unternehmen entstehen die Kosten aus mehreren Quellen gleichzeitig: direkten L\u00f6segeldzahlungen, Betriebsunterbrechungen, IT-Wiederherstellungskosten, Reputationssch\u00e4den und regulatorischen Strafen. Unternehmen, die einer Meldepflicht nach NIS-2 unterliegen und einen Vorfall nicht fristgerecht melden, riskieren zus\u00e4tzliche Bu\u00dfgelder von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes.<\/p>\n\n\n\n

Ransomware 2025: 1.041 gemeldete Angriffe, zehn Prozent Anstieg<\/h2>\n\n\n\n

Ransomware bleibt die finanziell gef\u00e4hrlichste Angriffsform. Das BKA registrierte 2025 insgesamt 1.041 Ransomware-Angriffe<\/strong> in Deutschland, ein Anstieg von rund zehn Prozent gegen\u00fcber dem Vorjahr. Die tats\u00e4chliche Zahl d\u00fcrfte erheblich h\u00f6her liegen, da viele Unternehmen L\u00f6segeldzahlungen und damit verbundene Kompromittierungen nicht zur Anzeige bringen, um Reputationssch\u00e4den zu vermeiden.<\/p>\n\n\n\n

Chester Wisniewski, Field CTO bei Sophos, beschreibt das Jahr 2025 als Wendepunkt: Ransomware-Gruppen h\u00e4tten aufgeh\u00f6rt, opportunistisch vorzugehen, und verfolgten jetzt systematisch hochwertige Ziele in der Fertigungs- und Logistikbranche. Die Dauer zwischen erstem Eindringen und tats\u00e4chlicher Verschl\u00fcsselung sei gesunken, was den Angriffsopfern weniger Zeit zur Reaktion lasse.<\/p>\n\n\n\n

KMU als Prim\u00e4rziel: 90 Prozent der Opfer sind Mittelst\u00e4ndler<\/h3>\n\n\n\n

Eine der eindeutigsten Aussagen des BKA-Lageberichts 2025: 90 Prozent aller Ransomware-Angriffe<\/strong> richteten sich gegen kleine und mittlere Unternehmen. Das spiegelt eine strategische Entscheidung der T\u00e4tergruppen wider: KMU investieren weniger in Cybersicherheit, haben seltenere und weniger professionelle Backup-Routinen, und sind oft bereit, schnell zu zahlen, um den Gesch\u00e4ftsbetrieb wiederherszustellen.<\/p>\n\n\n\n

Google Threat Intelligence hat in seinem Bericht “The German Cyber Criminal \u00dcberfall” (April 2026) pr\u00e4zisiert, dass Unternehmen mit weniger als 5.000 Mitarbeitern im Jahr 2025 ganze 96 Prozent aller Ransomware-Leaks in Deutschland ausmachten. Diese Pr\u00e4zisierung ist wichtig: Selbst wenn Konzerne \u00f6fter angegriffen werden, zahlen und schweigen sie h\u00e4ufiger, w\u00e4hrend KMU-Angriffe \u00f6fter auf Leak-Seiten enden.<\/p>\n\n\n\n

Double Extortion: Verschl\u00fcsselung plus Datendiebstahl als Standardvorgehen<\/h3>\n\n\n\n

Das BKA hebt hervor, dass Double Extortion<\/strong> zum Standardmodell der Ransomware-Gruppen geworden ist. Dabei verschl\u00fcsseln die Angreifer nicht nur die Systeme des Opfers, sondern exfiltrieren vorher gezielt Daten. Zahlt das Opfer kein L\u00f6segeld, werden die gestohlenen Daten auf sogenannten Leak-Sites ver\u00f6ffentlicht. Zahlt es, gibt es keine Garantie, dass die Daten tats\u00e4chlich gel\u00f6scht werden.<\/p>\n\n\n\n

Laut ENISA Threat Landscape 2025 f\u00fchrten 68,6 Prozent aller registrierten Einbr\u00fcche in EU-Organisationen zu Datenlecks, die auf kriminellen Foren zum Verkauf angeboten wurden. F\u00fcr betroffene deutsche Unternehmen bedeutet das eine doppelte Bedrohung: einerseits der operative Schaden durch die Verschl\u00fcsselung, andererseits die datenschutzrechtlichen Konsequenzen durch das DSGVO-konforme Meldeverfahren beim BSI und den Datenschutzbeh\u00f6rden.<\/p>\n\n\n\n

SafePay: Aufstieg zur dominierenden Erpressungsgruppe in Deutschland<\/h2>\n\n\n\n

W\u00e4hrend LockBit und RansomHub global weiterhin pr\u00e4sent sind, hat sich SafePay<\/strong> zur meistgenannten Ransomware-Gruppe auf deutschen Datenleck-Seiten entwickelt. Laut Google Threat Intelligence war SafePay im Jahr 2025 f\u00fcr rund 25 Prozent aller deutschen Datenleak-Ver\u00f6ffentlichungen<\/strong> verantwortlich und beanspruchte Einbr\u00fcche bei mindestens 76 deutschen Unternehmen<\/strong>.<\/p>\n\n\n\n

ENISA best\u00e4tigt SafePays Stellenwert: EU-weit macht die Gruppe 10,1 Prozent aller eingesetzten Ransomware-Varianten aus, hinter Akira (11,6 Prozent) und vor Qilin (7,5 Prozent). SafePay fokussiert sich bevorzugt auf den Mittelstand und nutzt prim\u00e4r ungesicherte RDP-Zug\u00e4nge sowie kompromittierte VPN-Zugangsdaten als Einstiegspunkt.<\/p>\n\n\n\n

Ransomware-Gruppe<\/th>Anteil EU-Deployments<\/th>Anteil deutsche Leaks<\/th>Hauptzielsektor<\/th><\/tr><\/thead>
Akira<\/td>11,6 %<\/td>Hoch<\/td>Fertigung, IT-Dienstleistungen<\/td><\/tr>
SafePay<\/td>10,1 %<\/td>~25 % (DE-spezifisch)<\/td>KMU, Handel<\/td><\/tr>
Qilin<\/td>7,5 %<\/td>Mittel<\/td>Gesundheit, Bildung<\/td><\/tr>
RansomHub<\/td>Signifikant<\/td>Relevanter Anteil<\/td>Beh\u00f6rden, Infrastruktur<\/td><\/tr>
LockBit<\/td>9 % (global M-Trends)<\/td>R\u00fcckl\u00e4ufig<\/td>Branchen\u00fcbergreifend<\/td><\/tr>
Cl0p<\/td>9,8 % (EU)<\/td>Mittel<\/td>Finanzsektor, Logistik<\/td><\/tr><\/tbody><\/table>
Quellen: ENISA Threat Landscape 2025, Google Threat Intelligence April 2026, Google M-Trends 2025<\/figcaption><\/figure>\n\n\n\n

Der Fertigungssektor ist das prim\u00e4re Ziel in Deutschland: 23 Prozent aller deutschen Datenlecks betrafen laut Google GTI produzierende Unternehmen. Dahinter folgen Rechts- und Beratungsdienstleistungen (14 Prozent Wachstum) sowie Bau und Ingenieurwesen (11 Prozent). Diese Verschiebung zu industrienahen Branchen ist kein Zufall: Fertigungsunternehmen haben oft \u00e4ltere OT-Infrastruktur, geringe Ausfalltoleranz und damit einen hohen Anreiz zu zahlen.<\/p>\n\n\n\n

KI als Angriffswerkzeug: 82,6 Prozent aller Phishing-Mails jetzt automatisiert<\/h2>\n\n\n\n

Eine Entwicklung, die der BKA-Lagebericht besonders hervorhebt: K\u00fcnstliche Intelligenz ver\u00e4ndert die Qualit\u00e4t und Skalierbarkeit von Angriffen grundlegend. Laut KnowBe4 wurden im Jahr 2025\/2026 bereits 82,6 Prozent aller Phishing-E-Mails KI-generiert<\/strong>. Diese Mails sind grammatikalisch fehlerfrei, sprachlich auf die Zielgruppe zugeschnitten und in vielen F\u00e4llen von menschlich verfassten Nachrichten nicht mehr zu unterscheiden.<\/p>\n\n\n\n

Noch alarmierender ist der Anstieg bei Deepfake-Angriffen: Diese nahmen laut Bitkom-Analyse um mehr als 300 Prozent<\/strong> zu. Dabei werden realistische Video- oder Audiobotschaften von F\u00fchrungskr\u00e4ften gef\u00e4lscht, um Mitarbeitende zur \u00dcberweisung von Geldern, zur Weitergabe von Zugangsdaten oder zum Umgehen interner Sicherheitsprozesse zu veranlassen. Mehrere deutsche Unternehmen haben 2025 durch sogenannte “CEO-Fraud”-Deepfakes Millionenbetr\u00e4ge verloren.<\/p>\n\n\n\n

Claudia Plattner, Pr\u00e4sidentin des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI), warnte in mehreren \u00f6ffentlichen Statements, dass KI den Einstieg in die Cyberkriminalit\u00e4t signifikant erleichtere. Fr\u00fcher erforderte eine \u00fcberzeugende Phishing-Kampagne umfangreiche manuelle Anpassungsarbeit; heute reichen wenige Eingaben in ein Large Language Model, um hunderte personalisierter Angriffsnachrichten zu generieren.<\/p>\n\n\n\n

F\u00fcr Unternehmen bedeutet das: Technische Spamfilter allein reichen nicht mehr aus. Security-Awareness-Trainings m\u00fcssen explizit auf KI-generierte Inhalte eingehen, und Prozesse f\u00fcr kritische \u00dcberweisungen oder Zugriffsfreigaben brauchen zus\u00e4tzliche Verifikationsschritte, die unabh\u00e4ngig von E-Mail oder Telefon funktionieren.<\/p>\n\n\n\n

Deutschland im EU-Vergleich: 23,4 Prozent aller EU-Ransomware-Opfer<\/h2>\n\n\n\n

Die ENISA Threat Landscape 2025 macht Deutschlands exponierte Stellung in Europa deutlich: Die Bundesrepublik ist in 23,4 Prozent<\/strong> aller EU-weit erfassten Ransomware- und Datenpannenmeldungen als Zielland genannt, mehr als doppelt so oft wie das zweitplatzierte Italien (11,33 Prozent). Frankreich (9,5 Prozent), Spanien (9,8 Prozent) und Belgien (3,7 Prozent) folgen mit deutlichem Abstand.<\/p>\n\n\n\n

Besonders aufschlussreich ist der Google-Bericht “The German Cyber Criminal \u00dcberfall”: W\u00e4hrend global die Ver\u00f6ffentlichungen auf Datenleck-Seiten 2025 um rund 50 Prozent zunahmen, verzeichnete Deutschland ein Wachstum von 92 Prozent<\/strong>. Das ist dreimal so hoch wie der europ\u00e4ische Durchschnitt. Orange Cyberdefense beziffert den Anstieg der bekannten Erpressungsopfer in Deutschland auf 91 Prozent, mit besonderem Fokus auf KMU mit bis zu 250 Mitarbeitern.<\/p>\n\n\n\n

Die Gr\u00fcnde f\u00fcr Deutschlands Spitzenposition sind strukturell: eine exportintensive Industrie mit international begehrten Informationen, eine gro\u00dfe Dichte an Automobilzulieferern und Maschinenbauern mit oft veralteter OT-Infrastruktur, und historisch gewachsene IT-Systeme in Beh\u00f6rden und Gemeinden, die Patches oft verz\u00f6gert einspielen. Hinzu kommt Deutschlands geopolitische Sichtbarkeit durch seine Unterst\u00fctzung der Ukraine, die pro-russische Hacktivisten-Gruppen zu gezielten Angriffen motiviert.<\/p>\n\n\n\n

BSI: 119 neue Schwachstellen t\u00e4glich, Anstieg um 24 Prozent<\/h2>\n\n\n\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat f\u00fcr den Berichtszeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag<\/strong> registriert, ein Anstieg von 24 Prozent gegen\u00fcber dem Vorjahreszeitraum. Dieser Wert schlie\u00dft sowohl kritische CVEs in weit verbreiteter Unternehmenssoftware als auch Schwachstellen in Betriebssystemen, Netzwerkkomponenten und industriellen Steuerungssystemen ein.<\/p>\n\n\n\n

F\u00fcr Sicherheitsteams bedeutet diese Entwicklung einen chronischen Ressourcenmangel: Kein Unternehmen kann 119 neue Schwachstellen t\u00e4glich effektiv priorisieren, testen und patchen. Die Folge ist eine strukturelle L\u00fccke zwischen dem Erscheinen eines Patches und seiner tats\u00e4chlichen Implementierung in Produktivsystemen. Genau in diesem Fenster operieren Angreifer am effektivsten. Check Point Software Technologies hat f\u00fcr das Jahr 2025 ermittelt, dass deutsche Unternehmen im Schnitt 1.223 Cyberangriffe pro Woche<\/strong> verzeichnen, ein Plus von 14 Prozent.<\/p>\n\n\n\n

Die BSI-Zahlen unterstreichen, warum Vulnerability Management und Patch-Priorisierung nach CVSS-Score und aktiver Ausnutzung (CISA KEV) zu den wichtigsten Werkzeugen moderner Sicherheitsteams geh\u00f6ren. Unternehmen, die kritische Schwachstellen nicht innerhalb von 72 Stunden adressieren, riskieren kompromittiert zu werden, bevor ein Patch \u00fcberhaupt bereitsteht.<\/p>\n\n\n\n

Gesetzentwurf zur St\u00e4rkung der Cybersicherheit: Bundestag debattiert am 26. Juni 2026<\/h2>\n\n\n\n

Am Freitag, dem 26. Juni 2026<\/strong>, findet im Deutschen Bundestag die erste Lesung des “Gesetzentwurfs zur St\u00e4rkung der Cybersicherheit” statt. Das Vorhaben ist die legislative Antwort der Bundesregierung auf die im BKA-Lagebericht dokumentierte Bedrohungslage. Deutschland sei als f\u00fchrende Wirtschaftsnation in Europa verst\u00e4rkt im Fokus hochprofessioneller Cyberangriffe mit gro\u00dfem Schadenspotenzial, hei\u00dft es in der Begr\u00fcndung des Entwurfs.<\/p>\n\n\n\n

Der Gesetzentwurf erg\u00e4nzt bestehende Regelungen wie das IT-Sicherheitsgesetz 2.0, die NIS-2-Umsetzungsrichtlinie und das KRITIS-Dachgesetz. W\u00e4hrend diese Gesetze prim\u00e4r auf Betreiber kritischer Infrastrukturen und besonders relevante Einrichtungen zielen, soll das neue Gesetz die Sicherheitsanforderungen f\u00fcr eine breitere Unternehmensgruppe verbindlich regeln. Konkret betroffen sind Unternehmen ab bestimmten Umsatz- und Mitarbeitergrenzen, die bisher noch keiner spezifischen Cybersicherheitspflicht unterlagen.<\/p>\n\n\n\n

Branchenverb\u00e4nde wie Bitkom begr\u00fc\u00dfen den grunds\u00e4tzlichen Ansatz, warnen aber vor \u00fcberm\u00e4\u00dfigem b\u00fcrokratischen Aufwand f\u00fcr KMU. Gerade Unternehmen mit weniger als 50 Mitarbeitern, die laut BKA-Bericht 90 Prozent der Ransomware-Opfer ausmachen, seien oft nicht in der Lage, umfangreiche Compliance-Anforderungen zu erf\u00fcllen, ohne staatliche Unterst\u00fctzung zu erhalten. Der Gesetzgeber stehe vor der Herausforderung, Sicherheitsstandards anzuheben, ohne gleichzeitig kleine Unternehmen zu \u00fcberfordern.<\/p>\n\n\n\n

Parallel l\u00e4uft die Umsetzung von NIS-2, die 29.500 deutsche Unternehmen in die Pflicht nimmt, und des KRITIS-Dachgesetzes, dessen erste Compliance-Fristen im Juli 2026 gelten. Deutschland bewegt sich damit in Richtung eines mehrschichtigen Sicherheitsrahmens, der EU-weite Mindeststandards mit nationalen Versch\u00e4rfungen kombiniert.<\/p>\n\n\n\n

Was Unternehmen jetzt konkret tun m\u00fcssen<\/h2>\n\n\n\n

Die BKA-Daten und der aktuelle Gesetzgebungsrahmen legen f\u00fcnf unmittelbare Ma\u00dfnahmen f\u00fcr deutsche Unternehmen nahe:<\/p>\n\n\n\n

Offline-Backups einrichten:<\/strong> 34 Prozent der deutschen Unternehmen wurden 2025 von Ransomware getroffen, aber nur 15 Prozent zahlten tats\u00e4chlich L\u00f6segeld. Die Differenz erkl\u00e4rt sich durch funktionsf\u00e4hige Backups. Backups, die vom Netzwerk getrennt gespeichert sind (air-gapped), sind das effektivste Mittel gegen Ransomware. Eine 3-2-1-Strategie gilt als Mindeststandard.<\/p>\n\n\n\n

Multi-Faktor-Authentifizierung fl\u00e4chendeckend einf\u00fchren:<\/strong> SafePay und andere Gruppen nutzen prim\u00e4r kompromittierte VPN-Zugangsdaten. MFA blockiert diesen Angriffsvektor in den meisten F\u00e4llen vollst\u00e4ndig.<\/p>\n\n\n\n

NIS-2-Compliance-Status pr\u00fcfen:<\/strong> 29.500 Unternehmen fallen unter NIS-2. Wer die Meldepflicht von 24 Stunden f\u00fcr signifikante Vorf\u00e4lle nicht erf\u00fcllt, riskiert Bu\u00dfgelder bis 10 Millionen Euro.<\/p>\n\n\n\n

Patch-Management beschleunigen:<\/strong> Das 72-Stunden-Fenster zwischen Ver\u00f6ffentlichung eines Patches und aktiver Ausnutzung ist in vielen Angriffen dokumentiert. Kritische CVEs (CVSS 9.0+) m\u00fcssen priorisiert behandelt werden.<\/p>\n\n\n\n

Security-Awareness gegen KI-Phishing trainieren:<\/strong> 82,6 Prozent der Phishing-Mails sind inzwischen KI-generiert und sprachlich perfekt. Klassische Erkennungsmerkmale wie schlechte Grammatik oder seltsame Formatierungen greifen nicht mehr. Mitarbeitende brauchen neue Erkennungsstrategien, etwa das Verifizieren kritischer Anfragen \u00fcber alternative Kommunikationskan\u00e4le.<\/p>\n\n\n\n

Prognosen: Wie sich die Bedrohungslage 2026 weiterentwickelt<\/h2>\n\n\n\n

Auf Basis des BKA-Lageberichts und begleitender Threat-Intelligence-Reports lassen sich f\u00fcr 2026 f\u00fcnf Entwicklungen mit hoher Wahrscheinlichkeit vorhersagen:<\/p>\n\n\n\n

1. KI-gest\u00fctzte Angriffe verdoppeln ihre Reichweite:<\/strong> Wenn 82,6 Prozent der Phishing-Mails bereits automatisiert sind, wird der n\u00e4chste Schritt vollst\u00e4ndig autonome Angriffsinfrastruktur sein. Forscher von Anthropic, Google DeepMind und akademischen Instituten haben dokumentiert, dass LLMs bereits in der Lage sind, Exploit-Code zu schreiben und Social-Engineering-Kampagnen zu koordinieren.<\/p>\n\n\n\n

2. Ransomware-as-a-Service demokratisiert Angriffe weiter:<\/strong> SafePay, Akira und Qilin bieten RaaS-Modelle mit geteilten Erl\u00f6sen an. Das senkt die Einstiegsh\u00fcrde f\u00fcr Kriminelle und verbreitert den Kreis potenzieller Angreifer erheblich. F\u00fcr Deutschland bedeutet das: mehr Angriffe von T\u00e4tergruppen mit weniger technischem Know-how, daf\u00fcr mit professionellen Tools.<\/p>\n\n\n\n

3. OT und Industrie 4.0 werden zum bevorzugten Ziel:<\/strong> Mit 23 Prozent der deutschen Datenlecks ist die Fertigungsbranche bereits Spitzenreiter. Die fortschreitende Vernetzung von OT-Systemen (SCADA, SPS) mit IT-Netzwerken \u00f6ffnet neue Angriffsfl\u00e4chen. Attacken auf Produktionssysteme k\u00f6nnen physische Sch\u00e4den und Lieferkettenunterbrechungen verursachen, die \u00fcber den reinen IT-Schaden hinausgehen.<\/p>\n\n\n\n

4. Das neue Cybersicherheitsgesetz zieht Compliance-Anfragen nach sich:<\/strong> Nach der ersten Bundestag-Lesung am 26. Juni wird 2026 eine Welle von IT-Sicherheitsaudits und Compliance-Projekten ausgel\u00f6st. Unternehmen, die sich fr\u00fch positionieren, haben einen Wettbewerbsvorteil bei Ausschreibungen und Versicherungskonditionen.<\/p>\n\n\n\n

5. Cyber-Versicherungen werden selektiver und teurer:<\/strong> Der 92-prozentige Anstieg der Cyber-Erpressungsf\u00e4lle in Deutschland hat Versicherer alarmiert. Policen werden st\u00e4rker an nachweisbare Sicherheitsma\u00dfnahmen gekn\u00fcpft, darunter MFA, Endpoint Detection and Response und dokumentiertes Patch-Management. Unternehmen ohne diese Basisma\u00dfnahmen verlieren ihren Versicherungsschutz oder zahlen signifikant h\u00f6here Pr\u00e4mien.<\/p>\n\n\n\n

BKA Cybercrime-Lagebericht 2025: H\u00e4ufige Fragen<\/h2>\n\n\n\n

Was ist der BKA Cybercrime-Lagebericht?<\/strong>
Das Bundeskriminalamt ver\u00f6ffentlicht j\u00e4hrlich einen Lagebericht zur Cyberkriminalit\u00e4t in Deutschland. Der Bericht 2025 fasst alle registrierten Cybercrime-F\u00e4lle des Jahres 2025 zusammen, analysiert T\u00e4terstrukturen, Angriffsmethoden und wirtschaftliche Sch\u00e4den. Er bildet die Grundlage f\u00fcr politische und operative Entscheidungen in der Strafverfolgung und Pr\u00e4vention.<\/p>\n\n\n\n

Wie hoch ist der Schaden durch Cybercrime in Deutschland 2025?<\/strong>
Laut BKA-Lagebericht 2025, basierend auf der Bitkom-Wirtschaftsschutz-Studie, belaufen sich die Sch\u00e4den durch Cyberangriffe auf 202,4 Milliarden Euro. Der Gesamtschaden durch alle Formen der Wirtschaftskriminalit\u00e4t inklusive Industriespionage liegt bei 289,2 Milliarden Euro.<\/p>\n\n\n\n

Welche Ransomware-Gruppe ist in Deutschland am aktivsten?<\/strong>
SafePay ist laut Google Threat Intelligence die aktuell aktivste Ransomware-Gruppe in Deutschland und war 2025 f\u00fcr rund 25 Prozent aller deutschen Datenleak-Ver\u00f6ffentlichungen verantwortlich. EU-weit f\u00fchrt Akira mit 11,6 Prozent Marktanteil knapp vor SafePay (10,1 Prozent).<\/p>\n\n\n\n

Warum ist Deutschland so oft Ziel von Cyberangriffen?<\/strong>
Deutschland kombiniert mehrere Risikofaktoren: eine exportintensive Industrie mit international begehrtem Know-how, eine hohe Dichte an KMU mit oft unzureichenden Sicherheitsbudgets, geopolitische Sichtbarkeit als NATO-Mitglied und Ukraine-Unterst\u00fctzer sowie gewachsene IT-Infrastrukturen in Beh\u00f6rden und Industriebetrieben, die Patches verz\u00f6gert einspielen.<\/p>\n\n\n\n

Was sieht der neue Gesetzentwurf zur St\u00e4rkung der Cybersicherheit vor?<\/strong>
Der am 26. Juni 2026 in erster Lesung im Bundestag beratene Gesetzentwurf soll Cybersicherheitspflichten auf eine breitere Unternehmensgruppe ausdehnen. Er erg\u00e4nzt NIS-2, KRITIS-Dachgesetz und IT-Sicherheitsgesetz 2.0 und zielt auf Unternehmen, die bisher noch keiner spezifischen Sicherheitspflicht unterlagen.<\/p>\n\n\n\n

Was ist Double Extortion und wie sch\u00fctzt man sich?<\/strong>
Bei Double Extortion verschl\u00fcsseln Angreifer nicht nur die Systeme, sondern stehlen vorher Daten. Zahlt das Opfer nicht, werden die Daten ver\u00f6ffentlicht. Schutz bieten: segmentierte Netzwerke, die Datenexfiltration erschweren; Data Loss Prevention (DLP) Tools; und schnelle Incident-Response-Prozesse, die eine Kompromittierung fr\u00fch erkennen, bevor gro\u00dfe Datenmengen abflie\u00dfen k\u00f6nnen.<\/p>\n\n\n\n

Wie viele Unternehmen sind von NIS-2 betroffen?<\/strong>
In Deutschland fallen rund 29.500 Unternehmen unter die NIS-2-Richtlinie. Diese Unternehmen m\u00fcssen Sicherheitsvorf\u00e4lle innerhalb von 24 Stunden an das BSI melden und Mindeststandards in den Bereichen Risikomanagement, Zugriffskontrolle und Vorfallreaktion einhalten. Bu\u00dfgelder bei Nicht-Einhaltung betragen bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes.<\/p>\n\n\n\n

Verwandte Beitr\u00e4ge<\/h3>\n\n\n\n