{"id":70,"date":"2026-06-12T04:19:05","date_gmt":"2026-06-12T04:19:05","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/12\/bsi-lagebericht-2025-bedrohungslage\/"},"modified":"2026-06-12T04:20:24","modified_gmt":"2026-06-12T04:20:24","slug":"bsi-lagebericht-2025-bedrohungslage","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/12\/bsi-lagebericht-2025-bedrohungslage\/","title":{"rendered":"BSI Lagebericht: 280.000 Schadprogramme\/Tag [2026]"},"content":{"rendered":"\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) zeichnet im aktuellen Lagebericht ein n\u00fcchternes Bild: 280.000 neue Schadprogrammvarianten pro Tag<\/strong> und im Schnitt 119 neue Sicherheitsl\u00fccken t\u00e4glich<\/strong>, ein Plus von 24 Prozent gegen\u00fcber dem Vorjahr. Der BSI Lagebericht 2025 deckt den Zeitraum Juli 2024 bis Juni 2025 ab und f\u00e4llt mit einer historischen Z\u00e4sur zusammen: Seit dem 2. Dezember 2025 ist das neue BSI-Gesetz in Kraft, das die EU-Richtlinie NIS2 in deutsches Recht \u00fcberf\u00fchrt. Parallel beziffert der Digitalverband Bitkom den j\u00e4hrlichen Schaden durch Cyberangriffe f\u00fcr die deutsche Wirtschaft auf 202,4 Milliarden Euro<\/strong>. Diese Analyse ordnet die Zahlen ein, vergleicht Deutschland mit \u00d6sterreich und der Schweiz und zeigt, was die neue Pflichtenlage f\u00fcr Unternehmen bedeutet.<\/p>\n\n\n\n

BSI Lagebericht 2025: Die Bedrohungslage in Zahlen<\/h2>\n\n\n\n

Der j\u00e4hrliche BSI Lagebericht ist das offizielle Referenzdokument zur Cybersicherheit in Deutschland. Anders als Vendor-Reports st\u00fctzt er sich auf beh\u00f6rdliche Telemetrie, Meldungen aus dem CERT-Bund-Netzwerk und Daten aus der Wirtschaft. F\u00fcr den Berichtszeitraum Juli 2024 bis Juni 2025 dokumentiert das BSI eine Bedrohungslage, die das Amt als angespannt einstuft, in einzelnen Bereichen aber als stabilisiert.<\/p>\n\n\n\n

Die zentrale Kennzahl: 280.000 neue Schadprogrammvarianten<\/strong> registriert das BSI im Schnitt pro Tag. Das sind rund 3,2 neue Varianten pro Sekunde, rund um die Uhr. Hinzu kommen 119 neue Sicherheitsl\u00fccken pro Tag<\/strong>, ein Anstieg um 24 Prozent gegen\u00fcber dem vorherigen Berichtszeitraum. Diese beiden Werte zusammen beschreiben das Grundproblem moderner IT-Sicherheit: Die Angriffsfl\u00e4che w\u00e4chst schneller, als Verteidiger sie absichern k\u00f6nnen.<\/p>\n\n\n\n

BSI-Pr\u00e4sidentin Claudia Plattner, seit dem 1. Juli 2023 an der Spitze der Beh\u00f6rde, fasste die Lage bei der Vorstellung des Berichts so zusammen: \u201eVorab darf ich sagen, dass wir eine Stabilisierung im Bereich der Bedrohungen haben.”<\/em> Sie begr\u00fcndete das damit, dass \u201ewir die Abwehr in der vergangenen Periode st\u00e4rken konnten”<\/em> und \u201eInfrastruktur von Angreifern vom Netz nehmen konnten.”<\/em> Diese Stabilisierung ist relativ zu verstehen, nicht als Entwarnung. Im gleichen Atemzug stellte Plattner klar, dass die Gesamtgef\u00e4hrdung weiter zunimmt.<\/p>\n\n\n\n

Die folgende Tabelle fasst die wichtigsten Kennzahlen des Berichts zusammen.<\/p>\n\n\n\n

Kennzahl (BSI Lagebericht 2025)<\/th>Wert<\/th>Ver\u00e4nderung<\/th><\/tr><\/thead>
Neue Schadprogrammvarianten pro Tag<\/td>280.000<\/td>weiter hohes Niveau<\/td><\/tr>
Neue Sicherheitsl\u00fccken pro Tag<\/td>119<\/td>+24 % gg\u00fc. Vorjahr<\/td><\/tr>
Berichtszeitraum<\/td>Juli 2024 bis Juni 2025<\/td>12 Monate<\/td><\/tr>
Schaden Cyberangriffe (Bitkom 2025)<\/td>202,4 Mrd. \u20ac<\/td>Teil von 289,2 Mrd. \u20ac Gesamtschaden<\/td><\/tr>
NIS2-Umsetzung (BSIG)<\/td>in Kraft seit 2. Dez. 2025<\/td>nach EU-Frist 17. Okt. 2024<\/td><\/tr>
DACH-Angriffe 2025 (Check Point)<\/td>+124 %<\/td>Deutschland 82 % der Vorf\u00e4lle<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

280.000 neue Schadprogramme pro Tag: Was hinter der Zahl steckt<\/h2>\n\n\n\n

Die Zahl von 280.000 t\u00e4glichen Schadprogrammvarianten wirkt abstrakt, beschreibt aber einen handfesten Wandel in der Angreifer\u00f6konomie. Der Gro\u00dfteil dieser Varianten entsteht nicht durch handgeschriebenen Code, sondern durch Automatisierung. Angreifer nutzen Packer, Krypter und Polymorphie-Engines, um aus einer einzigen Schadfunktion Tausende signaturverschiedene Versionen zu erzeugen. Jede einzelne soll klassische, signaturbasierte Virenscanner umgehen.<\/p>\n\n\n\n

Diese Masse erkl\u00e4rt, warum reine Signaturerkennung als alleinige Verteidigung ausgedient hat. Moderne Endpoint-Detection-and-Response-Systeme (EDR) bewerten stattdessen Verhalten: Welcher Prozess startet welchen Kindprozess, welche Datei verschl\u00fcsselt pl\u00f6tzlich Tausende Dokumente, welche Verbindung baut ein Office-Makro zu einem unbekannten Server auf. Das BSI empfiehlt seit Jahren genau diesen verhaltensbasierten Ansatz, kombiniert mit konsequentem Patch-Management.<\/p>\n\n\n\n

Ein zweiter Treiber ist K\u00fcnstliche Intelligenz. Generative Modelle senken die Einstiegsh\u00fcrde f\u00fcr Angreifer drastisch. Phishing-Mails ohne Grammatikfehler, automatisch generierte K\u00f6der in fehlerfreiem Deutsch und ma\u00dfgeschneiderte Social-Engineering-Texte lassen sich heute in Sekunden erzeugen. Plattner adressierte diesen Punkt deutlich und warnte, dass Deutschland ohne eigene Souver\u00e4nit\u00e4t bei KI und kryptografischen Verfahren strategisch ins Hintertreffen ger\u00e4t.<\/p>\n\n\n\n

F\u00fcr Privatpersonen bedeutet die Schadprogramm-Flut vor allem eins: Die Wahrscheinlichkeit, dass eine einzelne pr\u00e4parierte Mail oder Webseite den eigenen Virenscanner passiert, steigt. Mehrschichtige Verteidigung bleibt entscheidend, vom aktuellen Betriebssystem \u00fcber Zwei-Faktor-Authentisierung bis zu regelm\u00e4\u00dfigen Backups. Wer verstehen will, wie solche Angriffe technisch ablaufen, findet in unserer Analyse zu Datenlecks und ihrer Entstehung<\/a> die Grundlagen.<\/p>\n\n\n\n

119 neue Sicherheitsl\u00fccken t\u00e4glich: Das Patch-Dilemma<\/h2>\n\n\n\n

Der Anstieg der neu gemeldeten Schwachstellen um 24 Prozent ist die vielleicht beunruhigendste Einzelzahl im Bericht. 119 neue L\u00fccken pro Tag bedeuten \u00fcber 43.000 im Jahr. Kein Sicherheitsteam der Welt kann jede davon sofort bewerten, geschweige denn patchen. Die eigentliche Herausforderung ist nicht das Schlie\u00dfen einzelner L\u00fccken, sondern die Priorisierung.<\/p>\n\n\n\n

Genau hier setzt das Konzept der aktiv ausgenutzten Schwachstellen an. Die US-Beh\u00f6rde CISA pflegt mit dem Known-Exploited-Vulnerabilities-Katalog (KEV) eine Liste der L\u00fccken, die Angreifer nachweislich bereits ausnutzen. Solche Schwachstellen verdienen Priorit\u00e4t, unabh\u00e4ngig vom theoretischen CVSS-Score. Ein Beispiel aus dem laufenden Jahr lieferte die Citrix-NetScaler-L\u00fccke, die binnen weniger Tage nach Bekanntwerden ausgenutzt wurde. Wir haben den Fall in unserer Analyse zur Citrix-NetScaler-L\u00fccke<\/a> aufgearbeitet.<\/p>\n\n\n\n

Plattner brachte das strukturelle Problem auf den Punkt: \u201ewir haben in der Tat nach wie vor unzureichend gesch\u00fctzte Angriffsfl\u00e4chen in Deutschland”<\/em>, was Deutschland \u201eauch im digitalen Raum verwundbar macht.”<\/em> Gemeint sind veraltete Systeme, ungepatchte VPN-Gateways, exponierte Verwaltungsoberfl\u00e4chen und vergessene Server. Jede dieser Fl\u00e4chen ist ein potenzieller Einstiegspunkt.<\/p>\n\n\n\n

Das Patch-Dilemma trifft besonders kleine und mittlere Unternehmen (KMU), die das R\u00fcckgrat der deutschen Wirtschaft bilden. Ihnen fehlen oft dedizierte Sicherheitsteams. Automatisiertes Schwachstellen-Management, Asset-Inventarisierung und das Abschalten nicht ben\u00f6tigter Dienste sind die wirksamsten Hebel. F\u00fcr Unternehmen mit Webpr\u00e4senz geh\u00f6rt die korrekte TLS-Konfiguration dazu, wie wir in unserem Beitrag zu HTTPS und TLS<\/a> erkl\u00e4ren.<\/p>\n\n\n\n

Ransomware bleibt das Gesch\u00e4ftsmodell Nummer eins<\/h2>\n\n\n\n

Ransomware ist seit Jahren die wirtschaftlich folgenreichste Bedrohung, und daran \u00e4ndert sich auch 2025 nichts. Der Sicherheitsanbieter Check Point benennt in seinem DACH-Bericht vom 22. Mai 2026 drei besonders aktive Gruppen: Qilin<\/strong>, Akira<\/strong> und LockBit<\/strong>. Alle drei operieren nach dem Modell Ransomware-as-a-Service (RaaS), bei dem die Kerngruppe die Schadsoftware entwickelt und Partner (Affiliates) die eigentlichen Angriffe ausf\u00fchren.<\/p>\n\n\n\n

Das dominierende Druckmittel ist seit Jahren die doppelte Erpressung (Double Extortion): Angreifer verschl\u00fcsseln nicht nur die Daten, sondern stehlen sie zuvor und drohen mit Ver\u00f6ffentlichung. Selbst Unternehmen mit funktionierenden Backups stehen damit unter Druck, weil ein Datenleck Gesch\u00e4ftsgeheimnisse, Kundendaten und die Reputation gef\u00e4hrdet. Laut Check Point macht Ransomware knapp 30 Prozent aller in der DACH-Region erfassten Vorf\u00e4lle aus.<\/p>\n\n\n\n

Auf der Gegenseite zeigen Strafverfolger zunehmend Wirkung. Plattners Hinweis, man habe \u201eInfrastruktur von Angreifern vom Netz nehmen”<\/em> k\u00f6nnen, verweist auf internationale Takedown-Operationen. Ein deutsches Beispiel ist die Enttarnung mutma\u00dflicher REvil-Akteure durch das Bundeskriminalamt, die wir im Beitrag zu REvil und dem BKA<\/a> dokumentiert haben. Solche Schl\u00e4ge zerschlagen einzelne Gruppen, doch die RaaS-Affiliates wechseln schnell zur n\u00e4chsten Plattform.<\/p>\n\n\n\n

Hacktivismus und der Russland-Faktor<\/h2>\n\n\n\n

Neben finanziell motivierter Kriminalit\u00e4t pr\u00e4gt 2025 eine zweite Angriffsklasse die Statistik: politisch motivierter Hacktivismus. Check Point nennt drei besonders aktive Kollektive: NoName057(16)<\/strong>, Dark Storm Team<\/strong> und Mr Hamza<\/strong>. NoName057(16) gilt als prorussische Gruppe mit Schwerpunkt auf DDoS-Angriffen und Web-St\u00f6rungen. Genau das erkl\u00e4rt eine auf den ersten Blick \u00fcberraschende Zahl im DACH-Bericht: 66 Prozent<\/strong> der Vorf\u00e4lle entfallen auf Website-Defacements, also das Verunstalten oder Lahmlegen \u00f6ffentlich erreichbarer Webseiten.<\/p>\n\n\n\n

Diese Angriffe richten selten technischen Gro\u00dfschaden an, entfalten aber politische Wirkung. Sie sollen Aufmerksamkeit erzeugen und Verunsicherung s\u00e4en. Deutschlands geopolitische Sichtbarkeit und die Unterst\u00fctzung der Ukraine gelten laut Check Point als zentrale Gr\u00fcnde, warum das Land so stark ins Visier ger\u00e4t. Im Februar 2026 traf eine DDoS-Welle prominente Ziele, darunter Systeme im Umfeld der Deutschen Bahn und des Flughafens Berlin Brandenburg.<\/p>\n\n\n\n

F\u00fcr Betreiber kritischer Infrastruktur verschiebt sich damit das Risikoprofil. Ein DDoS-Angriff ist technisch simpel, aber \u00f6ffentlichkeitswirksam. Wirksame Gegenma\u00dfnahmen sind Anycast-Netze, spezialisierte Mitigation-Dienste und redundante Anbindungen. Die politische Dimension bedeutet zudem, dass Angriffswellen oft mit geopolitischen Ereignissen korrelieren, was Vorhersage und Vorbereitung erleichtert.<\/p>\n\n\n\n

202 Milliarden Euro: Was Cyberangriffe die Wirtschaft kosten<\/h2>\n\n\n\n

Die \u00f6konomische Dimension liefert der Digitalverband Bitkom. Seine aktuelle Wirtschaftsschutz-Studie beziffert den Gesamtschaden f\u00fcr die deutsche Wirtschaft auf 289,2 Milliarden Euro<\/strong> pro Jahr. Davon entfallen 202,4 Milliarden Euro<\/strong> auf Cyberangriffe im engeren Sinn, also Datendiebstahl, Sabotage und digitale Spionage. Der Rest verteilt sich auf analoge Formen von Spionage und Sabotage.<\/p>\n\n\n\n

Zur Einordnung: 202 Milliarden Euro entsprechen rund 4,7 Prozent der deutschen Wirtschaftsleistung. Die Sch\u00e4den umfassen nicht nur L\u00f6segeldzahlungen, sondern Produktionsausf\u00e4lle, Wiederherstellungskosten, Reputationsverluste, abgewanderte Kunden und gestiegene Versicherungspr\u00e4mien. Bitkom-Pr\u00e4sident Ralf Wintergerst verweist seit Jahren darauf, dass ein wachsender Anteil der Angriffe staatlichen oder staatsnahen Akteuren zugeschrieben wird, was die Abwehr zus\u00e4tzlich erschwert.<\/p>\n\n\n\n

Diese Zahlen erkl\u00e4ren, warum Cybersicherheit l\u00e4ngst Chefsache ist. Vorst\u00e4nde haften, Lieferketten brechen, und einzelne Vorf\u00e4lle k\u00f6nnen b\u00f6rsennotierte Konzerne Milliarden kosten. Plattner ordnete die Entwicklung so ein: \u201edas Ergebnis f\u00fchrt dazu, dass insgesamt die Gef\u00e4hrdung und das Gef\u00e4hrdungspotential steigt und erkennbar auch die Sch\u00e4den steigen.”<\/em> Die Kombination aus mehr Angriffen und teureren Folgen treibt die Schadenssumme nach oben.<\/p>\n\n\n\n

DACH im Vergleich: Deutschland, \u00d6sterreich, Schweiz<\/h2>\n\n\n\n

Der Check-Point-Bericht vom Mai 2026 erlaubt einen direkten Vergleich innerhalb der DACH-Region. Das Ergebnis ist eindeutig: Deutschland steht im Zentrum. 82 Prozent<\/strong> aller in der Region erfassten Vorf\u00e4lle entfallen auf die Bundesrepublik, 12 Prozent<\/strong> auf die Schweiz und 8 Prozent<\/strong> auf \u00d6sterreich. Insgesamt stiegen die Angriffe in der DACH-Region 2025 um 124 Prozent<\/strong>, und die Region machte 18 Prozent aller in Europa erfassten Cyberattacken aus.<\/p>\n\n\n\n

DACH-Vergleich 2025 (Check Point)<\/th>Anteil \/ Wert<\/th>Einordnung<\/th><\/tr><\/thead>
Deutschland<\/td>82 % der DACH-Vorf\u00e4lle<\/td>klarer Schwerpunkt<\/td><\/tr>
Schweiz<\/td>12 % der DACH-Vorf\u00e4lle<\/td>zweith\u00f6chster Anteil<\/td><\/tr>
\u00d6sterreich<\/td>8 % der DACH-Vorf\u00e4lle<\/td>geringster Anteil<\/td><\/tr>
Anstieg DACH gesamt 2025<\/td>+124 %<\/td>mehr als Verdoppelung<\/td><\/tr>
DACH-Anteil an Europa<\/td>18 %<\/td>gr\u00f6\u00dfter L\u00e4nderblock<\/td><\/tr>
Website-Defacement<\/td>66 % der Vorf\u00e4lle<\/td>v. a. Hacktivismus<\/td><\/tr>
Ransomware<\/td>~30 % der Vorf\u00e4lle<\/td>finanziell motiviert<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Dass die Anteile in Summe leicht \u00fcber 100 Prozent liegen, liegt an Rundungen und Mehrfachzuordnungen einzelner Kampagnen. Die Botschaft bleibt: Deutschland ist mit Abstand das Hauptziel. Gr\u00fcnde sind die wirtschaftliche Bedeutung als gr\u00f6\u00dfte Volkswirtschaft Europas, die hohe Dichte an Industrie- und Mittelstandsunternehmen und die geopolitische Exponiertheit. \u00d6sterreich und die Schweiz profitieren teils von kleinerer Angriffsfl\u00e4che, sind aber keineswegs sicher. Die Schweiz mit ihrem starken Finanzsektor ist ein attraktives Ziel f\u00fcr finanziell motivierte Gruppen.<\/p>\n\n\n\n

Eine ausf\u00fchrliche Aufarbeitung der DACH-Welle, inklusive der einzelnen Angriffsvektoren, finden Sie in unserer Analyse zu Cyberangriffen in Deutschland und im DACH-Raum<\/a>.<\/p>\n\n\n\n

NIS2 und das BSIG: Neue Pflichten seit Dezember 2025<\/h2>\n\n\n\n

Die wichtigste regulatorische Neuerung ist das novellierte BSI-Gesetz (BSIG), das die EU-Richtlinie NIS2 in deutsches Recht umsetzt und seit dem 2. Dezember 2025<\/strong> in Kraft ist. Deutschland hat die urspr\u00fcngliche EU-Umsetzungsfrist vom 17. Oktober 2024 deutlich \u00fcberschritten, was Unternehmen monatelange Rechtsunsicherheit bescherte. Mit dem Inkrafttreten ist diese Phase beendet.<\/p>\n\n\n\n

NIS2 erweitert den Kreis der regulierten Einrichtungen massiv. Statt einiger Tausend Betreiber kritischer Infrastruktur fallen nun deutlich mehr Unternehmen unter die Pflichten, gesch\u00e4tzt mehrere Zehntausend. Betroffen sind Sektoren wie Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abwasser, Lebensmittel und Teile der verarbeitenden Industrie. Ma\u00dfgeblich sind Gr\u00f6\u00dfe (ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz) und Sektor.<\/p>\n\n\n\n

Die Kernpflichten umfassen drei Bereiche. Erstens ein Risikomanagement mit konkreten technischen Ma\u00dfnahmen, von Verschl\u00fcsselung \u00fcber Zugriffskontrollen bis zu Notfallpl\u00e4nen. Zweitens versch\u00e4rfte Meldepflichten: Erhebliche Sicherheitsvorf\u00e4lle m\u00fcssen binnen 24 Stunden erstgemeldet werden, eine detaillierte Meldung folgt innerhalb von 72 Stunden. Drittens die pers\u00f6nliche Verantwortung der Gesch\u00e4ftsleitung, die Ma\u00dfnahmen billigen und \u00fcberwachen muss und bei Vers\u00e4umnissen haftet.<\/p>\n\n\n\n

F\u00fcr viele Mittelst\u00e4ndler ist das eine Z\u00e4sur. Wer bisher Cybersicherheit als reines IT-Thema delegierte, muss sie nun auf Vorstandsebene verankern. Die gute Nachricht: Die geforderten Ma\u00dfnahmen decken sich weitgehend mit etablierten Standards wie ISO 27001 und dem BSI-Grundschutz. Unternehmen, die diese bereits umsetzen, m\u00fcssen vor allem Meldeprozesse und Governance nachsch\u00e4rfen.<\/p>\n\n\n\n

Stimmen aus der Branche: Was die Verantwortlichen sagen<\/h2>\n\n\n\n

Die Einordnung der Zahlen durch die Verantwortlichen zeigt eine vorsichtige, aber bestimmte Tonlage. BSI-Pr\u00e4sidentin Claudia Plattner betonte bei der Vorstellung des Lageberichts die erreichten Fortschritte, ohne die Risiken kleinzureden. Ihre zentrale Aussage zur Stabilisierung steht neben der klaren Warnung vor wachsenden Sch\u00e4den.<\/p>\n\n\n\n

\u201eVorab darf ich sagen, dass wir eine Stabilisierung im Bereich der Bedrohungen haben, weil wir die Abwehr in der vergangenen Periode st\u00e4rken konnten und Infrastruktur von Angreifern vom Netz nehmen konnten.”<\/p>Claudia Plattner, Pr\u00e4sidentin des BSI<\/cite><\/blockquote>\n\n\n\n

Diese Stabilisierung darf nicht als Entwarnung gelesen werden. Im selben Statement machte Plattner deutlich, dass die Sch\u00e4den trotzdem steigen, weil Angriffe gezielter und folgenreicher werden.<\/p>\n\n\n\n

\u201eDas Ergebnis f\u00fchrt dazu, dass insgesamt die Gef\u00e4hrdung und das Gef\u00e4hrdungspotential steigt und erkennbar auch die Sch\u00e4den steigen.”<\/p>Claudia Plattner, Pr\u00e4sidentin des BSI<\/cite><\/blockquote>\n\n\n\n

Besonders deutlich wurde die BSI-Chefin bei den strukturellen Schw\u00e4chen. Sie verwies auf ungesch\u00fctzte Angriffsfl\u00e4chen, die Deutschland verwundbar machen, und verband dies mit einem Appell zur digitalen Souver\u00e4nit\u00e4t.<\/p>\n\n\n\n

\u201eWir haben in der Tat nach wie vor unzureichend gesch\u00fctzte Angriffsfl\u00e4chen in Deutschland, was uns damit auch im digitalen Raum verwundbar macht.”<\/p>Claudia Plattner, Pr\u00e4sidentin des BSI<\/cite><\/blockquote>\n\n\n\n

Aus der Wirtschaft kommt die finanzielle Perspektive. Der Digitalverband Bitkom unter Pr\u00e4sident Ralf Wintergerst beziffert den j\u00e4hrlichen Cyberschaden auf 202,4 Milliarden Euro und betont, dass ein steigender Anteil der Angriffe staatlich gesteuert ist. Der Sicherheitsanbieter Check Point wiederum ordnet Deutschland als klares Hauptziel im DACH-Raum ein und f\u00fchrt dies auf die wirtschaftliche und geopolitische Bedeutung des Landes zur\u00fcck.<\/p>\n\n\n\n

Historischer Kontext: Vom Bundestags-Hack bis heute<\/h2>\n\n\n\n

Die aktuelle Lage ist kein pl\u00f6tzlicher Bruch, sondern das Ergebnis einer langen Entwicklung. Der Cyberangriff auf den Deutschen Bundestag 2015 gilt vielen als Weckruf f\u00fcr die deutsche Sicherheitspolitik. 2017 zeigte WannaCry, wie ein einzelner Wurm binnen Stunden weltweit Krankenh\u00e4user, Konzerne und Verkehrsbetriebe lahmlegen kann, auch in Deutschland.<\/p>\n\n\n\n

Ab 2019 verschob sich der Schwerpunkt zu professioneller Ransomware. Die Emotet-Kampagnen trafen deutsche Beh\u00f6rden und Unternehmen schwer, bevor internationale Ermittler die Infrastruktur 2021 zerschlugen. 2021 legte ein Angriff auf den Landkreis Anhalt-Bitterfeld die Verwaltung wochenlang lahm und f\u00fchrte zum ersten cyberbedingten Katastrophenfall in Deutschland. Diese Eskalation zeigt das Muster: Auf jeden Takedown folgt eine Neuformierung.<\/p>\n\n\n\n

Was den aktuellen Bericht von fr\u00fcheren unterscheidet, ist die Verschmelzung zweier Bedrohungen. Finanziell motivierte Ransomware und politisch motivierter Hacktivismus \u00fcberlagern sich, befeuert durch den russischen Angriffskrieg gegen die Ukraine. Die Grundlagen kryptografischer Sicherheit, die jeder Verteidigung zugrunde liegen, erkl\u00e4ren wir im \u00dcberblick zu Hashing und Kryptographie<\/a>.<\/p>\n\n\n\n

Markt- und Wirtschaftsfolgen f\u00fcr 2026<\/h2>\n\n\n\n

Die Zahlen des Lageberichts treffen auf einen boomenden Sicherheitsmarkt. Mit NIS2 entsteht in Deutschland kurzfristig eine erhebliche Nachfrage nach Beratung, Audits, Managed-Security-Diensten und qualifiziertem Personal. Der Fachkr\u00e4ftemangel versch\u00e4rft sich: Tausende Stellen in der IT-Sicherheit bleiben unbesetzt, und die neuen Pflichten erh\u00f6hen den Bedarf zus\u00e4tzlich.<\/p>\n\n\n\n

Profitieren d\u00fcrften vor allem Managed-Security-Service-Provider (MSSP), die KMU eine schl\u00fcsselfertige Absicherung bieten, sowie Anbieter von EDR- und XDR-Plattformen. Auch Cyberversicherer stehen vor einem zwiesp\u00e4ltigen Jahr: Steigende Nachfrage trifft auf steigende Schadensh\u00f6hen, was Pr\u00e4mien weiter nach oben treibt und die Bedingungen versch\u00e4rft. Versicherer verlangen zunehmend Mindeststandards wie Multi-Faktor-Authentisierung als Voraussetzung f\u00fcr Deckung.<\/p>\n\n\n\n

F\u00fcr die deutsche Industrie hat die Lage strategische Folgen. Wer in vernetzte Produktion (Industrie 4.0) investiert, muss Sicherheit von Beginn an mitdenken. Die Konvergenz von IT und Betriebstechnik (OT) \u00f6ffnet neue Angriffsfl\u00e4chen, etwa in Produktionsanlagen und Steuerungssystemen, die historisch nie f\u00fcr die Anbindung ans Internet gebaut wurden.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr die zweite Jahresh\u00e4lfte 2026<\/h2>\n\n\n\n

Aus den Daten des Lageberichts und den aktuellen Trends lassen sich mehrere belastbare Erwartungen ableiten.<\/p>\n\n\n\n