BSI-Bericht 2025: IT-Sicherheitslage bleibt angespannt

GZ Ausgabe GZ-7-2026 vom 26. März 2026 | Verwaltung & Digitalisierung
von Doris Kirchner
GZ Fahne

Als weiterhin prekär beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Jahresbericht 2025 die Lage der IT-Sicherheit in Deutschland. Insbesondere unzureichend geschützte digitale Angriffsflächen machten Behörden, Unternehmen und andere Organisationen verwundbar. Angreifer nutzten zunehmend den „Weg des geringsten Widerstands“ und wählten bevorzugt Ziele mit niedrigen Sicherheitsstandards. Kleine und mittlere Unternehmen sowie Institutionen des politischen und vorpolitischen Raums gälten nach wie vor als besonders gefährdet, da ihre Web-Angriffsflächen häufig nicht ausreichend geschützt sind. Jede aus dem Internet erreichbare Organisation oder Person könne demnach grundsätzlich Ziel von Cyberangriffen werden.

Laut BSI führten internationale Strafverfolgungsmaßnahmen im Bereich der Cyberkriminalität zu einer Stabilisierung der Bedrohungslage. Einige vormals sehr aktive Angreifergruppen stellten ihre Aktivitäten nahezu vollständig ein. Gleichzeitig stieg im Kontext geopolitischer Konflikte die Zahl der sogenannten Advanced Persistent Threats (APT), also langfristig und gezielt operierender Angreifergruppen, deutlich an. Neu bekannt gewordene Angriffsinfrastrukturen, darunter zwei große IoT-Botnetze, infizierten bereits im Produktionsprozess rund 40.000 Geräte mit Schadsoftware. Für Nutzer gab es kaum Möglichkeiten, diese vorinfizierten Geräte nachträglich zu bereinigen.

Angreifbare Flächen

Die Angriffsflächen in Deutschland nehmen zu, bedingt durch die fortschreitende Digitalisierung. Viele .de-Domains arbeiten noch ausschließlich mit dem älteren IPv4-Protokoll, und bei fast der Hälfte der IP-Adressen hinter diesen Domains waren sensible Informationen wie Geodaten oder Hinweise auf mögliche Schwachstellen öffentlich zugänglich. Auch digitale Kommunikationswege wie E-Mail, Messenger- oder Social-Media-Accounts stellen weiterhin leicht angreifbare Flächen dar. Darüber hinaus entstehen täglich neue Schwachstellen in IT-Produkten: Im Berichtszeitraum wurden durchschnittlich 119 neue Sicherheitslücken pro Tag registriert, ein Anstieg von rund 24 Prozent gegenüber dem Vorjahr. Besonders kritisch bleiben Schwachstellen in Perimetersystemen, die nach wie vor ein bevorzugtes Einfallstor für Cyberangriffe darstellen.

Die Gefährdungslage ist weiterhin hoch. Die Zahl der angezeigten Ransomware-Angriffe blieb mit rund 950 Fällen nahezu unverändert, wobei besonders kleine und mittlere Unternehmen betroffen sind. Diese Angriffe führten häufig zu Datenleaks, deren Folgen nicht durch vorhandene Backups abgedeckt werden können. Cyberkriminelle erbeuten zunehmend Zugangsdaten oder sensible Informationen, die sich im Darknet weiterverkaufen lassen.

Während die Höhe der gezahlten Lösegelder insgesamt rückläufig ist, steigt die Zahl der betroffenen Organisationen, insbesondere solcher mit schwach gesicherten Systemen. Auch die Ausnutzung von Schwachstellen in Web-Angriffsflächen hat weiter an Bedeutung gewonnen, während klassische E-Mail-Angriffe leicht zurückgingen, was unter anderem auf die zunehmende Nutzung alternativer Kommunikationskanäle wie Messenger oder Social Media zurückzuführen ist.

Die Resilienz deutscher Organisationen entwickelt sich nur langsam. Immer mehr Betreiber kritischer Infrastrukturen erfüllen inzwischen die Mindestanforderungen, jedoch bestehen deutliche Unterschiede zwischen Präventions-, Verteidigungs- und Bewältigungsfähigkeiten. Etwa 80 Prozent der Betreiber verfügen über ein Informationssicherheitsmanagementsystem mit einem Reifegrad von mindestens drei, während nur knapp zwei Drittel ein Business-Continuity-Management implementiert haben. Systeme zur Angriffserkennung sind mit 48 Prozent noch deutlich unterentwickelt. Besonders kleine und mittlere Unternehmen verfügen häufig weder über das notwendige Wissen noch über die entsprechenden Sicherheitsvorkehrungen. Dabei unterschätzen sie oft ihr Risiko, obwohl sie für Cyberkriminelle lohnende Ziele darstellen.

Auch politische Organisationen, Stiftungen und Verbände sind nach wie vor unzureichend geschützt, obwohl sie direkten Zugang zu Entscheidungsträgern oder sensiblen Informationen über politische Prozesse bieten. Solche Daten können im Rahmen fremdstaatlicher Destabilisierungsstrategien genutzt werden, um politische Stimmungen zu beeinflussen oder die Demokratie in Deutschland gezielt zu destabilisieren. Das BSI empfiehlt daher nicht nur eine Stärkung der IT-Sicherheit in Unternehmen, sondern auch verbindliche Vorgaben für die Cyberresilienz politischer Institutionen, um die demokratische Willensbildung nachhaltig zu schützen.

Doris Kirchner

Doris Kirchner, Chefin vom Dienst

Ihre optimale Website-Nutzung

Diese Website verwendet Cookies und bindet externe Medien ein. Mit dem Klick auf „✓ Alles akzeptieren“ entscheiden Sie sich für eine optimale Web-Erfahrung und willigen ein, dass Ihnen externe Inhalte angezeigt werden können. Auf „Einstellungen“ erfahren Sie mehr darüber und können persönliche Präferenzen festlegen. Mehr Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutzerklärung Impressum
Detailinformationen zu Cookies & externer Mediennutzung

Externe Medien sind z.B. Videos oder iFrames von anderen Plattformen, die auf dieser Website eingebunden werden. Bei den Cookies handelt es sich um anonymisierte Informationen über Ihren Besuch dieser Website, die die Nutzung für Sie angenehmer machen.

Damit die Website optimal funktioniert, müssen Sie Ihre aktive Zustimmung für die Verwendung dieser Cookies geben. Sie können hier Ihre persönlichen Einstellungen selbst festlegen.

Noch Fragen? Erfahren Sie mehr über Ihre Rechte als Nutzer in der Datenschutzerklärung und Impressum!

Datenschutzerklärung Impressum
Ihre Cookie Einstellungen wurden gespeichert.