Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt: Die IT-Sicherheit in Deutschland bleibt angespannt. Mit fortschreitender Digitalisierung wachsen Angriffsflächen und geopolitische Konflikte treiben die Aktivitäten von Angreifern, insbesondere von Advanced Persistent Threats (APT), weiter voran. Der Bericht mahnt konsistent: Ohne ein stärkeres Angriffsflächenmanagement und systematische Präventionsmaßnahmen bleibt die Sicherheitslage fragil – besonders für KMU und Institutionen des politischen und vorpolitischen Bereichs.

Warum die Lage angespannt bleibt

• Zunehmende Angriffsflächen durch Digitalisierung: Web-, Cloud- und IoT-Umgebungen erweitern die Angriffsflächen rapide. Viele Systeme arbeiten noch mit veralteten Protokollen oder offenbaren sensible Informationen öffentlich im Internet.
• Geopolitische Konflikte als Treiber: Die internationale Lage beeinflusst direkt die Bedrohungslage, insbesondere durch vermehrte APT-Aktivitäten in betroffenen Regionen.
• Exfiltration statt Lösegeld: Neben klassischen Ransomware-Angriffen gewinnen Datenleaks an Bedeutung. Angreifer kombinieren Erpressung mit dem Diebstahl sensibler Informationen, was zu größeren Schäden führt, auch wenn Lösegeldzahlungen sinken.
• KMU besonders verwundbar: Viele kleine und mittlere Unternehmen bleiben attraktive Ziele, weil Schutzmaßnahmen oft fehlen oder unzureichend umgesetzt sind.

Die Lage im Detail

Bedrohungslage: Stabilisierung auf hohem Niveau

• Internationale Strafverfolgung wirkt: Zwei vormals aktive Angreifergruppen haben ihre Aktivitäten stark reduziert.
• Geopolitik treibt APT-Aktivitäten: In geopolitisch belasteten Regionen nehmen koordinierte, zielgerichtete Angriffe zu.
• Neue Angriffsstrukturen: Neue IoT-Botnetze tauchten auf, betroffen waren rund 40.000 Geräte; oft waren Geräte vorverifiziert und konnten nicht nachträglich bereinigt werden.

Angriffsfläche: Web ist der zentrale Punkt

• Web-Angriffsflächen gewinnen an Bedeutung; viele Domains nutzen noch IPv4 und veröffentlichen somit sensible Informationen.
• Digitale Kommunikationswege bleiben verwundbar: E-Mail, Social Media, Messenger und SMS-Optionen sind weitere Einfallstore.
• Schwachstellen steigen weiter: Durchschnittlich 119 neue Schwachstellen pro Tag, inklusive Perimetersystemen als besonders anfällige Zonen.

Gefährdungslage: mehr Exploits, mehr Leaks

• Ransomware bleibt präsent, Datenleaks nehmen zu: Immer mehr Unternehmenskunden sowie Privatpersonen sind betroffen.
• Exfiltration von Daten wird zur Hauptbedrohung: Oft reichen gespeicherte oder öffentlich zugängliche Daten, um gravierende Schäden zu verursachen.

Schadwirkungen: Datenleaks dominieren neben Lösegeld

• Lösegeldzahlungen sinken, während Datenleaks zunehmen: Die Kommerzialisierung gestohlener Daten bleibt eine zentrale Motivation der Angreifer.
• Schutz durch Backups allein reicht nicht: Backups schützen vor Lösegeld, helfen aber nicht gegen Veröffentlichung gestohlener Daten.

Resilienz: Wer schützt wen?

• Verbraucher: Keine ausreichende Nutzung sicherer Passwörter; Passkeys könnten helfen.
• Kritische Infrastrukturen verbessern sich, aber langsam: ISMS-Reifegrad liegt teils bei 3, doch bei Erkennungssystemen besteht Nachholbedarf.
• KMU bleiben gefährdet: Viele unterschätzen ihr Risiko oder kennen nicht die geeigneten Gegenmaßnahmen.
• Institutionen des vorpolitischen und politischen Bereichs müssen besonders geschützt werden: Sie sind Schlüsselpersonen der Demokratie und für Angreifer „lohnende“ Ziele.

Aus dem aktuellen Lagebericht zur IT-Sicherheit des BSI leiten wir nachfolgende zentrale Handlungsfelder ab:

• Angriffsflächenmanagement (ASM): Systematische Identifikation, Bewertung und Reduktion von Angriffsflächen in allen Bereichen – Web, E-Mail, Messaging, IoT, Cloud.
• Starke Prävention auf allen Ebenen: Sichere Passwörter, 2FA, regelmäßige Patch- und Updatezyklen, regelmäßige Sicherheitsüberprüfungen.
• Awareness und Schulung: Verbraucher, Mitarbeitende und Behörden müssen besser für Phishing, Social Engineering und andere Taktiken sensibilisiert werden.
• Datensicherheit und Einsicht in Data Flows: Minimierung von Datenexposition, Verschlüsselung

Der Bericht stellt die wichtigsten Entwicklungen für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 vor und erschien im November 2025. Mehr dazu