BSI-Lagebericht 2025: Die Lage bleibt ernst
Trotz Fortschritten sind noch zu viele Ziele angreifbar. Branchenexperten sagen ihre Meinung.
Deutschland hat im Bereich der Cybersicherheit Fortschritte erzielt: Immer mehr Betreiber kritischer Infrastrukturen erfüllen die Mindestanforderungen. Internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung. Der aktuelle Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik(BSI) sendet dennoch ein unmissverständliches Signal: Die Lage in Deutschland bleibt auf einem angespannten Niveau. Trotz operativer Erfolge gibt es keine Entwarnung. Die nach wie vor mangelhafte Umsetzung von Sicherheitsmaßnahmen sorgt für „unzureichend geschützte Angriffsflächen“.
Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner machten bei der Vorstellung des BSI-Jahreslagebericht zur Cybersicherheit deutlich: Die Widerstandsfähigkeit kritischer Infrastrukturen wächst zwar, Deutschland ist im digitalen Raum allerdings immer noch verwundbar.
Viele digitale Systeme, Server und Online-Dienste sind weiterhin unzureichend geschützt und ermöglichen Angreifern, in Netzwerke einzudringen oder Daten zu stehlen. Webanwendungen sind besonders häufig schlecht geschützt. Server sind oft falsch konfiguriert und nicht ausreichend geschützt; bekannte Sicherheitslücken werden oft zu spät oder gar nicht behoben.
Zwischen Juli 2024 und Juni 2025 ist die Zahl der täglich neu entdeckten Schwachstellen um 24 Prozent gestiegen. 2025 wurden laut CVEDetails ca. 41.599 neue CVE Einträge erfasst. Das sind jetzt schon mehr als im gesamten Vorjahr. Unterschiedliche Quellen nennen etwa 40.009 erfasste neue CVEs für 2024.
Die Schwachstellen reichen von klassischen Softwarefehlern über unsicheres Design (Insecure Design) bis hin zu kompromittierten IoT-Geräten, die bereits ab Werk mit Schadsoftware infiziert sind – mit verheerenden Folgen: Angreifer nutzen die Schwachstellen für Exploitation-Angriffe (+38 %) und erzielen durch die Kombination aus Datenverschlüsselung und Datenabfluss (Leaks) die durchschnittlich höchsten Lösegelder seit Beginn der Aufzeichnungen. Das BSI fasst das so zusammen: Backups sind essentiell, helfen aber weder Verschlüsselung noch gegen Datenlecks. Die Angriffsfläche ist der kritische Faktor und muss minimiert werden.
Mehr Digitalisierung, mehr Angriffsfläche
Mit der fortschreitenden Digitalisierung entstehen neue internetbasierte Anwendungen und Systeme. Werden diese nicht oder nicht gut genug geschützt, entstehen potenzielle Einstiegspunkte für Cyberangriffe. Besonders im Cloud-Bereich, in der Energieversorgung und in der Fahrzeugindustrie besteht die Gefahr, dass Hersteller oder Anbieter dauerhaft und unkontrolliert Zugriff auf Systeme und Daten behalten.
BSI-Präsidentin Claudia Plattner: „Wir müssen die Cybernation Deutschland weiterbauen und uns klarmachen: Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht, Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen. Ganz banal gesagt bedeutet das: Die Letzten beißen die Hunde! Wir haben festgestellt, dass Cyberkriminelle überall dort eindringen, wo es ihnen möglich ist, und erst danach eruieren, welchen Schaden sie anrichten können. Nur, wer sich aktiv schützt, erhöht die Chancen, Gefährdungen zu entgehen oder Schadwirkungen zu minimieren.“
Finanziell motivierte Cyberangriffe von professionell organisierten Erpressergruppen, die mit erpresserischer Schadsoftware (Ransomware) arbeiten, bleiben die größte Bedrohung. Zunehmend aktiv sind aber auch staatlich gesteuerte Akteure, die mit komplexen und langfristigen Attacken politische oder wirtschaftliche Ziele verfolgen.
Während große Betreiber ihre Schutzmaßnahmen weiter ausbauen, fehlen kleineren und mittleren Unternehmen dafür oft die Ressourcen und das Bewusstsein für die eigene Verwundbarkeit. Angreifer fokussieren sich auf leichte Beute. Rund 80 Prozent der Ransomware-Angriffe treffen kleine und mittlere Unternehmen (KMU). Hier klafft eine gefährliche Wahrnehmungslücke: Während 91 Prozent der KMU ihre eigene Sicherheit als gut einschätzen, erfüllen sie laut BSI im Schnitt nur 56 Prozent der Basisanforderungen des CyberRisikoChecks. Ein ähnliches Bild zeigt sich bei Kommunen, politischen Organisationen, Vereinen und Parteien.
Was sagen Branchenexperten?
Die digitale Landschaft wird zunehmend komplexer, da immer mehr Geräte, Systeme und Dienste miteinander vernetzt sind. Der stetige Anstieg an Schwachstellen und die wachsende Interkonnektivität markieren einen Wendepunkt in der Cybersicherheit. Organisationen stehen nicht mehr vor einzelnen Problemen, die sich mit einem einfachen Patch beheben lassen, sondern vor einer sich stetig ausweitenden Angriffsfläche, die IT-, OT- und IoT-Umgebungen gleichermaßen umfasst.
Für die kritische Infrastruktur in Deutschland ist es daher unerlässlich, die Resilienz zu stärken. Krankenhäuser, Versorgungsunternehmen und andere essenzielle Einrichtungen können vernetzten Geräten nicht länger blind vertrauen. Nur durch vollständige Transparenz über alle Assets und ein konsequentes Cyber Exposure Management lassen sich Risiken wirksam erkennen, bewerten und eindämmen, bevor sie zu gravierenden Störungen führen.
Zwei Erkenntnisse des Berichts müssen Security-Verantwortlichen besonders zu denken geben. Zum einen zeigt die Erwähnung von Access Brokern, die gestohlene Zugangsdaten im Darknet handeln, dass der Angriff oft schon stattgefunden hat, bevor er im eigenen Netz sichtbar wird. Zweitens sind die kompromittierten IoT-Geräte, die bereits infiziert aus der Fabrik kommen, sind der ultimative Beweis für das enorme Third-Party-Risiko. Unternehmen sind heute nur so sicher wie das schwächste Glied in ihrer digitalen Lieferkette. Ein kontinuierliches Monitoring des Darknets und der externen Angriffsfläche ist daher unerlässlich.
Der Bericht bestätigt, was sich bereits seit Jahren abzeichnet: Cybersicherheit ist kein Zustand, sondern ein Prozess. Widerstandsfähigkeit entsteht nicht durch Reaktion, sondern durch vorausschauende Vorbereitung – und durch das konsequente Umsetzen von Prinzipien wie Zero Trust und Intrusion Kill Chain. Nur so lässt sich die digitale Souveränität nachhaltig sichern
Der BSI-Lagebericht 2025 ist kein Alarmruf mehr – er ist die Bestätigung der neuen Normalität. Die Fortschritte bei KRITIS sind gut, aber die mangelhafte Umsetzung von Basisthemen und Cyber Hygiene in der Breite bleibt besorgniserregend. Schwachstellen und damit Angriffsflächen wachsen schneller, als die meisten IT-Teams patchen können. Gleichzeitig sinkt das Risikobewusstsein in der Bevölkerung, sich auf den "Faktor Mensch" als letzte Verteidigungslinie zu verlassen, ist eine verlorene Wette.
Als CISOs müssen wir aufhören, der Komplexität mit noch mehr Silo-Tools zu begegnen. Der Weg zu mehr Resilienz, den das BSI fordert, führt über Plattform-Konsolidierung, konsequente Implementierung von Zero Trust und die Absicherung unserer Anwendungen an der Netzwerkgrenze.
Kristian von Mejer, Director, Central & Eastern Europe bei Forescout
Die diesjährigen Enthüllungen zu IoT-Gefahren sind ein Weckruf. Wenn Geräte bereits ab Werk infiziert in den Handel kommen, entsteht ein unkalkulierbares Risiko. Für Betreiber Kritischer Infrastrukturen, deren IT- und OT-Netze immer stärker zusammenwachsen, ist diese Entwicklung existenzbedrohend. Ein reaktiver Sicherheitsansatz ist hier zum Scheitern verurteilt. Unternehmen müssen dringend zu einer proaktiven Risikosteuerung übergehen. Die unverzichtbare Basis dafür ist eine vollständige Echtzeit-Transparenz über absolut jedes Gerät im Netzwerk, egal ob IT, IoT oder OT.
Der aktuelle BSI-Lagebericht 2025 hebt die positive Entwicklung bei KRITIS-Resilienz und Sicherheitsmaßnahmen hervor – ein deutliches Signal, dass Investitionen und Compliance-Initiativen Wirkung zeigen. Resilienz ist kein Zufall, sondern das Ergebnis strukturierter Sicherheitsarbeit, gelebter Compliance und vernetzter Verantwortung.
Mit Blick auf die kommende gesetzliche NIS2-Umsetzung verschiebt sich der Fokus weiter von proaktiver IT-Sicherheit zu integrierter OT-Sicherheit und ganzheitlicher Risikovorsorge. Das Zusammenspiel von Regulatorik, Technologie und Verantwortung in der Führungsebene wird mehr denn je sicherheitsentscheidend – besonders in kritischen Infrastrukturen und Produktionsumgebungen.
Die Entdeckung von Schadsoftware, die – wie im Fall von Badbox – bereits ab Werk auf Geräten vorinstalliert ist, verlagert das Sicherheitsproblem direkt in den Entwicklungsprozess und offenbart ein massives Risiko in der Software-Lieferkette. Sicherheitsprüfungen am Ende der Pipeline reichen nicht mehr aus, wenn ein Produkt schon vor der Auslieferung kompromittiert ist. Diese Herausforderung wird durch den Einsatz von KI weiter verschärft.
Der Bericht ist besonders relevant, da die NIS2-Richtlinie in Kürze in Kraft tritt und Unternehmen strengeren Cybersicherheitsvorgaben unterliegen. Das BSI warnt zu Recht vor Risiken wie bösartigen Trainingsdaten für KI-Systeme. Für das DevOps-Umfeld bedeutet das: KI-Modelle sind zum neuen Open-Source-Code geworden. Unternehmen benötigen daher dringend eine zentrale, sichere Plattform, um alle Software-Artefakte – ob Code, Binärdatei oder ML-Modell – kontinuierlich zu prüfen und zu verwalten, von der Entwicklung bis in die Cloud.
Das BSI selbst hat im Berichtszeitraum die erste quantensichere Smartcard zertifiziert und fordert zum Übergang zur Post-Quanten-Kryptographie auf. Das unterstreicht die Dringlichkeit, sich jetzt auf die Quanten-Bedrohung vorzubereiten. Es geht nicht mehr um das ‚ob‘, sondern nur noch um das ‚wann‘.
Die Analyse zu Ransomware lässt dieses Jahr aufhorchen. Angreifer kombinieren Verschlüsselung mit Datenlecks und erzielen so Rekord-Lösegelder. Damit ist klar, dass ein traditionelles Backup als alleinige Antwort auf Erpressungstrojaner ausgedient hat.
Unternehmen müssen die Verantwortung für ihre Daten in der Cloud selbst übernehmen, anstatt sich auf den Provider zu verlassen. Echte Cyberresilienz bedeutet, eine separate, unveränderliche Kopie dieser Daten zu besitzen. Nur so bleiben Unternehmen im Ernstfall handlungsfähig, können Daten schnell wiederherstellen und Compliance-Anforderungen erfüllen.
Der aktuelle BSI-Lagebericht zeigt deutlicher denn je: Cyber-Security ist nicht nur eine technische Disziplin, sondern ein gesellschaftlicher Erfolgsfaktor. Man konnte über die letzten Jahre beobachten, dass Angriffe komplexer, automatisierter und auch vernetzter werden. Daher müssen Sicherheitsansätze nicht nur in der Lage sein, zu reagieren, sondern eigenständig vorausdenken. Die digitale Identität ist dabei längst ein zentraler Anker moderner Sicherheitsarchitekturen.
Die Lehren, die man aus dem jüngsten Bericht ziehen sollte, sind eindeutig: Zukunftsfähige Sicherheit erfordert Lösungen, die Schutz, Skalierbarkeit und Benutzerfreundlichkeit zu einem intelligenten Gesamtsystem verbinden. Wer dementsprechend Cyber-Security bereits heute als Innovationsmotor begreift, der gestaltet die digitale Zukunft aktiv mit – statt sie nur zu verteidigen.
Eine der gefährlichsten Schwachstellen ist offenbar die Fehleinschätzung im eigenen Haus. Wenn 91 Prozent der KMU ihre Sicherheit für 'gut' halten, aber im Schnitt nicht einmal 56 Prozent der Grundanforderungen erfüllen, ist das keine Sicherheitsstrategie, sondern ein Blindflug. Diese Lücke in der Selbstwahrnehmung ist genau das, was Angreifer als 'leichte Beute' ausnutzen.
Für diese Unternehmen ist die bevorstehende NIS2-Regulierung kein Bürokratiemonster, sondern eine dringend nötige Leitplanke. Sie zwingt Unternehmen, ihr Risikomanagement endlich auf eine reale Datengrundlage zu stellen und Informationssicherheit nachweisbar zu machen. Umso besser, dass auch unsere Zahlen zeigen: die Wirtschaft steht mehrheitlich hinter NI2 – über die Hälfte der befragten Unternehmen sehen verschärfte Regulierungen positiv.
Die BSI-Zahl von 119 neuen Schwachstellen pro Tag muss der letzte Weckruf für Unternehmen sein, die noch auf manuelle Prozesse setzen. Diese unkontrollierbare Flut ist der wahre Grund für die unzureichend geschützten Angriffsflächen‘, die das BSI zu Recht als Kernproblem nennt. Sicherheitsteams können diesen Wettlauf ohne massive Automatisierung nicht mehr gewinnen.
Gleichzeitig sehen wir, dass die Risiken weit über einzelne Server hinausgehen. Von ‚Injection‘-Fehlern in Webanwendungen bis zu den eklatanten Compliance-Lücken im Mittelstand wird klar, dass Unternehmen eine konsolidierte Sicht brauchen. Ein Flickenteppich aus Einzellösungen reicht nicht mehr, um IT-Systeme, Workloads und Web-Applikationen effektiv zu schützen und die Compliance nachzuweisen.
Die digitale Transformation vergrößert unweigerlich die Angriffsflächen, wie die aktuellen Zahlen eindrücklich belegen. Viele Unternehmen, insbesondere der Mittelstand, sind mit der Absicherung dieser komplexen neuen Cloud- und On-Premise-Welten sichtlich überfordert. Sie werden zur ‚leichten Beute‘, weil ihnen die Ressourcen für ein lückenloses Schwachstellen-Management fehlen.
Hier muss ein Umdenken stattfinden. Professionelle Managed Cloud Services sind kein Luxus mehr, sondern die Grundvoraussetzung, um die geforderte Resilienz überhaupt erst zu erreichen. Sie sind der effektivste Weg, um Sicherheit und Compliance-Anforderungen wie NIS2 dauerhaft und professionell umzusetzen.
Als deutscher Infrastrukturanbieter stellen wir verlässliche, transparente und souveräne IT-Infrastrukturen für Unternehmen und Organisationen in unseren Hochsicherheitsrechenzentren in München bereit. Denn Vertrauen bildet das Rückgrat der Cyberabwehr und es geht dabei nicht nur um Technik. Wirksamer Schutz entsteht durch das reibungslose Zusammenspiel von sicheren Prozessen, resilienter Technik und den Menschen, welche die Technik bedienen in den Unternehmen.
119 neue Sicherheitslücken pro Tag: Die neuen BSI-Zahlen machen Schlagzeilen - und das völlig zu Recht. Ein Aspekt wird dabei aber nicht ausreichend beleuchtet: Würde man überhaupt merken, wenn jemand eine dieser Schwachstellen in unserer Cloud ausnutzt?
Die unbequeme Wahrheit, der sich CISOs gegenüber sehen: Die meisten Security-Teams haben noch nicht die Kapazität und Fähigkeit aufgebaut, Cloud-Angriffe zu untersuchen und in Echtzeit darauf zu reagieren. Man kann Compliance-Checklisten abhaken, Fehlkonfigurationen finden – aber einen aktiven Angriff in der Cloud in Echtzeit erkennen und stoppen? Das ist eine komplett andere Liga.
Der BSI-Lagebericht zeigt uns das Tempo, indem Bedrohungsakteure ihre Taktiken, Tricks und Technologien adaptieren. Das Tempo, mit dem Unternehmen ihre Teams im Gegenzug befähigen, Cloud-Security adäquat weiterzuentwickeln, ist im Vergleich viel zu langsam. Es gilt nun, dieses Problem anzuerkennen und proaktiv an einer Lösung zu arbeiten, um den Cyberkriminellen wieder einen Schritt voraus zu sein.
Wir ertrinken in Schwachstellen – 119 neue pro Tag ,aber das eigentliche Problem ist die mangelnde IT-Hygiene. Die größten Einfallstore sind nach wie vor veraltete und ungepatchte Systeme. Angreifer wissen das und nutzen es aus; sie setzen sogar gezielt EDR-Killer ein, um eine lückenhafte Verteidigung komplett auszuhebeln.
Genau hier zeigt sich die Schwäche vieler Sicherheitskonzepte - Man kann nicht schützen, was man nicht sieht. Ohne eine 100-prozentige, akkurate Echtzeit-Sichtbarkeit und Kontrolle über jeden einzelnen Endpoint bleibt jede Verteidigungsstrategie ein reines Glücksspiel.
Die Nachricht, dass die polizeiliche Verfolgung von Ransomware-as-a-Service-Gruppen Früchte trägt, ist großartig. Cybercrime und speziell Ransomware sind Bedrohungen, die sich langfristig nur durch die Zusammenarbeit zwischen Industrie und Behörden bekämpfen lässt, denn: Jedes Unternehmen, das Lösegeld bezahlt, finanziert direkt den nächsten Angriff.
Generell gilt - für KMU sowie für Konzerne - wer sich proaktiv mit potenziellen Risiken und Maßnahmen zur Verbesserung der Resilienz auseinandersetzt, der sorgt bereits jetzt dafür, dass wir im Lagebericht 2026 noch mehr gute Nachrichten erwarten können.
Cyberdome für Deutschland
Zur weiteren Verbesserung der Widerstandsfähigkeit im Cyberbereich wird das BMI einen Cyberdome aufbauen. Damit ist ein ein teilautomatisiertes System zur Detektion und Analyse von Angriffen sowie zur Reaktion darauf gemeint. Im gleichen Zug sollen die Cyberabwehrbefugnisse der Sicherheitsbehörden gestärkt werden, um schwerwiegende Angriffe aktiv verhindern und stoppen oder wenigstens abmildern zu können.
Bundesinnenminister Alexander Dobrindt ist überzeugt: „Digitale Sicherheit ist eine Kernfrage staatlicher Souveränität. Deshalb geben wir unseren Sicherheitsbehörden die Befugnisse, die sie brauchen, um das Land wirksam zu schützen. Mit dem Cyberdome schaffen wir ein starkes Schild gegen Angriffe aus dem Netz. Der Schutz Deutschlands bleibt eine gemeinsame Aufgabe – von Staat, Wirtschaft und Gesellschaft.“