Sign in Subscribe
By Me in Security

Der BSI-Lagebericht 2025: Exploits und Datenleaks als neue Bedrohungstrends

Der Bericht zur Lage der IT-Sicherheit in Deutschland 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) offenbart ein alarmierendes Phänomen: Die massive Zunahme von Ausnutzungs-Angriffen gekoppelt mit systematischen Datenlecks ersetzt zunehmend traditionelle Ransomware-Szenarien und führt zu Lösegeldern auf Rekordniveau. Der Bericht dokumentiert Vorfälle zwischen dem 1. Juli 2024 und dem 30. Juni 2025 und zeigt nicht nur eine quantitative Steigerung der Bedrohungen, sondern auch eine qualitative Verschiebung in der Art und Weise, wie Cyberkriminelle ihre Angriffe strukturieren und monetarisieren.

Schwachstellen als Grundursache

Im Berichtszeitraum wurden durchschnittlich 119 neue Schwachstellen pro Tag identifiziert – ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Neben klassischen Softwarefehlern umfassen diese zunehmend konzeptionelle Mängel und bereits bei Auslieferung infizierte IoT-Geräte. Die Zahl der Ausnutzungs-Angriffe stieg um 38 Prozent, was eine noch schnellere Zunahme darstellt als die Entdeckung neuer Lücken selbst.

Vom Ransomware- zum Hybrid-Modell

Der klassische Ransomware-Ansatz wird zunehmend um Datenlecks ergänzt, wodurch sich die Erpressungskraft dramatisch vervielfacht. Diese hybride Strategie nutzt doppelte Druckausübung: Systemzugriff wird blockiert und gleichzeitig droht die Veröffentlichung sensibler Daten. Die durchschnittlich gezahlten Lösegelder erreichen einen neuen Höchststand. Im Berichtszeitraum wurden 950 Ransomware-Anzeigen registriert, in 72 Prozent dieser Fälle kam es zu Datenleaks oder entsprechenden Androhungen.

KMU als bevorzugte Ziele

Etwa 80 Prozent aller gemeldeten Angriffe zielten auf kleine und mittlere Unternehmen (KMU) ab. Diese verfügen typischerweise nicht über umfangreiche Cybersecurity-Teams und begrenzte IT-Budgets. Besonders bemerkenswert ist die Wahrnehmungslücke: 91 Prozent der KMU schätzen ihre IT-Sicherheit als „gut" oder „sehr gut" ein, erfüllen aber im Durchschnitt nur 56 Prozent der zentralen Basisanforderungen des BSI CyberRisikoChecks. Diese Diskrepanz führt dazu, dass KMU-Führungskräfte sich in falscher Sicherheit wiegen.

Kritische Infrastrukturen: Erkennungslücken

Zwar haben 80 Prozent der KRITIS-Betreiber Informationssicherheitsmanagementsysteme implementiert, doch 48 Prozent verfügen über kein System zur Angriffserkennung. Dies bedeutet, dass fast die Hälfte jener Organisationen, die für die Infrastruktur des Landes kritisch sind, nicht einmal grundlegende Erkennungsfähigkeiten aufweisen. Besonders problematisch ist die Situation bei Operational-Technology-Systemen in der Energieversorgung, die oft über Jahrzehnte mit proprietären Protokollen funktionieren und nicht auf moderne Sicherheitsmaßnahmen ausgelegt sind.

Verschiebung zu Web-Angriffen

Der BSI-Lagebericht dokumentiert eine merkliche Verschiebung: Während E-Mail-basierte Angriffe zurückgegangen sind, gewinnen Ausnutzungs-Angriffe über Web-Angriffsflächen kontinuierlich an Bedeutung. Die Analyse öffentlich erreichbarer .de-Domains zeigt erhebliche Sicherheitsdefizite: 61 Prozent nutzen ausschließlich das veraltete IPv4-Protokoll, und bei 47 Prozent der erreichbaren IP-Adressen sind sensible Informationen öffentlich einsehbar. Ein weiterer Trend ist die verstärkte Nutzung von Social Media und Messaging-Diensten für Angriffsoperationen.

Professionalisierung der Bedrohungsakteure

Internationale Strafverfolgung führte zu operativen Erfolgen, insbesondere zur Zerschlagung großer Ransomware-Gruppen wie LockBit und ALPHV. Doch dies hinterließ kein beruhigtes Umfeld – stattdessen beobachtet das BSI schnelle Reformation neuer Gruppen auf Basis modularer Angriffswerkzeuge. Ransomware-as-a-Service-Plattformen haben die Eintrittsbarriere für Cyberkriminalität massiv gesenkt. Die primären Akteure lassen sich grob in drei Kategorien unterteilen: russische Akteure mit destruktiven Zielen, hochprofessionalisierte Cybercrime-Strukturen und automatisierte Botnetz-Infrastrukturen.

Datenlecks und Access-Broker

Der BSI-Bericht dokumentiert 461 identifizierte Datenlecks im Berichtszeitraum. Die exponierten Datentypen umfassen primär Geburtsdaten, E-Mail-Adressen und Zugangsdaten. Besonders relevant ist die Entwicklung von Access-Broker-Diensten, die gestohlene Zugangsdaten im Dark Web handeln. Die Zahl der mutmaßlich Geschädigten durch Datenlecks erreicht ein neues Allzeithoch. Für Unternehmen bedeutet das wachsende rechtliche und finanzielle Risiken, die nur mit belastbaren Nachweisen und geübten Abläufen beherrschbar sind.

Angriffflächenverwaltung als zentraler Hebel

Das zentrale Fazit des BSI-Lageberichts lautet klar: Der Schutz von Angriffsflächen ist der entscheidende Hebel zur Verbesserung der Cybersicherheit. Proaktive Angriffflächenverwaltung bedeutet, dass Organisationen kontinuierliche Transparenz über all ihre Systeme, Netzwerk-Verbindungen und potenziellen Eintrittspunkte aufrecht erhalten müssen. Dies schließt nicht nur traditionelle IT-Systeme ein, sondern auch IoT-, OT- und Cloud-Umgebungen. Konkrete Maßnahmen umfassen strukturierte Inventarisierung aller Systeme, kontinuierliches Schwachstellenmanagement mit risikobasierter Priorisierung, konsequentes Patch-Management, Netzwerksegmentierung und Zero-Trust-Architekturen.

Staatliche Gegenmaßnahmen

Die Bundesregierung hat das Konzept des „Cyberdome" etabliert, eines teilautomatisierten Systems zur Erkennung, Analyse und Abwehr von Angriffen. Die Finanzausstattung des BSI soll um 65 Prozent anwachsen. Auf legislativer Ebene sind die NIS2-Richtlinie und das IT-Sicherheitsgesetz 2.0 relevant, die die Anforderungen an Betreiber kritischer Infrastrukturen erheblich verschärfen.

Organisatorische und psychologische Faktoren

Das BSI konstatiert explizit die Existenz einer „digitalen Sorglosigkeit," die eine „fatale Lücke zwischen der eskalierenden Bedrohungslage und der notwendigen persönlichen Verteidigungsbereitschaft" aufreißt. Die Nutzung von Zwei-Faktor-Authentifizierung sank von 42 Prozent im Jahr 2023 auf 34 Prozent im Jahr 2025. Auf Unternehmensebene verfügen 39 Prozent über kein strukturiertes Notfallmanagement für Datendiebstahl oder Sabotage. Nur 24 Prozent der Unternehmen bieten IT-Sicherheitsschulungen allen Beschäftigten an.

Handlungsempfehlungen

Der BSI-Lagebericht zeichnet das Bild einer Cybersicherheitslandschaft im kritischen Übergangspunkt. Die klassischen Paradigmen – reaktive Sicherheit, isolierte Systeme, Perimeter-Schutz – sind angesichts der Realität nicht haltbar geworden. Die zentralen Erkenntnisse lauten: Angriffflächenverwaltung ist nicht optional, sondern Kernaufgabe einer modernen IT-Sicherheitsstrategie. Moderne Attacken kombinieren Ransomware, Datenlecks und Ausnutzungs-Angriffe zu hybriden Szenarien. Technische Investitionen müssen durch organisatorische Strukturen, Schulung und Notfallplanung ergänzt werden. Regulatorische Compliance ist nicht ausreichend; BSI-Grundschutz-Anforderungen oder NIS2-Konformität sind Minimalstandards.

Für Regierungen lautet die Botschaft klar: Cybersicherheit ist eine nationale Infrastrukturaufgabe von höchster Priorität. Die Erhöhung der Finanzausstattung des BSI und die Etablierung des Cyberdome-Systems sind richtige Schritte, müssen aber durch kontinuierliche Investitionen, internationale Kooperation und klare regulatorische Anforderungen ergänzt werden. Die Dichotomie zwischen großen, gut ausgestatteten Unternehmen und kleinen KMU muss durch gezielte staatliche Unterstützung adressiert werden.

Quellen & Referenzen

Mit Hilfe von KI zusammengefasst.

Previous

Das NIS-2-Umsetzungsgesetz in Deutschland: Regulatorischer Wendepunkt für Cybersicherheit

 Next

OWASP Top 10:2025 — Zwei neue Kategorien und fundamentale Neupriorisierung von Anwendungssicherheitsrisiken

You might also like...