335.000 Cyberfälle in 2025: BKA warnt, was Unternehmen jetzt tun müssen

Gebäude des Bundeskriminalamts in Wiesbaden, Zentrale der deutschen Cybercrime-Ermittlungen

Photo : Uli Herrmann / Wikimedia

Jens Jens FischerInformationstechnologie
4 Min. Lesezeit 30. Mai 2026

Am 12. Mai 2026 veröffentlichte das Bundeskriminalamt (BKA) das Bundeslagebild Cybercrime 2025. Die Zahlen sind eindeutig: 335.000 Fälle von Cyberkriminalität im engeren Sinne wurden in Deutschland registriert. Der wirtschaftliche Schaden beläuft sich laut BKA auf 202,4 Milliarden Euro — rund 4,5 Prozent des Bruttoinlandsprodukts. Was Unternehmen jetzt tun müssen, erklärt dieser Artikel.

Deutschland im Visier: die Zahlen des BKA-Lagebilds 2025

Die Zahlen sprechen eine klare Sprache: 335.000 Cybercrime-Fälle, 202,4 Milliarden Euro Schaden, und mehr als zwei Drittel aller Angriffe kamen aus dem Ausland oder von unbekannten Standorten. Das BKA-Bundeslagebild Cybercrime 2025 ist damit das bislang umfassendste Lagebild zur Bedrohungslage für die deutsche Wirtschaft.

Der Anstieg gegenüber dem Vorjahr ist deutlich spürbar. Besonders betroffen sind laut BKA mittelständische Unternehmen, die zunehmend in den Fokus krimineller Gruppen geraten. Grund: Sie verfügen häufig über sensible Kundendaten und Geschäftsgeheimnisse, aber investieren deutlich weniger in IT-Sicherheit als Großkonzerne.

Für Unternehmer, IT-Verantwortliche und Selbstständige ist das eine unmissverständliche Warnung: Die Frage ist nicht ob, sondern wann ein Angriff versucht wird.

Ransomware, Phishing, DDoS: die drei Hauptbedrohungen

Das Lagebild identifiziert drei Angriffsvektoren, die 2025 besonders stark zugenommen haben.

Ransomware verzeichnete 2025 in Deutschland 1.041 offiziell angezeigte Angriffe, ein Anstieg von zehn Prozent gegenüber dem Vorjahr. Bei diesen Angriffen werden Unternehmensdaten verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigegeben. Die dokumentierten Lösegeldzahlungen lagen insgesamt bei rund 15,5 Millionen US-Dollar, wobei die Dunkelziffer deutlich höher liegen dürfte.

Phishing bleibt der häufigste Einstiegskanal für Cyberkriminelle. Die Verbraucherschutzzentrale Nordrhein-Westfalen meldete 2025 allein in NRW über 382.000 Phishing-Mails. Gefälschte E-Mails im Namen von Banken, Behörden und bekannten Unternehmen täuschen dabei immer überzeugender echte Kommunikation vor.

DDoS-Angriffe, bei denen Websites und Server durch massenhaften Datenverkehr lahmgelegt werden, stiegen um 25 Prozent auf 36.706 gemeldete Fälle. Betroffen sind vor allem Onlinehändler, Finanzdienstleister und Betreiber kritischer Infrastrukturen.

Warum KI die Bedrohungslage dramatisch verschärft

Das BKA benennt im Lagebild 2025 einen beunruhigenden Trend: Künstliche Intelligenz wird systematisch zur Unterstützung von Cyberangriffen genutzt. Aktuelle Branchenschätzungen zeigen, dass inzwischen 86 Prozent aller Phishing-Kampagnen KI-Technologie einsetzen, um E-Mails automatisch zu personalisieren und überzeugender zu gestalten.

Das hat konkrete Konsequenzen für Mitarbeitende: Phishing-E-Mails klingen heute nicht mehr nach schlecht formulierten Betrugsversuchen. Sie enthalten echte Namen, aktuelle Anlässe und wirken wie seriöse Geschäftskommunikation. Ohne gezieltes IT-Sicherheitstraining ist die Erkennung für normale Angestellte kaum mehr möglich.

Zusätzlich verlagern kriminelle Gruppen ihre Serverstrukturen in Länder mit geringer Strafverfolgungsdichte. Mehr als 62 Prozent der Angriffe kamen laut BKA aus Staaten, mit denen Deutschland keine oder kaum funktionierenden Rechtshilfeabkommen hat. Die Strafverfolgung bleibt damit strukturell erschwert.

Was IT-Sicherheitsexperten deutschen Unternehmen jetzt raten

Das Bundesinnenministerium empfiehlt anlässlich des Lagebilds konkrete Schutzmaßnahmen für Unternehmen. IT-Sicherheitsberater verdichten diese Empfehlungen auf vier Sofortmaßnahmen:

Software und Systeme konsequent aktualisieren. Die meisten Ransomware-Angriffe nutzen bekannte Sicherheitslücken, für die es längst offizielle Patches gibt. Wer Updates systematisch einspielt, schließt die häufigsten Einfallstore.

Backups nach der 3-2-1-Regel einrichten. Drei Datenkopien, auf zwei verschiedenen Medien, davon eine offline oder in einer Umgebung ohne Internetzugang. Wer diesen Standard befolgt, kann auch nach einem Ransomware-Angriff ohne Lösegeldzahlung wiederherstellen.

Mitarbeiterschulungen regelmäßig durchführen. Studien zeigen, dass gezielte Phishing-Simulationen und Trainings die Klickrate auf gefälschte E-Mails um bis zu 70 Prozent senken. Der Mensch bleibt das größte Einfallstor.

Incident-Response-Plan erstellen. Kein Unternehmen sollte erst im Ernstfall klären, wer was tut. Wer hat Entscheidungsbefugnis? Welche Systeme werden sofort getrennt? Welche Behörden müssen informiert werden?

Für Unternehmen ohne eigene IT-Abteilung ist externe Beratung keine Option, sondern eine Notwendigkeit. Ein qualifizierter IT-Sicherheitsberater analysiert bestehende Schwachstellen, empfiehlt passende Schutzlösungen und begleitet die Umsetzung systematisch. Ähnliche Muster haben bereits andere Angriffe auf Unternehmensinfrastrukturen offengelegt, wie der Bericht über die Enttarnung der REvil-Ransomware-Gruppe zeigt.

Rechtliche Pflichten: Was Unternehmen nach NIS2 und DSGVO beachten müssen

Neben der technischen Absicherung wächst auch der regulatorische Druck. Seit Januar 2025 gilt in Deutschland die NIS2-Richtlinie der EU, die für Unternehmen in kritischen Sektoren verbindliche Mindestanforderungen an die Cybersicherheit festschreibt. Betroffen sind unter anderem Energieversorger, Gesundheitseinrichtungen, digitale Infrastruktur und viele mittelständische Betriebe aus dem produzierenden Gewerbe.

Wer unter NIS2 fällt, muss Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde melden. Folgepflichten sehen weitere Berichte innerhalb von 72 Stunden vor. Unternehmen, die diese Meldepflichten missachten, riskieren empfindliche Bußgelder.

Parallel dazu besteht nach Artikel 33 der DSGVO bei Datenpannen, die aus einem Cyberangriff resultieren, eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden. Betroffen sind alle personenbezogenen Daten von Kunden, Mitarbeitenden und Geschäftspartnern.

Ein IT-Sicherheitsberater kann nicht nur beim technischen Schutz helfen, sondern auch bei der Erstellung von rechtskonformen Meldeprozessen und Notfallplänen. Gerade für den Mittelstand, der die Komplexität von NIS2 und DSGVO alleine kaum bewältigen kann, lohnt sich externe Unterstützung mehrfach.

Was tun, wenn es zu spät ist?

Trotz aller Prävention kann ein erfolgreicher Angriff passieren. Das BKA und das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen bei einem Vorfall:

  • Betroffene Systeme sofort vom Netzwerk trennen, um eine Ausbreitung zu verhindern.
  • Den Angriff bei der Polizei und beim BSI melden, da Meldepflichten je nach Unternehmensart gelten können.
  • Keine Lösegeldzahlungen ohne vorherige Absprache mit Strafverfolgungsbehörden leisten.
  • IT-Forensiker hinzuziehen, um die Eintrittswege des Angriffs zu rekonstruieren.

Die Zentralen Ansprechstellen Cybercrime (ZAC) der Landespolizeibehörden stehen Unternehmen als erste Anlaufstelle zur Verfügung. Für die individuelle Absicherung Ihrer Infrastruktur und die schnelle Reaktion im Ernstfall empfiehlt sich zusätzlich die Beratung durch einen spezialisierten IT-Sicherheitsexperten.

Hinweis: Dieser Artikel stellt keine individuelle Unternehmensberatung dar. Bei konkreten Sicherheitsvorfällen wenden Sie sich an die zuständigen Behörden und qualifizierte IT-Experten.

Unsere Experten

Vorteile

Schnelle und präzise Antworten auf alle Ihre Fragen und Hilfsanfragen in über 200 Kategorien.

Tausende von Nutzern haben eine Zufriedenheit von 4,9 von 5 für die Beratung und Empfehlungen unserer Assistenten erhalten.

Expert Zoom

Wie funktioniert es?Wer sind unsere Experten?ZeitschriftNachrichten

Business

Praktische Tools

Kontaktieren Sie uns

E-Mail
Folgen Sie uns
DatenschutzbestimmungenNutzungsbedingungen