Lage der IT-Sicherheit in Deutschland 2025 ⏱ 7 Min.

Lage der IT-Sicherheit in Deutschland 2025

Cyber Security

Die Lage der IT-Sicherheit in Deutschland 2025: Deutschland bleibt angreifbar

Die IT-Sicherheitslage in Deutschland bleibt 2025 angespannt. Der neue BSI-Lagebericht zeigt ziemlich deutlich: Es gibt Fortschritte, aber die Angriffsflächen wachsen schneller, als viele Unternehmen, Behörden und Betreiber kritischer Infrastrukturen sie absichern können.

Die wichtigsten Kernaussagen:

  • Deutschland bleibt ein attraktives Ziel für Cyberkriminelle, APT-Gruppen und politisch motivierte Angriffe.
  • Angriffsflächen sind 2025 das zentrale Problem: zu viele erreichbare Systeme, zu viele bekannte Schwachstellen, zu wenig konsequentes Patchmanagement.
  • Ransomware bleibt eine der größten Bedrohungen, besonders für kleine und mittlere Unternehmen.
  • Kritische Infrastrukturen werden widerstandsfähiger, haben aber weiterhin Lücken bei Angriffserkennung und Notfallvorsorge.
  • Cybersicherheit ist kein reines IT-Thema mehr, sondern eine Führungsaufgabe.

Keine Entwarnung trotz sichtbarer Fortschritte

Der BSI-Lagebericht 2025 ist kein apokalyptischer Panikbericht, aber auch ganz sicher keine gute Nachricht. Die Lage bleibt angespannt. Das bedeutet: Deutschland hat bei der Cybersicherheit zwar Fortschritte gemacht, aber diese reichen nicht aus, um mit der Dynamik der Bedrohungslage Schritt zu halten.

Das eigentliche Problem liegt nicht nur bei immer besseren Angreifern. Es liegt auch bei der Verteidigung. Viele Systeme sind weiterhin schlecht konfiguriert, veraltet oder unnötig aus dem Internet erreichbar. Genau diese offenen Flanken machen Angriffe wirtschaftlich attraktiv. Cyberkriminelle müssen nicht den perfekten Zero-Day entwickeln, wenn sie mit bekannten Schwachstellen, schlechten Passwörtern, unzureichender Segmentierung oder fehlender Angriffserkennung zum Ziel kommen.

Für Dich als Administrator ist das die wichtigste Botschaft: Die Basis muss sitzen. Inventarisierung, Patchmanagement, MFA, Backup, Monitoring, Logging, Notfallkonzepte und saubere Berechtigungen sind keine langweiligen Pflichtaufgaben. Sie sind der Unterschied zwischen einem abgewehrten Angriff und mehreren Wochen Stillstand.

Angriffsflächen sind das eigentliche Kernthema

Der Bericht verschiebt den Fokus sehr deutlich auf die Frage: Wie angreifbar sind unsere Systeme eigentlich von außen?

Das BSI betrachtet dabei nicht nur Malware oder einzelne Vorfälle, sondern die strukturelle Verwundbarkeit. Im zweiten Quartal 2025 umfasste die untersuchte Web-Angriffsfläche unter .de-Domains rund 13,2 Millionen aus dem Internet erreichbare Domains. Das ist nicht automatisch unsicher, aber es zeigt die Dimension. Jede erreichbare Webanwendung, jedes vergessene Admin-Panel, jeder alte Reverse Proxy und jeder nicht gepflegte Dienst kann Teil dieser Angriffsfläche werden.

Besonders kritisch wird es, wenn Angreifer über öffentlich verfügbare Metadaten bereits Informationen zu eingesetzter Software, Server-Bannern oder potenziellen Schwachstellen erhalten. Dafür braucht es keinen Geheimdienst. Dienste wie Shodan oder ähnliche Scan-Plattformen liefern Angreifern genug Material, um lohnende Ziele zu identifizieren.

In der Praxis heißt das: Externes Angriffsflächenmanagement gehört in jede IT-Organisation. Nicht einmal jährlich als Audit, sondern kontinuierlich. Du musst wissen, welche Systeme öffentlich erreichbar sind, welche Zertifikate laufen, welche Ports offen sind, welche Altlasten noch online stehen und welche Dienste längst abgeschaltet gehören.

119 neue Schwachstellen pro Tag sind kein Patchmanagement-Thema mehr

Der Lagebericht nennt durchschnittlich 119 neue Schwachstellen pro Tag. Das ist ein Anstieg von rund 24 Prozent gegenüber dem vorherigen Berichtszeitraum. Diese Zahl ist für IT-Abteilungen brutal, weil sie zeigt: Klassisches Patchen nach Bauchgefühl funktioniert nicht mehr.

Niemand kann 119 neue Schwachstellen pro Tag manuell bewerten, einordnen, testen, priorisieren und beheben. Deshalb brauchst Du ein risikobasiertes Schwachstellenmanagement. Entscheidend ist nicht nur, ob ein CVE kritisch klingt. Entscheidend ist, ob die betroffene Komponente bei Dir vorhanden ist, ob sie exponiert ist, ob es Exploit-Code gibt, ob Authentifizierung erforderlich ist und ob das System geschäftskritisch ist.

Für die Praxis bedeutet das:

  • Asset-Inventar vor Patchliste.
  • Kritische Internet-exponierte Systeme vor internen Low-Risk-Systemen.
  • Exploitability vor CVSS-Blindflug.
  • Automatisierte Scans vor Excel-Listen.
  • Verbindliche Patchfenster vor Best-Effort-Betrieb.

Gerade in hybriden Microsoft-Umgebungen wird das schnell relevant. Exchange, VPN-Gateways, Firewalls, Remote-Zugänge, Webserver, MDM-Systeme und Identitätsdienste gehören zu den Komponenten, die Angreifer bevorzugt anfassen. Wer hier langsam ist, bietet eine Einladung.

Ransomware bleibt Alltag, nicht Ausnahme

Die Zahl der angezeigten Ransomware-Angriffe blieb laut Lagebericht mit 950 Fällen weitgehend stabil. Stabil klingt erst einmal beruhigend, ist es aber nicht. Denn Ransomware ist längst professionalisiert. Viele Angriffe werden nicht mehr von einzelnen Gruppen vollständig selbst durchgeführt, sondern über arbeitsteilige Ökosysteme: Initial Access Broker, Malware-Entwickler, Affiliate-Gruppen, Datenhändler und Erpresserplattformen.

Das verändert die Verteidigung. Es reicht nicht mehr, nur auf Verschlüsselung zu reagieren. Der eigentliche Angriff beginnt viel früher: kompromittierte Zugangsdaten, VPN-Zugänge, Phishing, ungepatchte Systeme, schwache Admin-Konten, fehlende Segmentierung oder laterale Bewegung über schlecht geschützte interne Dienste.

Besonders gefährlich bleibt Double Extortion. Angreifer verschlüsseln nicht nur Systeme, sondern exfiltrieren vorher Daten und erhöhen damit den Druck auf das Opfer. Backups helfen gegen Verschlüsselung, aber nicht gegen Datenabfluss. Deshalb muss Ransomware-Abwehr immer aus mehreren Schichten bestehen: Prävention, Erkennung, Eindämmung, Wiederherstellung und Kommunikation.

Ein Backup, das nie getestet wurde, ist im Ernstfall nur Hoffnung mit Dateiendung.

KMU sind nicht „zu klein“, sondern oft zu leicht

Kleine und mittlere Unternehmen bleiben besonders gefährdet. Nicht, weil sie für Angreifer immer besonders spannend sind, sondern weil Aufwand und Nutzen oft passen. Viele KMU haben wertvolle Daten, produktionskritische Systeme, Zahlungsfähigkeit und gleichzeitig wenig dedizierte Security-Ressourcen.

Die gefährlichste Schwachstelle ist hier oft die Selbsteinschätzung. Viele Unternehmen halten ihre IT-Sicherheit für solide, erfüllen aber nur einen Teil grundlegender Anforderungen. Genau diese Lücke zwischen gefühlter Sicherheit und tatsächlicher Resilienz macht Angriffe so erfolgreich.

Für KMU braucht es keine überladene Enterprise-Security-Architektur als ersten Schritt. Es braucht belastbare Grundlagen:

  • MFA für alle extern erreichbaren Dienste.
  • Getrennte Admin-Konten.
  • Saubere Backup-Strategie mit Offline- oder Immutable-Komponente.
  • Patchmanagement für Betriebssysteme, Browser, VPN, Firewalls und Serverdienste.
  • EDR oder zumindest zentral verwalteter Endpoint-Schutz.
  • Notfallplan mit klaren Zuständigkeiten.
  • Regelmäßige Wiederherstellungstests.
  • Sensibilisierung gegen Phishing, Vishing und Quishing.

Gerade Quishing, also Phishing über manipulierte QR-Codes, und Vishing, also telefonisches Social Engineering, zeigen: Angriffe umgehen nicht selten technische Schutzmaßnahmen, indem sie direkt den Menschen adressieren.

Kritische Infrastrukturen werden besser, aber nicht schnell genug

Bei kritischen Infrastrukturen sieht der Bericht Fortschritte. Das ist wichtig, denn KRITIS-Betreiber stehen unter besonderem Druck. Energie, Gesundheit, Wasser, Transport, Telekommunikation und andere essenzielle Bereiche dürfen nicht tagelang ausfallen, nur weil eine Sicherheitslücke nicht geschlossen oder ein Angriff zu spät erkannt wurde.

Trotzdem bleibt deutlicher Nachholbedarf. Besonders bei Systemen zur Angriffserkennung nennt der Lagebericht weiterhin Lücken. Genau hier liegt ein praktisches Problem: Viele Organisationen haben zwar Sicherheitskonzepte, Richtlinien und einzelne technische Maßnahmen, aber kein vollständiges Lagebild. Ohne Logs, Korrelation, Alarmierung und Verantwortlichkeiten bleibt ein Angriff oft unsichtbar, bis der Schaden bereits eingetreten ist.

Für KRITIS und größere Unternehmen heißt das: Ein ISMS ist wichtig, aber es darf kein Aktenordner-Sicherheitsgefühl erzeugen. Entscheidend ist operative Wirksamkeit. Werden Angriffe erkannt? Werden Alarme bewertet? Gibt es Bereitschaften? Sind Runbooks vorhanden? Wurden Notfallszenarien geübt? Gibt es eine saubere Trennung zwischen Office-IT, Server-Netzen, OT und Backup-Infrastruktur?

Botnetze, IoT und die unsichtbare Masse unsicherer Geräte

Ein weiterer Punkt aus dem Lagebericht betrifft Botnetze wie BadBox und Vo1d. Besonders kritisch ist dabei, dass Geräte teilweise bereits in der Produktionsphase kompromittiert waren. Das ist ein anderes Risikoniveau als klassische Malware auf einem Client. Wenn Geräte schon mit vorinstallierter Schadsoftware ausgeliefert werden, geraten klassische Schutzmodelle an Grenzen.

IoT, günstige Android-TV-Boxen, schlecht gepflegte Netzwerkgeräte, Kameras, Sensorik und eingebettete Systeme sind aus Unternehmenssicht oft schwer zu kontrollieren. Sie hängen irgendwo im Netz, bekommen selten Updates, sprechen nach außen und tauchen in klassischen Asset-Inventaren nicht sauber auf.

Hier hilft nur Disziplin: Segmentierung, DNS- und Firewall-Kontrolle, NAC, Inventarisierung und klare Beschaffungsstandards. Alles, was ins Netzwerk kommt, muss bekannt, begründet und kontrollierbar sein.

Was Du daraus für Deine IT ableiten solltest

Der BSI-Lagebericht 2025 bestätigt im Grunde das, was viele Administratoren täglich sehen: Die Sicherheitslage scheitert selten an fehlendem Wissen. Sie scheitert an Priorisierung, Ressourcen, Altlasten und fehlender Konsequenz.

Die wichtigste Maßnahme ist deshalb nicht das nächste Tool, sondern Transparenz. Du brauchst ein aktuelles Bild Deiner Umgebung:

  • Welche Systeme sind extern erreichbar?
  • Welche Benutzer haben privilegierte Rechte?
  • Welche Systeme sind nicht gepatcht?
  • Welche Dienste sind geschäftskritisch?
  • Welche Backups sind wirklich wiederherstellbar?
  • Welche Logs werden ausgewertet?
  • Welche Angriffe würdest Du heute überhaupt bemerken?

Erst danach kommt Tooling. Ohne saubere Prozesse wird aus jedem Security-Tool nur ein weiteres Dashboard, das niemand konsequent auswertet.

Fazit: Cybersicherheit wird zur Betriebsfähigkeit

Die Lage der IT-Sicherheit in Deutschland 2025 zeigt sehr klar: Cyberangriffe sind kein Sonderfall mehr. Sie sind Teil des normalen Betriebsrisikos. Wer IT betreibt, betreibt Angriffsfläche. Wer diese Angriffsfläche nicht kennt, kann sie nicht schützen.

Für Administratoren bedeutet das mehr Verantwortung, aber auch eine klare Richtung. Es geht nicht darum, jede Bedrohung perfekt zu verhindern. Es geht darum, Angriffe zu erschweren, früh zu erkennen, Schaden zu begrenzen und den Betrieb wiederherstellen zu können.

Deutschland ist digital verwundbar, aber nicht wehrlos. Die Grundlagen sind bekannt. Jetzt geht es darum, sie konsequent umzusetzen.


Aktualisiert:
Teilen:
Andreas Hepp

Andreas Hepp

Mit über 20 Jahren Erfahrung in der IT verbinde ich technisches Know-how mit strategischem Weitblick.

Unterstützung für dein Business gesucht? Melde dich bei mir.

Dienstleistungen ansehen
0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.