Bundeslagebild Cybercrime 2025: Deutschland im Fokus von Cyberkriminellen

Das BMI hat am 12.5.2026 ihrer Pressemitteilung sich zum Bundeslagebild Cybercrime 2025 geäußert.

Hier ist eine detaillierte, vollständige Zusammenfassung des Bundeslagebilds Cybercrime 2025, wie es vom Bundesinnenminister Alexander Dobrindt und dem Bundeskriminalamt (BKA) im Mai 2026 vorgestellt wurde:

Kernbefund: Cyberkriminalität bleibt auf extrem hohem Niveau

Im Jahr 2025 wurden in Deutschland rund 334.000 bis 335.000 Cybercrime-Fälle registriert. Davon stammen etwa 207.888 Fälle (ca. zwei Drittel) aus dem Ausland oder von unbekannten Tatorten – das bedeutet, dass die meisten Angriffe strafrechtlich kaum noch verfolgbar sind. Das BKA betont ein erhebliches Dunkelfeld: Die tatsächliche Zahl der Vorfälle liegt nach Schätzungen um den Faktor 3 bis 5 höher.

Der volkswirtschaftliche Schaden wird auf 202,4 Milliarden Euro geschätzt – das sind 4,5% des deutschen Bruttoinlandsprodukts. Zum Vergleich: Das gesamte deutsche Verteidigungsbudget lag 2025 bei rund 100 Milliarden Euro. Cyberkriminalität verursacht also doppelt so viel Schaden wie die gesamte Bundeswehr kostet.

Wichtige Entwicklungen und Trends

1. Künstliche Intelligenz als Bedrohungs-Beschleuniger

KI-Tools verändern die Bedrohungslage grundlegend:

• 86% aller Phishing-Mails sind 2025 KI-generiert – grammatikalisch fehlerfrei, kontextuell angepasst und deutlich überzeugender
• Kriminelle nutzen KI, um Angriffe effizienter und professioneller durchzuführen
• Voice-Clone-Angriffe gegen Buchhaltungen und gezielte CEO-Fraud-Fälle nehmen zu
• Gleichzeitig bietet KI auch Chancen für die IT-Sicherheit: Schwachstellen können früher identifiziert werden

2. Ransomware: Zentrale und wachsende Bedrohung

• 1.041 Ransomware-Angriffe wurden 2025 angezeigt – ein Anstieg um 10% gegenüber 2024
• Betroffen sind vor allem Unternehmen und öffentliche Einrichtungen
• Die durchschnittlichen Lösegeldzahlungen stiegen an; die Gesamtsumme lag bei rund 15,5 Millionen US-Dollar
• Im gehobenen Mittelstand erreichen Lösegeldforderungen siebenstellige Euro-Beträge (bis zu ca. 500.000 € Durchschnitt)
• Gleichzeitig zahlen immer weniger Betroffene Lösegeld – ein Zeichen erhöhter Resilienz
• Viele Unternehmen zeigen Vorfälle nicht an, aus Reputationsgründen – die tatsächliche Zahl liegt deutlich höher

Ein typischer Vorfall im Mittelstand kostet durchschnittlich ca. 3,8 Millionen Euro (inkl. Produktionsausfall, Forensik, Anwälte, Überstunden).

3. DDoS-Angriffe: Stark steigende Überlastungsattacken

• 36.706 DDoS-Attacken wurden 2025 registriert – ein Anstieg um 25% gegenüber 2024
• Bevorzugte Täter: hacktivistische Akteure mit Bezug zu Russland und Iran
• Betroffene: vor allem Behörden, Verwaltungen, Verkehrs- und Logistikunternehmen
• Zunehmend werden auch mittelständische Lieferanten kritischer Infrastrukturen getroffen

4. Phishing: Beliebtester Eintrittsvektor auf hohem Niveau

• Phishing bleibt aufgrund seiner einfachen, aber effektiven Funktionsweise der beliebteste Einstiegspunkt für Angriffe
• Die Verbraucherschutzzentrale Nordrhein-Westfalen verzeichnete 382.470 Phishing-Mails in Deutschland 2025
• Das ist zwar ein Rückgang um 10% gegenüber 2024, aber die Anzahl bleibt auf sehr hohem Niveau

5. Deutschland gehört zu den Top-3-Angriffszielen weltweit

• Deutschland liegt nach den USA und Kanada unter den Top 3 der bevorzugten Angriffsziele
• Russland steht im Fokus der Behörden: Aktivitäten aus russischen Quellen haben seit Beginn des Ukraine-Kriegs erheblich zugenommen
• Besonders kleine und mittelständische Unternehmen (KMU) sind häufig betroffen

Geopolitische und hybride Bedrohungen

• Es gibt eine zunehmende Ausweitung geopolitischer Konflikte in den digitalen Raum
• Dies führt zu einem Anstieg hybrider Bedrohungen in Deutschland
• Die Grenzen zwischen finanziell und politisch motivierten Cyber-Gruppierungen verschwimmen immer mehr
• Russland-nahe und China-nahe Akteure verzahnen ihre Operationen stärker mit kriminellen Ransomware-Gruppen – das macht Attribution schwieriger und politische Eskalation wahrscheinlicher

Ermittlungserfolge und Herausforderungen der Strafverfolgung

Das BKA verzeichnet Erfolge in der international koordinierten Cyberabwehr:

• Kriminellen Akteuren wurden technische Infrastrukturen und Finanzmittel entzogen
• Es wurde Misstrauen in der Underground Economy geschürt
• Das BKA wird diese Strategie fortsetzen und polizeiliche Aktivitäten weiter ausbauen

Herausforderungen bleiben jedoch:

• Zwei von drei dokumentierten Vorfällen lassen sich strafrechtlich realistisch nicht mehr nachverfolgen
• Es gibt ein deutliches Verfolgungsdefizit aufgrund fehlender Auslieferungsabkommen und unzureichender internationaler Kooperation
• Ohne internationale Kooperation wird es nicht möglich sein, mehr Täter zu fassen – es könnte Länder geben, die nicht mitarbeiten und Tätern weiterhin Schlupflöcher bieten

Maßnahmen und politische Reaktionen

Stärkung der Sicherheitsbehörden

Bundesinnenminister Dobrindt kündigt an:

• Die Fähigkeiten der Behörden zur Verfolgung und Aufklärung von Cyberkriminalität sollen ausgebaut und weiter gestärkt werden
• Ein wichtiger Punkt: Stärkung der Befugnisse des BKA
• Dobrindt plant ein Gesetz im Kabinett, das Sicherheitsbehörden mehr Möglichkeiten geben soll, gegen Täter im Ausland vorzugehen (“aktive Cyberabwehr”)
• Ziel: kriminelle Netzwerke identifizieren, Strukturen analysieren, Verantwortliche erkennen und dagegen vorgehen

Regulatorische Entwicklungen

• NIS-2-Umsetzung greift seit März 2026 mit der BSI-Registrierung
• KRITIS-Dachgesetz tritt in Stufen 2026 in Kraft
• CRA (Cyber Resilience Act) inkrafttreten am 11. September 2026
• EU AI Act im Hintergrund
• Alle Regelwerke definieren Geschäftsführer als persönlich haftbar, wenn dokumentierte Kontrolllücken nicht geschlossen werden
• Geldbußen bei NIS-2 können bis zu 10 Millionen Euro betragen

Schutzmaßnahmen und Handlungsempfehlungen

Konkrete Mindestkontrollen für Unternehmen (von Cyber-Versicherern gefordert):

1. MFA (Multi-Faktor-Authentifizierung) für alle administrativen Zugänge und Remote-Logins
2. Offline- oder Immutable-Backups mit dokumentierter Restore-Prüfung in den letzten 90 Tagen
3. EDR (Endpoint Detection & Response) auf allen Endpoint- und Server-Systemen mit 24/7-SOC-Anbindung
4. Patch-Compliance von mindestens 95% für kritische Schwachstellen innerhalb von 14 Tagen
5. Schriftlich verabschiedeter Incident-Response-Plan inkl. Tabletop-Übung im letzten Jahr

Phishing-resistente Authentifizierung:

• FIDO2-Sicherheitsschlüssel oder Passkeys für alle privilegierten Konten
• Conditional Access mit Device-Compliance für alle Remote-Zugriffe
• Abschaltung von SMS- und Voice-MFA

Ausblick 2026: Qualitative und quantitative Eskalation erwartet

Das BKA prognostiziert für 2026 eine weitere Verschärfung der Lage:

• Skalierung durch KI: Angriffe laufen in Pipelines, die hunderte Zielorganisationen parallel bearbeiten
• Geopolitische Verschiebungen: stärkere Verzahnung von staatlichen und kriminellen Akteuren
• Lieferketten-Angriffe: werden zum bevorzugten Vektor (z. B. über Software wie Sentry, Ollama, MSPs, Backup-Plattformen)
• Regulatorische Welle: NIS-2-Audits, KRITIS-Dachgesetz, CRA und EU AI Act fragen alle: “Wer ist verantwortlich, und kann es belegen?”

Fazit

Das Bundeslagebild Cybercrime 2025 zeigt: Cyberkriminalität ist die größte Herausforderung für die öffentliche Sicherheit in Deutschland. Der Schaden von 202,4 Milliarden Euro verteilt sich auf konkrete Unternehmen, Standorte und Geschäftsführungen. Wer 2026 unterschätzt, wer kein Patch-Programm, kein gehärtetes Backup, keine MFA, keine Segmentierung und keinen Plan für den Ernstfall hat, der spielt nicht mit Restrisiko, sondern mit existenziellem Risiko.

Die Daseco GmbH bietet Beratung zur ISO 27001 auf Basis von BSI IT-Grundschutz an!