Der Bericht zur Lage der IT-Sicherheit 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) sendet ein klares Signal: Die Lage in Deutschland bleibt angespannt. Trotz operativer Erfolge wie der Zerschlagung der LockBit-Ransomware-Gruppe gibt es keinen Grund zur Entwarnung. Das BSI identifiziert als Hauptursache die „unzureichend geschützten Angriffsflächen“.

Explodierende Schwachstellen und steigende Risiken

Die Zahlen sind alarmierend: Im Schnitt werden täglich 119 neue Schwachstellen entdeckt – ein Anstieg von 24 Prozent. Diese reichen von klassischen Softwarefehlern über „Insecure Design“ bis zu kompromittierten IoT-Geräten, die bereits ab Werk Schadsoftware enthalten. Angreifer nutzen diese Schwachstellen für Exploitation-Angriffe, die um 38 Prozent zugenommen haben, und kombinieren Ransomware mit Datenleaks, um Rekord-Lösegelder zu erzwingen.

Die klare Botschaft des BSI: Backups sind zwar wichtig, verhindern aber Datenlecks nicht. Entscheidend bleibt die Absicherung der Angriffsflächen.

KMU als „leichte Beute“

Besonders besorgniserregend ist die Fokussierung der Angreifer auf kleine und mittlere Unternehmen. Rund 80 Prozent der Ransomware-Angriffe treffen KMU, obwohl 91 Prozent dieser Unternehmen ihre IT-Sicherheit als gut einschätzen. Tatsächlich erfüllen sie im Schnitt nur 56 Prozent der Basisanforderungen des CyberRisikoChecks – eine gefährliche Wahrnehmungslücke.

Alexander Ingelheim, CEO und Mitgründer von Proliance, warnt: „Wenn Unternehmen ihre Sicherheit überschätzen, ist das kein Schutz, sondern Blindflug.“ Die bevorstehende NIS2-Regulierung wird daher für viele KMU zur dringend notwendigen Leitplanke, um Risikomanagement auf reale Daten zu stützen.

Der Faktor Mensch als Achillesferse

Auch die Nutzer selbst werden zur Schwachstelle. Zum zweiten Mal in Folge sinken Bekanntheit und Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung oder Passwortmanager. Die Gründe: Die Maßnahmen werden als „zu kompliziert“ wahrgenommen. Diese wachsende „digitale Sorglosigkeit“ öffnet Angreifern Tür und Tor.

Alexander Koch, SVP Sales EMEA von Yubico, kommentiert: „Die Lücke zwischen hoher Phishing-Bedrohung und Nutzerverhalten ist fatal. Die Lösung sind Technologien, die maximal sicher und gleichzeitig intuitiv sind – etwa hardwarebasierte Passkeys.“

Experten fordern neue Resilienzstrategien

Die Stimmen der Sicherheitsbranche machen deutlich, dass reaktive Maßnahmen nicht mehr ausreichen.

• Peter Machat (BlueVoyant) betont die wachsende Komplexität vernetzter IT-, OT- und IoT-Systeme. Für kritische Infrastrukturen ist vollständige Asset-Transparenz und Cyber Exposure Management unerlässlich.
• Eric Litowsky (BlueVoyant) hebt hervor, dass Access Broker und kompromittierte IoT-Geräte die Angriffe bereits vor der Sichtbarkeit im eigenen Netz beginnen lassen.
• Thomas Boele (Check Point) unterstreicht, dass Cybersicherheit ein kontinuierlicher Prozess ist, der Zero Trust und die Intrusion Kill Chain konsequent integriert.
• Max Imbiel (Cloudflare) warnt vor der „neuen Normalität“: Schwachstellen wachsen schneller, als Teams patchen können, während das Risikobewusstsein sinkt.
• Robert Frank (DigiCert) mahnt, dass unzureichende Zertifikats- und Schlüsselverwaltung direkt die Angriffsfläche vergrößert. Automatisierte Vertrauensinfrastrukturen sind hier der Schlüssel.
• Kristian von Mejer (Infinigate) und Patrick Scholl (Infinigate) betonen, dass IoT-Geräte, die ab Werk infiziert sind, eine proaktive Risikosteuerung und Echtzeit-Transparenz über jedes Gerät erfordern.
• Lars Christiansen (JFrog) zeigt die Risiken kompromittierter Lieferketten auf: KI und DevOps verschieben die Sicherheitsverantwortung direkt in die Entwicklung.
• Jiannis Papadakis (Keyfactor) mahnt zur Quanten-Resilienz durch Crypto-Agility.
• Michael Heuer (Keyfactor) verdeutlicht, dass Backups alleine gegen Ransomware und Datenleaks nicht mehr ausreichen; Unternehmen müssen Verantwortung für ihre Cloud-Daten übernehmen.
• Matthias Canisius (Keyfactor) und Thomas Müller-Martin (Omada) fordern Priorisierung und Automatisierung bei Schwachstellen-Management, um die Flut an Sicherheitslücken wirksam zu schließen.
• Frank Strecker (Skaylink) hebt hervor, dass Managed Cloud Services die Grundvoraussetzung für Resilienz geworden sind.
• Sebastian Cler (SpaceNet) betont, dass Vertrauen auf Menschen, Prozesse und Technik gleichermaßen basiert.
• Sergej Epp (Sysdig) und Zac Warren (Sysdig) warnen, dass viele Teams die Kapazitäten für Echtzeit-Cloud-Security nicht haben – Sicherheitslücken bleiben daher oft unbemerkt.
• Sebastian Lacour (Sysdig) sieht langfristige Lösungen in Data Resilience Maturity Modellen und enger Zusammenarbeit zwischen Industrie und Behörden.

Fazit: Sicherheit als strategischer Erfolgsfaktor

Der BSI-Lagebericht 2025 zeigt deutlich: Cyber-Security ist kein Zustand, sondern ein dynamischer Prozess, der Technologie, Organisation und menschliches Verhalten integriert. Unternehmen müssen ihre Angriffsflächen kennen, Schwachstellen priorisieren, IoT- und OT-Netze proaktiv schützen und den Faktor Mensch durch intuitive Lösungen absichern. Wer das heute konsequent umsetzt, gestaltet die digitale Zukunft aktiv – statt sie nur zu verteidigen.

Die Botschaft ist eindeutig: Resilienz, Transparenz und proaktive Cyber-Hygiene sind die zentralen Erfolgsfaktoren für Deutschland 2025.