Security-Bedrohungen bleiben auf hohem Niveau

Das BSI warnt vor einer weiterhin angespannten IT-Sicherheitslage. Besonders betroffen sind kleine und mittelständische Firmen. 

Einmal im Jahr legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Bericht zur IT-Sicherheit in Deutschland vor. Das Fazit für den Zeitraum vom 1. Juli 2024 bis 30. Juni 2025: Trotz Fortschritten in einigen Bereichen wie KRITIS bleibt die Lage angespannt. In vielen Fällen reichen die getroffenen Maßnahmen nicht aus, um Security-Attacken abzuwehren oder zu verhindern. 

Durchschnittlich 119 neue Schwachstellen pro Tag wurden im Berichtszeitraum bekannt, ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Zugleich verzeichneten Sicherheitsbehörden eine Zunahme staatlich gelenkter Cyberangriffe. „Wir müssen davon ausgehen, dass dort vieles mindestens toleriert wird, teilweise tatsächlich auch vom Staat gewollt oder sogar gesteuert wird“, kommentiert BSI-Präsidentin Claudia Plattner die Bedrohungen im Kontext geopolitischer Spannungen. 

Besonders betroffen sind dem Bericht zufolge kleine und mittelgroße Unternehmen (KMU) in Deutschland. Etwa 80 Prozent der registrierten Angriffe richteten sich gegen diese Gruppe. Häufig fehlt es an Personal, Know-how und Ressourcen, um grundlegende Security-Maßnahmen umzusetzen. Laut dem BSI gilt das auch für Organisationen der öffentlichen Verwaltung sowie für politiknahe Institutionen, darunter Vereine, Verbände und Parteien. „Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen“, warnt Plattner. „Nur wer sich schützt, kann Schaden vermeiden.“ 

Ähnlich argumentiert Ralf Schneider, Präsidiumsmitglied von VOICE, dem Bundesverband der IT-Anwender: „Mit KI schrumpft die Zeitspanne von Zero-Day-Exploits als Einfallstor hin zum erfolgreichen Angriff dramatisch. Viele kleine und mittelständische Unternehmen können sich allein kaum schützen.“ Als Teil der Lieferketten gefährdeten sie damit auch große Unternehmen. Der ehemalige Group CIO der Allianz mahnt deshalb: „Angriffsflächen müssen konsequenter gesichert werden, etwa durch restriktives Zugangsmanagement.“ Im digitalen Dschungel gelte: „Entweder sind wir schnell, oder wir werden gefressen.“ 

Die Zahl der tatsächlich bekannt gewordenen Angriffe, Vorfälle und Störungen ist laut dem BSI jedenfalls nicht zurückgegangen. So haben etwa Daten-Leaks, Diebstähle von Zugangsdaten und das Ausmaß der Schäden im Berichtszeitraum zugenommen. Vor diesem Hintergrund sieht auch der Branchenverband Bitkom erheblichen Handlungsdruck. Deutschland sei „eines der Top-Ziele von Cyberkriminellen“, kommentiert Bitkom-Präsident Ralf Wintergerst. „Durch Cyberangriffe ist der deutschen Wirtschaft zuletzt ein Rekordschaden von 202 Milliarden Euro entstanden.“ 

Obwohl die Sensibilisierung vielerorts zugenommen habe, tun deutsche Unternehmen laut einer aktuellen Bitkom-Umfrage immer noch zu wenig in Sachen Cyber Security. So schulten zwar 79 Prozent der Betriebe ihre Mitarbeitenden, doch nur 24 Prozent böten Schulungen für alle Beschäftigten an. 20 Prozent verzichteten sogar vollständig darauf. Zudem verfüge nur jedes dritte Unternehmen über ein funktionierendes Notfallmanagement für Cybervorfälle. Wintergerst fordert deshalb ein Umdenken: „Unternehmen müssen ihre Angriffsflächen weiter vermindern, den technischen Schutz hochfahren und sich zugleich auf den Fall einer erfolgreichen Cyberattacke vorbereiten.“ 

BSI-Präsidentin Plattner stößt ins gleiche Horn. Für 2026 mahnt sie vor allem ein konsequentes Angriffsflächen-Management an. Dazu gehörten restriktive Zugangskonzepte, zeitnahe Updates und weniger öffentlich erreichbare Systeme. Plattner: „Wenn wir es nicht kurzfristig schaffen, uns und unsere Angriffsflächen gegen das gesamte Bedrohungsspektrum zu verteidigen, werden wir verwundbar bleiben. Und früher oder später auch verwundet werden.“ 

Unterm Strich zeigen die Einschätzungen von BSI, VOICE und Bitkom einmal mehr, dass Cyber Security mehr ist als ein IT-Thema. Die Resilienz der ganzen Organisation zu stärken, hat sich zu einer Führungsaufgabe entwickelt, bei der es auch darum geht, Digital- und Sicherheitsstrategien enger zu verzahnen. CIOs, IT-LeiterInnen und Security-Verantwortliche müssen dabei ebenso ins Boot wie Fachabteilungen und das Topmanagement.