von Anthony Heine
14. März 2026

BSI-Lagebericht zur IT-Sicherheit 2025

Der BSI-Lagebericht zur IT-Sicherheit 2025 zeichnet ein klares Bild. Die Bedrohungslage für Unternehmen in Deutschland bleibt angespannt – trotz einzelner…

Inhaltsverzeichnis

Die Lage der IT-Sicherheit 2025: Warum Unternehmen ihre Angriffsflächen jetzt konsequent reduzieren müssen

Einordnung: Cybersicherheit bleibt unter Druck 

Der BSI-Lagebericht zur IT-Sicherheit 2025 zeichnet ein klares Bild: 

Die Bedrohungslage für Unternehmen in Deutschland bleibt angespannt – trotz einzelner Erfolge der internationalen Strafverfolgung gegen große Cybercrime-Gruppen. 

Der Bericht betrachtet den Zeitraum 1. Juli 2024 bis 30. Juni 2025 und analysiert Bedrohungen, Angriffsvektoren und die digitale Resilienz von Organisationen. Eine zentrale Erkenntnis: Die technischen Möglichkeiten, Angriffe zu automatisieren und zu skalieren, entwickeln sich schneller als die Schutzmaßnahmen vieler Unternehmen. 

Besonders kritisch ist dabei die Entwicklung der digitalen Angriffsflächen. Je mehr Systeme, Cloud-Dienste, Identitäten und Schnittstellen öffentlich erreichbar sind, desto größer wird das Risiko erfolgreicher Angriffe. 

Die wichtigsten Erkenntnisse des BSI-Lageberichts 2025

  1. Cybercrime passt sich schnell an

Internationale Ermittlungen haben große Gruppen wie LockBit oder Alphv erheblich geschwächt. Dennoch zeigt sich ein bekanntes Muster: 

Neue Akteure und Ransomware-as-a-Service-Modelle schließen die entstehenden Lücken innerhalb kurzer Zeit. Cybercrime entwickelt sich zunehmend zu einem arbeitsteiligen Ökosystem mit spezialisierten Rollen – von Initial Access Brokern bis zu Datenexfiltration. 

  1. Schwachstellen entstehen schneller als Unternehmen patchen können

Die Zahl veröffentlichter Sicherheitslücken wächst weiter. Im Durchschnitt werden mittlerweile über 100 neue CVE-Schwachstellen pro Tag veröffentlicht. 

Gleichzeitig wächst die öffentlich erreichbare Infrastruktur kontinuierlich. Allein in Deutschland existieren über 13 Millionen .de-Domains, von denen ein erheblicher Teil schlecht abgesichert ist. 

Das führt zu einem strukturellen Problem: 

Angreifer finden häufig schneller verwundbare Systeme, als Unternehmen sie schließen können. 

  1. Kleine und mittlere Unternehmen bleiben Hauptziel

Rund 80 % der gemeldeten Angriffe richten sich gegen kleine und mittlere Unternehmen. 

Die Gründe sind bekannt: 

  • begrenzte Sicherheitsressourcen 
  • fehlende spezialisierte IT-Security-Teams 
  • unklare Verantwortlichkeiten 
  • zunehmende Komplexität moderner IT-Umgebungen 

Gerade in hybriden Infrastrukturen aus Cloud, SaaS und lokalen Systemen entstehen schnell unübersichtliche Sicherheitsstrukturen. 

  1. Schadwirkungen nehmen weiter zu

Neben der Anzahl der Angriffe steigt auch deren wirtschaftliche Wirkung. 

Der Bericht zeigt: 

  • steigende Lösegeldforderungen bei Ransomware 
  • zunehmende Datenexfiltration vor Verschlüsselung 
  • wachsende Anzahl veröffentlichter Datensätze aus Datenleaks 

Viele dieser Datensätze enthalten Kombinationen aus: 

  • Geburtsdaten 
  • Adressen 
  • E-Mail-Adressen 

Solche Daten bilden eine ideale Grundlage für Identitätsmissbrauch, Social Engineering und gezielte Phishing-Kampagnen. 

  1. IoT-Botnetze werden zum strukturellen Risiko

Ein weiterer Trend betrifft IoT- und OT-Infrastrukturen. Botnetze wie BadBox oder Vo1d zeigen, dass Geräte teilweise bereits in der Lieferkette kompromittiert werden, bevor sie überhaupt im Unternehmen eingesetzt werden. 

Unternehmen integrieren dadurch mitunter unbemerkt bereits infizierte Systeme in ihre Netzwerke. 

Warum wachsende Angriffsflächen zum Hauptproblem werden

Der BSI-Bericht macht deutlich: 

Nicht nur einzelne Sicherheitslücken sind problematisch – sondern vor allem die zunehmende Größe digitaler Angriffsflächen. 

In modernen IT-Umgebungen entstehen neue Exponierungen vor allem durch: 

  • Public-Cloud-Infrastrukturen 
  • APIs und Integrationen zwischen Anwendungen 
  • mobile und hybride Arbeitsmodelle 
  • SaaS-Dienste und Drittanbieterplattformen 
  • IoT- und IIoT-Geräte 
  • unkontrollierte Schatten-IT 

Viele dieser Systeme entstehen außerhalb der klassischen IT-Abteilung, etwa durch Fachbereiche oder externe Dienstleister. 

Dadurch wächst die Angriffsfläche häufig schneller, als Sicherheitsrichtlinien angepasst werden können. 

Eine weitere Entwicklung: 

Neben Servern werden zunehmend auch Identitäten zum Angriffsziel. Kompromittierte Benutzerkonten ermöglichen Angreifern direkten Zugriff auf Cloud-Dienste und Unternehmensdaten.

Welche Auswirkungen Unternehmen konkret spüren

Die Folgen dieser Entwicklung zeigen sich in mehreren Bereichen. 

Datenleaks und Identitätsangriffe 

Große Datensammlungen aus Leaks werden zunehmend automatisiert ausgewertet. 

Angreifer kombinieren personenbezogene Daten mit kompromittierten Zugangsdaten und nutzen sie für gezielte Angriffe. 

 Ransomware bleibt ein zentrales Geschäftsmodell 

Obwohl einige Opfer keine Lösegeldzahlungen mehr leisten, steigen die Forderungen weiter an. 

Der Grund: 

Viele Angreifer setzen inzwischen auf Double- oder Triple-Extortion-Strategien, bei denen Daten vor der Verschlüsselung exfiltriert und später veröffentlicht werden. 

IoT-Infrastrukturen als Einstiegspunkt 

Unsichere Geräte in Produktions- oder Gebäudetechnik werden zunehmend als Einstiegspunkt genutzt. 

Gerade in Industrie- und Logistikumgebungen können kompromittierte Geräte erhebliche Auswirkungen auf Betriebsabläufe haben. 

Was Unternehmen jetzt konkret tun sollten

Der BSI-Bericht zeigt deutlich: 

Ein wirksamer Schutz beginnt mit der Kontrolle der eigenen Angriffsflächen. 

Aus unserer Erfahrung in Cloud- und Modern-Workplace-Umgebungen haben sich besonders folgende Maßnahmen bewährt. 

  1. Transparenz über die eigene Angriffsfläche schaffen

Unternehmen benötigen zunächst einen vollständigen Überblick über öffentlich erreichbare Systeme. 

Dazu gehören beispielsweise: 

  • Public-Cloud-Scans 
  • Sicherheitsanalysen von Microsoft-365- und Azure-Umgebungen 
  • Shadow-IT-Erkennung 
  • Abgleich kompromittierter Zugangsdaten im Darknet 

Ohne diese Transparenz lassen sich Risiken nur schwer priorisieren. 

  1. Patch- und Schwachstellenmanagement stärken

Besondere Aufmerksamkeit sollten Systeme erhalten, die direkt aus dem Internet erreichbar sind: 

  • Webserver und Webanwendungen 
  • VPN- und Remote-Zugänge 
  • Identitätsdienste 
  • mobile Endgeräte 
  • IoT- und OT-Komponenten 

Regelmäßige Schwachstellenanalysen und automatisierte Updates reduzieren hier das Risiko erheblich. 

  1. Identity-basierte Sicherheitsmodelle etablieren

Viele Angriffe zielen heute auf Benutzerkonten statt auf Infrastruktur. 

Wichtige Maßnahmen sind daher: 

  • konsequente Multi-Factor-Authentication 
  • Least-Privilege-Prinzip 
  • Conditional Access Richtlinien 
  • Überwachung verdächtiger Login-Aktivitäten 

Diese Prinzipien sind zentrale Bestandteile moderner Zero-Trust-Architekturen. 

  1. Cloud-Sicherheitsstrukturen systematisch aufbauen

In Cloud-Umgebungen entstehen Sicherheitsrisiken häufig durch Fehlkonfigurationen. 

Bewährt haben sich deshalb: 

  • strukturierte Azure Landing Zones 
  • Security Baselines 
  • automatisierte Compliance-Kontrollen 
  • kontinuierliches Cloud-Security-Monitoring 
  1. IoT- und OT-Netze segmentieren

Produktionssysteme und IoT-Geräte sollten möglichst isoliert betrieben werden. 

Typische Maßnahmen sind: 

  • Netzwerksegmentierung 
  • Firmware-Management 
  • Monitoring ungewöhnlicher Kommunikationsmuster 
  1. Mitarbeitende einbeziehen

Technische Schutzmaßnahmen allein reichen nicht aus. 

Viele Angriffe beginnen weiterhin mit Phishing oder Social Engineering. 

Regelmäßige Awareness-Trainings und klare Sicherheitsrichtlinien bleiben daher ein wichtiger Bestandteil der IT-Security-Strategie. 

Fazit: Angriffsflächen werden zum entscheidenden Sicherheitsfaktor

Der BSI-Lagebericht 2025 zeigt deutlich: 

Die digitale Angriffsfläche vieler Unternehmen wächst schneller, als Sicherheitsmaßnahmen nachgezogen werden. 

Damit wird das Management dieser Angriffsflächen zu einem zentralen Erfolgsfaktor moderner IT-Security. 

Organisationen, die ihre öffentlich erreichbaren Systeme, Identitäten und Cloud-Strukturen konsequent kontrollieren, können Risiken messbar reduzieren – und ihre digitale Resilienz nachhaltig stärken. 

Gerade in hybriden IT-Umgebungen aus Cloud, Modern Workplace und lokalen Systemen wird dieser Überblick zunehmend zur Voraussetzung für eine wirksame Sicherheitsstrategie. 

Centercon Security Check

Wie groß ist die tatsächliche Angriffsfläche Ihrer IT-Umgebung? 

Mit dem Centercon Security Check analysieren wir Ihre Web-, Cloud- und Identitätsumgebung strukturiert und transparent. 

Modern Workplace Security – Sicherheit mit Microsoft 365

  • Zero-Trust-Architekturen 
  • Identity Protection 
  • Secure-Score-Optimierung 
  • Microsoft-365-Hardening 

Azure Security & Cloud Governance

Sichere und nachhaltige Cloud-Strukturen durch: 

    • Azure Landing Zones 
    • Compliance & Governance 
    • Cloud Security Monitoring 

Vereinbaren Sie noch heute ein kostenfreies Erstgespräch!

Jetzt kostenloses Erstgespräch vereinbaren!
Teilen:
LinkedIn
XING
Email
Print

Weitere Artikel

Microsoft BitLocker – Solider Schutz mit Schwächen im Detail

20. Februar 2025
Festplattenverschlüsselung ist heute ein unverzichtbarer Bestandteil jeder IT-Sicherheitsstrategie – insbesondere in Unternehmen, die sensible Daten verarbeiten…
Weiterlesen

Achtung – Ivanti DSM – End of Life!

25. Februar 2024
Was bedeutet dies für Sie? Nach diesem Datum werden keine weiteren Updates oder neuen Features für DSM bereitgestellt, und der direkte Support für das Produkt wird beendet.
Weiterlesen
Letzte Beiträge

Tritt unserem Team bei

Lust auf neue Herausforderungen?
Mehr erfahren
Wir stellen ein
BELIEBTE ARTIKEL