BKA warnt: Cyberangriffe auf deutsche Firmen erreichen neue Dimension

Das Bundeskriminalamt (BKA) verzeichnete im vergangenen Jahr 1.041 Ransomware-Angriffe – ein deutlicher Anstieg gegenüber den 950 Fällen des Vorjahres. Besonders alarmierend: 90 Prozent aller Attacken treffen kleine und mittelständische Unternehmen (KMU).

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Unternehmen langfristig schützen

Innenminister Alexander Dobrindt kündigte als Reaktion neue Gesetze zur aktiven Cyberabwehr an. Die geplante Regelung soll es Behörden künftig erlauben, die technische Infrastruktur von Angreifern zu stören oder zu zerstören. Deutschland bleibt dem BKA zufolge ein Hauptziel internationaler Cyberkrimineller.

Weniger Opfer zahlen – doch die Summen explodieren

Ein überraschender Trend zeichnet sich ab: Immer weniger Unternehmen erpressen lassen. Nur noch 7 Prozent der Betroffenen kamen den Lösegeldforderungen nach – im Vorjahr waren es noch 9 Prozent. Doch wer zahlt, muss tiefer in die Tasche greifen. Die durchschnittliche Lösegeldzahlung stieg auf umgerechnet rund 456.300 Euro, nach zuvor etwa 276.600 Euro.

Die Gesamtzahl der registrierten Cyberstraftaten erreichte mit knapp 334.000 Fällen einen neuen Höchststand. Experten führen die Entwicklung auch auf den geopolitischen Kontext des Ukraine-Kriegs zurück, der die Zahl der DDoS-Angriffe um 224 Prozent in die Höhe schnellen ließ.

KI macht Angriffe gefährlicher

Künstliche Intelligenz treibt die Professionalisierung der Cyberkriminalität massiv voran. Laut einer Studie von Gigamon sind 82 Prozent aller Sicherheitsvorfälle in Deutschland mittlerweile KI-gestützt. 76 Prozent der Unternehmen erlebten 2025 mindestens einen Vorfall – ein Anstieg um 21 Prozent.

Besonders perfide: 82,6 Prozent aller Phishing-Mails werden heute von KI generiert. Sie sind für Mitarbeiter kaum noch von echten Nachrichten zu unterscheiden. Ein als „OpenClaw" bekanntes KI-Modell identifizierte bei einem Test binnen drei Stunden 23 Sicherheitslücken.

Hinzu kommt eine neue Sorge: die „Harvest Now, Decrypt Later"-Strategie. Angreifer stehlen heute verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln. Rund 80 Prozent der befragten Organisationen fürchten diese Entwicklung.

NIS-2: Harte Strafen für Geschäftsführer

Seit Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz – ohne Übergangsfrist. Betroffen sind alle Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro. Die entscheidende Neuerung: Geschäftsführer haften persönlich für Verstöße.

Die Frist zur Registrierung auf dem BSI-Portal lief für „wesentliche Einrichtungen" bereits am 6. März 2026 ab. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des globalen Jahresumsatzes. Die Meldepflichten sind streng: eine Erstmeldung innerhalb von 24 Stunden, eine Zwischenmeldung nach 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

Die Datenschutzbehörden verschärfen zudem die Kontrollen. Seit Einführung der DSGVO im Mai 2018 verhängten sie Bußgelder von über 7,1 Milliarden Euro – mehr als 60 Prozent davon allein seit Januar 2023. Für 2026 kündigte der Europäische Datenschutzausschuss eine koordinierte Prüfung der Transparenzpflichten an.

Whistleblower-Schutz wird ausgeweitet

Das Europaparlament verabschiedete am 26. März 2026 mit 581 Stimmen eine neue Anti-Korruptionsrichtlinie. Sie verschärft die bereits 2019 eingeführten Whistleblower-Regeln. Alle Firmen mit mehr als 50 Mitarbeitern müssen sichere interne Meldewege für Verstöße gegen Steuerrecht, Datenschutz oder Produktsicherheit einrichten.

Angesichts verschärfter Regeln zum Whistleblower-Schutz müssen Unternehmen interne Meldestellen rechtssicher organisieren. Dieser kostenlose Praxisleitfaden zum Hinweisgeberschutzgesetz hilft HR- und Compliance-Verantwortlichen, Fallstricke und Bußgelder zu vermeiden. Gratis-Download: Praxisleitfaden zum HinSchG sichern

International setzen sich finanzielle Anreize durch. In Großbritannien zahlt die Steuerbehörde HMRC seit November 2025 Prämien von 15 bis 30 Prozent der zurückgeholten Steuern – bei Beträgen über umgerechnet 1,8 Millionen Euro. Usbekistan plant ab August 2026 ein ähnliches System mit 20 Prozent Prämie für Hinweise auf Sicherheitsverstöße.

Milliarden-Schaden für die Wirtschaft

Der Bitkom schätzt den jährlichen Schaden durch Cyberangriffe auf die deutsche Wirtschaft auf 178,6 Milliarden Euro. Die Investitionen in IT-Sicherheit sollen von 11,1 Milliarden Euro (2025) auf 12,2 Milliarden Euro (2026) steigen. Ein alarmierender Befund: Obwohl 61 Prozent der Unternehmen ihre Abwehr für ausreichend halten, spricht die hohe Vorfallsrate eine andere Sprache.

Besonders der Finanzsektor steht unter Druck. Er muss gleich mehrere Regularien gleichzeitig erfüllen – von der EU-Verordnung DORA (seit Januar 2025) bis zu den nationalen BaFin-MaRisk. Da über 50 Prozent der Datenpannen auf Drittanbieter zurückgehen, steigt die Nachfrage nach Screening-Plattformen für Mitarbeiter und externe Partner.

Ausblick: Neue Pflichten ab September

Die nächsten regulatorischen Meilensteine stehen bereits fest. Im September 2026 beginnen die Meldepflichten nach dem Cyber Resilience Act (CRA) für Hersteller. Die neue EU-Geldwäschebehörde AMLA soll bis 2028 voll einsatzfähig sein.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen, bereits jetzt auf Post-Quanten-Kryptografie umzustellen. Ziel ist die vollständige Umstellung bis 2031, um sich gegen zukünftige Entschlüsselungsrisiken zu wappnen.

de | wirtschaft | 69319242 |