Am 12. Mai 2026 hat das Bundeskriminalamt das Bundeslagebild Cybercrime 2025 veroeffentlicht. Wer die jaehrlichen Berichte aus Wiesbaden seit Jahren liest, erwartet inzwischen einen klaren Tonfall: nuechtern, statistisch, mit einer Tendenz zur Untertreibung. Diesmal ist der Bericht trotzdem aus dem Rahmen gefallen. Nicht, weil die Zahlen unerwartet waeren, sondern weil sie zum ersten Mal in einer Deutlichkeit zusammenkommen, die sich nicht mehr wegmoderieren laesst. 202,4 Milliarden Euro Schaden allein in 2025. Das entspricht 4,5 Prozent des deutschen Bruttoinlandsprodukts. Und der Bericht sagt unmissverstaendlich: 2026 wird qualitativ und quantitativ schlimmer.

Wer als IT-Verantwortlicher oder Geschaeftsfuehrer eines mittelstaendischen Unternehmens diesen Bericht nicht zur Hand nimmt, vergibt eine wichtige Argumentationsgrundlage gegenueber Aufsichtsrat, Eigentuemern, Versicherungen und – seit NIS2 – gegenueber dem BSI. Wir uebersetzen die Kernergebnisse deshalb hier in das, was sie fuer den deutschen Mittelstand wirklich bedeuten, und zeigen anhand einer realistischen User Story, wie sich diese Zahlen in einem konkreten Unternehmensjahr verteilen.

Das Einstiegsszenario: Ein Dienstagvormittag im Maerz 2026

Frau Dr. Hoffmann ist Geschaeftsfuehrerin eines mittelstaendischen Maschinenbauunternehmens in der Region Stuttgart. 320 Mitarbeitende, knapp 90 Millionen Euro Umsatz, vier Standorte in Deutschland und Polen. Drei Produktlinien, davon eine im Bereich Automatisierung, die in den letzten Jahren staerker gewachsen ist als der Rest. Frau Hoffmann ist gerade von der Hannover Messe zurueckgekehrt, wo das Unternehmen drei vielversprechende Erstkontakte aus der Automotive-Zulieferindustrie mitgenommen hat. Auf dem Schreibtisch liegt eine frische Pruefung der Hausbank, die die Erneuerung des Konsortialkredits an eine Erklaerung zur Cybersicherheitslage knuepft.

An diesem Dienstag um 10:42 Uhr stoppen alle Maschinen am Standort Pleidelsheim. Die Werkleitung meldet, dass die Steuerungsrechner keine Auftraege mehr aus dem ERP ziehen. Drei Minuten spaeter ruft die Buchhaltung an: SAP reagiert nicht mehr. Um 10:55 Uhr ist klar, dass die zentrale Fileablage verschluesselt ist. Um 11:30 Uhr meldet sich der externe IT-Dienstleister mit einer Erpressernotiz, die im SAP-Druckspooler hinterlegt wurde: 4,2 Millionen US-Dollar in Bitcoin, sonst veroeffentlichen wir die Konstruktionsunterlagen Ihrer drei Hauptprodukte.

Frau Hoffmann ist Teil dieser Statistik. Sie weiss es nur noch nicht.

Technische Analyse: Die Zahlen hinter dem Lagebild 2025

Die Makro-Ebene

Das BKA hat fuer 2025 rund 335.000 Faelle Cybercrime im engeren Sinn registriert. Der Begriff bedeutet: Straftaten, die ausschliesslich gegen oder mittels IT-Systeme begangen werden – also keine klassische Computerkriminalitaet wie Online-Betrug. Davon wurden rund 207.888 Faelle von Taetergruppen aus dem Ausland oder von unbekannten Tatorten aus durchgefuehrt. Anders gesagt: Zwei von drei dokumentierten Vorfaellen lassen sich strafrechtlich realistisch nicht mehr nachverfolgen. Das BKA spricht hier explizit von einem Verfolgungsdefizit, weil weder Auslieferungsabkommen noch ausreichende internationale Kooperation in Reichweite sind.

Der wirtschaftliche Schaden wird vom Branchenverband Bitkom in Kooperation mit den Sicherheitsbehoerden auf 202,4 Milliarden Euro geschaetzt – das sind 4,5 Prozent des Bruttoinlandsprodukts. Zur Einordnung: Das gesamte deutsche Verteidigungsbudget lag 2025 bei rund 100 Milliarden Euro. Cyberkriminalitaet verursacht in einem einzigen Jahr also doppelt so viel Schaden wie die gesamte Bundeswehr kostet.

Die Vorfall-Ebene

Drei Zahlen aus dem Lagebild verdienen besondere Aufmerksamkeit:

  • 1.041 angezeigte Ransomware-Vorfaelle – ein Plus von zehn Prozent gegenueber 2024. Das BKA betont, dass dies nur ein Bruchteil der tatsaechlichen Vorfaelle ist, weil viele Unternehmen aus Reputationsgruenden nicht anzeigen.
  • 36.706 DDoS-Angriffe – ein Anstieg um 25 Prozent. Hier dominieren politisch motivierte Akteure mit Bezug zu Russland und Iran, die zunehmend auch mittelstaendische Lieferanten kritischer Infrastrukturen treffen.
  • 15,5 Millionen US-Dollar gezahlte Loesegelder in Deutschland – im Schnitt aus rund 15.000 USD pro Vorfall im Bereich Kleinunternehmen bis zu siebenstelligen Summen im gehobenen Mittelstand.

Die Polizei zaehlt das Anzeigeaufkommen. Die wahre Zahl liegt nach Schaetzungen renommierter Threat-Intel-Anbieter um den Faktor drei bis fuenf darueber.

Die KI-Dimension

Erstmals widmet das BKA der Rolle Kuenstlicher Intelligenz ein eigenes Kapitel. Die Schlussfolgerung ist eindeutig: KI wirkt als Beschleuniger, nicht als Erfinder neuer Angriffstypen. Phishing-Mails werden grammatikalisch fehlerfrei und kontextuell angepasst, Voice-Clone-Angriffe gegen die Buchhaltung haben sich vervielfacht, und gezielte CEO-Fraud-Faelle nutzen oeffentlich verfuegbare Material aus LinkedIn und Vortragsvideos. Die Schwelle, einen ueberzeugenden Erstkontakt herzustellen, ist gefallen – und das wirkt sich vor allem auf die schwaecheren Glieder der Verteidigungskette aus: HR, Buchhaltung, kleinere Standortleitungen ohne eigene IT-Betreuung.

User Story Vertiefung: Was bei Frau Hoffmann genau passiert ist

Wir greifen das Szenario vom Anfang noch einmal auf – jetzt mit dem technischen Detailblick, den ein typisches Incident-Response-Team in der Rueckwaertsanalyse rekonstruieren wuerde.

Tag minus 47: Der Initialzugang

Ein Mitarbeiter aus der polnischen Niederlassung erhaelt eine deutschsprachige Mail von einem vermeintlichen Lieferanten. Die Mail enthaelt einen Link zu einem PDF, das angeblich eine angepasste Zollbescheinigung darstellt. Hinter dem Link sitzt eine Phishing-Seite, die exakt der Microsoft-Login-Maske entspricht. Der Mitarbeiter gibt seine Anmeldedaten und seinen TOTP-Code ein. Was er nicht weiss: Die Phishing-Infrastruktur ist ein Adversary-in-the-Middle-Proxy, der den Login in Echtzeit gegen das echte Entra-ID weiterleitet und ein gueltiges Session-Cookie an die Angreifer ausliefert.

Aus dem Bundeslagebild lesen wir: 86 Prozent aller registrierten Phishing-Mails sind 2025 KI-generiert. Genau diese Mail ist eine davon.

Tag minus 35: Die Privilegieneskalation

Mit dem Cookie hangeln sich die Angreifer in das Microsoft-365-Tenant. Sie finden eine Excel-Datei im OneDrive, in der ein IT-Administrator vor zwei Jahren ein Service-Konto fuer einen lokalen SQL-Server dokumentiert hat – mit Passwort im Klartext. Das Service-Konto hat lokal Administratorrechte. Innerhalb von 72 Stunden ist ein Cobalt-Strike-Beacon im Active Directory etabliert.

Tag minus 12: Die Vermessung der Beute

Die Angreifer brauchen knapp einen Monat, um das Netzwerk auszuwerten. Sie ziehen 740 GB an Daten ueber einen verschluesselten Tunnel ab: Konstruktionsunterlagen, Kalkulationen, Lieferantenvertraege, die letzten drei Jahresabschluesse, Personaldaten inklusive Lohnbuchhaltung. Sie identifizieren ausserdem das SAP-Backend, eine ungepatchte VEEAM-Backup-Instanz und vier ESXi-Hosts, die als Hypervisor fuer die zentralen Produktivsysteme dienen.

Tag null: Die Verschluesselung

Am Montagabend um 22:14 Uhr werden ueber das kompromittierte Service-Konto die ESXi-Hosts in den Wartungsmodus versetzt. Die VMs werden heruntergefahren, ihre Datastores per ESXi-Shell verschluesselt. Die VEEAM-Repositories werden im gleichen Lauf abgeraeumt – das Backup-Konto hatte die noetigen Rechte, weil es vor drei Jahren fuer ein Audit so eingerichtet worden war. Bis zum Dienstagmorgen sind 87 produktive VMs verschluesselt. Die Erpressernotiz wird auf alle SAP-Druckspooler verteilt, damit sie auf Papier ausgedruckt wird, wenn die digitale Kommunikation kollabiert.

Tag plus 14: Die Bilanz

Frau Hoffmann zahlt nicht. Sie holt sich einen externen Krisenstab ins Haus, beauftragt einen Forensik-Dienstleister, informiert das BSI nach BSIG, ihre Cyber-Versicherung, den Landesdatenschutzbeauftragten (Personalstammdaten waren betroffen) und ihre wichtigsten Kunden. Vierzehn Tage spaeter laeuft die Produktion wieder, sechs Wochen spaeter ist die Datenwiederherstellung weitgehend abgeschlossen. Die Versicherung uebernimmt etwa 60 Prozent des direkten Schadens. Der gesamte Vorfall kostet das Unternehmen rund 3,8 Millionen Euro – inklusive Produktionsausfall, Forensik, Anwaltskosten und Ueberstunden – plus einen schwer zu beziffernden Reputationsschaden und das verlorene Vertrauen zweier Grosskunden, die ihre Aufgabenstellung nun an einen Wettbewerber vergeben haben.

Die Zahl 3,8 Millionen Euro klingt nach Einzelschicksal. Bei 320 Mitarbeitenden entspricht sie rund 11.875 Euro pro Mitarbeitenden – eine Groessenordnung, die das BKA in aehnlicher Form fuer den durchschnittlichen Mittelstandsschaden angibt.

Breitere Einordnung: Was die Zahlen fuer den deutschen Mittelstand bedeuten

Asymmetrie zwischen Angreifer und Verteidiger

Das Lagebild macht eine Asymmetrie sichtbar, die im Mittelstand besonders weh tut. Eine professionelle Ransomware-Gruppe operiert wie ein Mittelstandsunternehmen – mit Affiliates, internen Eskalationswegen, Pressestellen, Verhandlungsteam und einer technischen Forschungsabteilung, die regelmaessig neue Initial-Access-Methoden bewertet. Ihr CEO sitzt in einer Jurisdiktion ohne Auslieferungsabkommen. Ihr Gegenueber, also Frau Hoffmann, hat in der Regel einen internen IT-Leiter, der sich seit Jahren ueber zu wenig Budget beklagt, und einen externen Systemhauspartner, der nachts erreichbar sein soll, aber tagsueber zwoelf andere Kunden bedient.

Versicherungswirtschaft verschaerft die Bedingungen

Die Cyber-Versicherer haben das BKA-Lagebild als Argument fuer eine neue Welle restriktiver Praemien aufgenommen. Konkret werden im Mittelstand inzwischen routinemaessig folgende Mindestkontrollen verlangt, bevor ueberhaupt ein Angebot gemacht wird:

  • MFA fuer alle administrativen Zugaenge und alle Remote-Logins
  • Offline- oder Immutable-Backups mit dokumentierter Restore-Pruefung in den letzten 90 Tagen
  • EDR auf allen Endpoint- und Server-Systemen, mit 24/7-SOC-Anbindung
  • Patch-Compliance von mindestens 95 Prozent fuer kritische Schwachstellen innerhalb von 14 Tagen
  • Schriftlich verabschiedeter Incident-Response-Plan inkl. Tabletop-Uebung im letzten Jahr

Wer diese Kontrollen nicht nachweist, bekommt entweder keine Versicherung oder Praemien, die wirtschaftlich kaum mehr darstellbar sind.

NIS2 und das KRITIS-Dachgesetz

Im gleichen Zeitfenster zieht die Regulierung an. Die deutsche NIS2-Umsetzung greift seit Maerz 2026 mit der BSI-Registrierung. Wer registrierungspflichtig war und die Frist verpasst hat, gilt formal als nicht-konform. Das KRITIS-Dachgesetz tritt in Stufen 2026 in Kraft. Beide Regelwerke definieren Geschaeftsfuehrer als persoenlich haftbar, wenn dokumentierte Kontrollluecken nicht geschlossen werden. Die Geldbussen koennen bei NIS2 bis zu zehn Millionen Euro betragen. Das Lagebild des BKA dient hier nicht nur als Beschreibung, sondern als Begruendung – wer Beweismaterial fuer eine erhoehte Bedrohungslage sucht, findet es in 50 Seiten amtlicher Statistik.

Handlungsempfehlungen: Was konkrete Schritte aussehen

1. Identitaeten zuerst

Wenn das BKA in 86 Prozent aller Phishing-Mails KI-Generierung erkennt, hat klassische Sensibilisierung an Wirkung verloren. Der entscheidende Hebel ist Phishing-resistente Authentifizierung. Konkret heisst das: FIDO2-Sicherheitsschluessel oder Passkeys fuer alle priviligierten Konten, Conditional Access mit Device-Compliance fuer alle Remote-Zugriffe und eine Abschaltung von SMS- und Voice-MFA. Wer die Bewegungen rund um den BSI-Cybersicherheitsmonitor 2026 verfolgt, sieht, dass diese Schritte aus dem Empfehlungsbereich in den Pflichtbereich wandern.

2. Backups als Existenzfrage

Die wahrscheinlichste Variante eines existenzbedrohenden Vorfalls ist die Verschluesselung der eigenen Wiederherstellungsfaehigkeit. Wer kein Immutable-Backup vorhalten kann, wer Restore-Tests vor zwoelf Monaten zuletzt gemacht hat, wer das Backup-Konto im gleichen AD-Forest verwaltet wie die Produktivsysteme, ist im Ernstfall handlungsunfaehig. Die Konsequenz: separate Identitaetsdomaene fuer Backups, Object-Lock-faehiges Repository (z.B. S3 mit Governance Mode oder Veeam Hardened Repository auf XFS), wiederkehrender Restore-Test mit dokumentiertem Ergebnis.

3. Patch-Disziplin als Geschaeftsprozess

Die kritischen Schwachstellen der letzten Wochen – von SAP S/4HANA ueber Sentry, Apache, Linux Kernel bis zu Palo-Alto-Firewalls – haben gemeinsam, dass Patches verfuegbar waren, bevor breite Ausnutzung begann. Ein 14-Tage-Service-Level fuer kritische Patches ist im Mittelstand technisch erreichbar, wenn die Prozesse stehen: Asset-Inventar, Schwachstellen-Scanner mit Risikopriorisierung, Change-Management mit definierten Notfallpfaden. Das ist keine Tooling-Frage, sondern eine Organisationsfrage.

4. Segmentierung und Zero Trust statt flacher Netzwerke

Die meisten Mittelstandsnetzwerke sind im Kern noch immer flach. Wer einen Domain-Controller hat und einen produktiven SAP-Server, der von einem kompromittierten Office-Notebook erreichbar ist, hat die laterale Bewegung praktisch eingeladen. Mikrosegmentierung – sei es ueber Identity-aware Proxies wie Zscaler Private Access, ueber Mikrosegmentierungs-Plattformen wie Illumio oder ueber konsequente VLAN-Architekturen mit Firewall-Regeln auf Ost-West-Verkehr – ist 2026 keine Premium-Ueberlegung mehr, sondern Mindeststandard.

5. Incident Response trainieren, bevor es brennt

Ein Incident-Response-Plan, der nicht regelmaessig durchgespielt wird, ist eine PDF-Datei. In der Krise ist sie wertlos. Mindestens einmal pro Jahr braucht der Mittelstand ein Tabletop, in dem Geschaeftsfuehrung, IT-Leitung, Datenschutz, Kommunikation, Rechtsabteilung und ggf. externe Dienstleister einen realistischen Vorfall durchspielen. Wer das nicht intern leisten kann, kauft das als Dienstleistung ein – die Investition liegt im fuenfstelligen Bereich und ist im Schadensfall einer der grossten Hebel.

6. KI gezielt einsetzen – beidseitig

Das Lagebild beschreibt, wie Angreifer KI nutzen. Verteidiger duerfen sich diesen Hebel nicht ausreden lassen. KI-gestuetzte SOCs koennen Log-Volumina auswerten, die ein Mensch nicht mehr durchblickt; KI-Modelle in E-Mail-Gateways erkennen kontextuelle Anomalien, die regelbasierte Filter nicht sehen; und KI-Assistenten im SOAR-Bereich koennen Standardvorfaelle teilautomatisiert eskalieren. Voraussetzung ist allerdings eine saubere KI-Strategie, die die Risiken bewertet. Wer hier strukturiert vorgehen will, findet im Beratungsfeld KI-Strategie und in unserer KI-Seite einen geordneten Einstieg.

Ausblick: Wohin sich die Lage entwickelt

Das BKA prognostiziert fuer 2026 eine qualitative und quantitative Eskalation. Die wichtigsten Faktoren:

  • Skalierung durch KI: Was heute aufwaendig pro Opfer angepasst werden muss, laeuft 2026 in Pipelines, die hunderte Zielorganisationen parallel beackern.
  • Geopolitische Verschiebungen: Russland- und China-naher Akteure verzahnen ihre Operationen staerker mit kriminellen Ransomware-Gruppen. Das macht Attribution schwerer und politische Eskalation wahrscheinlicher.
  • Lieferketten-Angriffe: Wer eine kritische Software wie Sentry, Ollama, einen MSP oder eine Backup-Plattform betreibt, hat 2026 ein anderes Risikoprofil als 2024. Lieferketten werden zum bevorzugten Vektor.
  • Regulatorische Welle: NIS2-Audits, KRITIS-Dachgesetz, CRA-Inkrafttreten am 11. September 2026 und EU AI Act im Hintergrund – alle Regelwerke fragen am Ende dieselbe Frage: Wer ist verantwortlich, und kann er es belegen?

Fuer Frau Hoffmann waren die 3,8 Millionen Euro Schaden ein Lehrgeld, das ihr Unternehmen ueberlebt hat. Andere haben dieses Glueck nicht. Das BKA dokumentiert in seinem Lagebild auch jene Faelle, in denen mittelstaendische Unternehmen ihre Selbststaendigkeit verloren haben, weil sie nach einem Vorfall in eine Insolvenz oder eine Notveraeusserung getrieben wurden. Die Statistik dahinter ist unscharf, aber sie wird in jedem Jahresbericht groesser.

Was wir Geschaeftsfuehrungen raten

Das Bundeslagebild ist mehr als eine Lektuere fuer den IT-Sicherheitsbeauftragten. Es ist ein Werkzeug fuer den Vorstand. Drei Schritte, die Geschaeftsfuehrungen in den naechsten 90 Tagen umsetzen sollten:

  1. Eine schriftliche, aktuelle Risikobewertung fuer Cyberrisiken auf den Tisch holen. Nicht die Powerpoint des Vorjahres, sondern eine quantifizierte Bewertung mit erwartetem Verlust, Eintrittswahrscheinlichkeit und Massnahmenstand.
  2. Eine Tabletop-Uebung mit der Geschaeftsfuehrung als Pflichttermin im Jahreskalender verankern. Nicht delegieren, sondern selbst mitmachen.
  3. Den Versicherungsschutz pruefen lassen – im Lichte der neuen Mindestkontrollen. Was die Versicherer fordern, ist heute der pragmatische Mindeststandard.

Wenn Sie diese Schritte strukturiert angehen wollen, hilft ein klarer Beratungsbogen. Unsere Leistungsuebersicht bildet ab, an welchen Stellen wir Mittelstaendler unterstuetzen – von der Schwachstellenbewertung ueber die NIS2-Vorbereitung bis zur SOC-Anbindung. Wer den Schritt machen will, erreicht uns ueber das Kontaktformular.

Fazit

Das Bundeslagebild Cybercrime 2025 ist kein Buch fuer das Bueroregal. Es ist die nuechterne Beschreibung einer Lage, in der Mittelstaendler heute operieren. 202,4 Milliarden Euro Schaden sind eine Zahl, die sich nicht in abstrakte Risikomatrizen aufloest – sie verteilen sich auf konkrete Unternehmen, konkrete Standorte, konkrete Geschaeftsfuehrungen und konkrete Beschaeftigte, deren Arbeitsplaetze plotzlich auf der Kippe stehen. Wer 2026 unterschaetzt, wer kein Patch-Programm hat, kein gehaertetes Backup, keine MFA, keine Segmentierung und keinen Plan fuer den Ernstfall, der spielt nicht mit Restrisiko, sondern mit existenziellem Risiko. Das BKA hat das Lagebild geliefert. Was im naechsten Jahresbericht ueber Ihr Unternehmen steht, entscheidet sich in den naechsten 90 Tagen.