BKA-Report: Deutschland ist dritthäufigstes Ziel von Cyberkriminellen

Täglich 900 Angriffe: Das Bundeskriminalamt verzeichnet einen dramatischen Anstieg digitaler Bedrohungen. Besonders betroffen: der Mittelstand.

Die Lage ist ernst. Laut dem aktuellen Lagebild des Bundeskriminalamts (BKA) für 2025, das Anfang der Woche veröffentlicht wurde, ist Deutschland hinter den USA und Kanada zum dritthäufigsten Ziel von Cyberkriminellen weltweit aufgestiegen. Insgesamt registrierten die Behörden 334.000 Straftaten aus dem Netz – das entspricht rund 900 Attacken pro Tag. Der wirtschaftliche Schaden ist enorm: 202,4 Milliarden Euro oder rund 4,5 Prozent des deutschen Bruttoinlandsprodukts.

Angesichts der massiv steigenden Zahl von Cyberangriffen müssen vor allem kleine und mittelständische Unternehmen ihre IT-Sicherheit ohne teure Investitionen stärken. Das kostenlose E-Book liefert fundierte Strategien, wie Sie Sicherheitslücken proaktiv schließen und aktuelle gesetzliche Anforderungen erfüllen. IT-Sicherheits-Ratgeber jetzt gratis herunterladen

Ransomware: Weniger Zahlungen, aber höhere Forderungen

Die Erpressungssoftware Ransomware bleibt die größte Sorge der Unternehmen. Mit 1.041 gemeldeten Fällen verzeichnet das BKA einen Anstieg um zehn Prozent im Vergleich zum Vorjahr. Ein überraschender Trend: Nur noch sieben Prozent der betroffenen Organisationen zahlen Lösegeld – im Vorjahr waren es noch neun Prozent. Die durchschnittliche Forderung liegt dennoch bei umgerechnet rund 387.000 Euro.

Besonders hart trifft es den Mittelstand. Neun von zehn Angriffen richten sich gegen kleine und mittlere Unternehmen (KMU). „Die Täter suchen sich gezielt Opfer, die keine spezialisierten Sicherheitsteams vorhalten können", heißt es in Sicherheitskreisen. Ein weiterer Alarmwert: Die Zahl der DDoS-Angriffe (Distributed Denial of Service) schoss um 224 Prozent in die Höhe. Viele dieser Attacken gehen auf das Konto von Hacktivisten. Im Durchschnitt überlasten sie die Systeme innerhalb von 41 Minuten.

Neue Gesetze: Offensive Abwehr und längere Übergangsfristen

Innenminister Alexander Dobrindt kündigte als Reaktion ein Gesetz zur aktiven Cyberabwehr an. Es soll die Behörden ermächtigen, die technische Infrastruktur von Angreifern zu stören oder zu zerstören. Zudem plädiert der Minister für eine erweiterte IP-Datenspeicherung und automatisierte Datenanalysen – denn zwei Drittel der Angriffe kommen aus dem Ausland. Erfolge wie die internationale Operation Endgame 2.0, die zu 20 Haftbefehlen – vor allem gegen Täter in Russland – führte, zeigen, dass koordinierte Maßnahmen wirken können.

Parallel dazu verschiebt die EU die Fristen für das AI-Gesetz. Am 7. Mai einigten sich die Unterhändler auf den sogenannten Digital Omnibus for AI. Die Compliance-Pflichten für Hochrisiko-KI-Systeme – etwa in den Bereichen Biometrie, Bildung oder Personalwesen – treten nun erst am 2. Dezember 2027 in Kraft. Für KI in regulierten Produkten wie Aufzügen oder medizinischen Geräten gilt sogar der 2. August 2028 als neuer Stichtag.

Da die EU-KI-Verordnung bereits seit August 2024 gilt, sollten Unternehmen trotz verlängerter Fristen für Hochrisiko-Systeme ihre aktuellen Pflichten genau prüfen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über Risikoklassen und Dokumentationspflichten, damit Ihre IT-Abteilung rechtlich auf der sicheren Seite bleibt. Kostenloses E-Book zum EU AI Act sichern

Doch nicht alles wird aufgeschoben. Die Kennzeichnungspflicht für KI-generierte Inhalte – etwa Wasserzeichen bei Deepfakes oder Chatbots – wird bereits am 2. August 2026 verbindlich. Bestehende Systeme haben bis zum 2. Dezember 2026 Zeit, die Standards umzusetzen. Ab Ende 2026 sind zudem nicht-einvernehmliche sexualisierte Deepfakes und sogenannte „Nudification"-Anwendungen verboten.

Compliance-Lücke: Nur sieben Prozent der Firmen sind compliant

Trotz der etablierten Datenschutz-Grundverordnung (DSGVO), die seit 2018 zu über 6.680 Geldstrafen in Höhe von insgesamt 4,2 Milliarden Euro führte, tun sich viele Unternehmen schwer mit der Umsetzung. Eine Studie vom 11. Mai zeigt: Nur sieben Prozent der Firmen erreichen eine umfassende globale Compliance. 47 Prozent der Justiziare sehen die Regelungen zu wirtschaftlichen Eigentümern als größtes Risiko, 44 Prozent fehlt das Vertrauen in die eigene grenzüberschreitende Datensicherheit.

Die NIS2-Richtlinie kommt als weitere Hürde hinzu. In Deutschland sind über 30.000 Unternehmen betroffen. Die Regeln sehen eine persönliche Haftung der Geschäftsführung vor – bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Plattformen wie Validato helfen Unternehmen dabei, Lücken in den Bereichen ISO 27001 und BSI-Standards zu identifizieren.

KI als zweischneidiges Schwert

Das Bundesfinanzministerium warnt vor spezialisierten KI-Modellen wie „Claude Mythos" (entwickelt von Anthropic), die Schwachstellen automatisiert scannen und Angriffswerkzeuge generieren können. BSI-Präsident Plattner betont: „Solche Technologien verkürzen die Zeitfenster für Unternehmen drastisch, um Sicherheitslücken zu schließen."

Die Ironie der Entwicklung: Während 35 Prozent der Unternehmen KI nutzen, um ihre Compliance-Prozesse zu verbessern, setzen Angreifer dieselbe Technologie ein, um Abwehrmechanismen zu umgehen. Das BKA bestätigt: 900 Angriffe täglich in Deutschland, viele davon automatisiert und gezielt gegen KMU.

Ausblick: Was auf Unternehmen zukommt

Die Verschiebung der Hochrisiko-Pflichten auf Dezember 2027 verschafft Unternehmen eine Atempause für interne Audits. Doch der August 2026 bleibt ein entscheidender Termin: Dann werden die Transparenz- und Kennzeichnungspflichten für KI-Inhalte wirksam.

Der trend zu weniger Lösegeldzahlungen könnte Kriminelle zu neuen Strategien zwingen – etwa zur reinen Datenerpressung oder zu massiven DDoS-Kampagnen. Unternehmen sollten zudem die Entwicklung des geplanten Gesetzes zur aktiven Cyberabwehr im Auge behalten. Es könnte die rechtlichen Rahmenbedingungen für die Zusammenarbeit zwischen Privatwirtschaft und Strafverfolgungsbehörden grundlegend verändern.

Die Regeln für Hochleistungs-KI-Modelle (GPAI) sind bereits seit August 2025 in Kraft. Die Anbieter müssen detaillierte Dokumentationen zu Trainingsdaten und Energieverbrauch vorlegen. Wenn die Bundesnetzagentur Ende 2026 mit der aktiven Marktüberwachung beginnt, dürfte der Druck auf die Unternehmen weiter steigen.

de | wirtschaft | 69328127 |