#BSI  #Sicherheit  #Analyse  #Ransomware  #Leak  #ISMS  #Governance  

6. Februar 2026, 14:05
Lesezeit: ca. 5 Min

Einordnung des BSI-Berichtes 2025

Der BSI-Bericht für das Jahr 2025 (Stand Oktober 2025) wurde veröffentlicht.1 Im Grunde gibt es wenig grundlegend Neues. Die wichtigsten Punkte, kommentiert und kritisch eingeordnet:

  • Die Bedrohungslage ist unverändert angespannt und stabilisiert sich auf einem hohen Niveau.2
  • Bemerkenswert ist, dass der Grad der Fehlkonfiguration von Systemen und Software von 28% im vorherigen Berichtszeitraum auf 44% gestiegen ist.3
  • Die Angriffsflächen bei Web-Oberflächen sind in einem “besorgniserregenden Zustand”.4 Scope sind hier alle erreichbaren IP-Adressen mit .de Domains.
  • EDR und Security-Lösungen stellen keinen ausreichenden Schutz dar. Sie sind weiterhin gegenüber gängigen Angriffsszenarien wirkungslos und werden mit sogenannten “EDR-Killern” effektiv ausgehebelt.5
  • Kleine und mittelständische Unternehmen (KMU) geraten mehr in den Fokus von Ransomware-Banden.6

Zweifelhaftes Selbstlob

Und das gehört leider auch zum BSI: Selbstlob mit vermeintlichen Schlägen gegen internationale Cyberkriminalität und verbesserten KRITIS-Schutz. Bemerkenswert, wenn im gleichen Bericht für KRITIS festgestellt wird:7

In fast allen Sektoren wurden im Berichtszeitraum mehr gemeldete Störungen als im vorherigen Berichtszeitraum verzeichnet.

Das hat wenig mit einem besseren Schutz oder einer höheren Resilienz zu tun, sondern vielmehr mit einem feiner aufgelösten Lagebild durch höhere Berichtsnormen auf nationaler Ebene (KRITIS) oder EU-Ebene (NIS2, DORA).

Ich vergleiche das im Kleinen mit einem typischen KMU. Zu meinen Erstmaßnahmen gehörte es da oft, mit Labeldrucker bewaffnet die IT-Landschaft zu inventarisieren.8 Gefolgt vom Aufbau eines Monitoring- und Reporting-Systems. In diesem Erkenntnis-Stadium scheint das BSI gegenwärtig zu sein und bewertet das bereits als Erfolg:

Trotz der steigenden Anzahl ist jeder gemeldete Vorfall ein Erfolg: In allen bewältigten und gemeldeten Störungen sehen wir das Engagement der Betreiber, der womöglich gesteigerten Gefährdungslage zu begegnen und die Folgen eines Ausfalls so gut und schnell wie möglich zu adressieren.

Zieht man den Umstand hinzu, dass das BSI in unserer heutigen Zeit ein Meldeportal auf AWS aufgesetzt hat, klingt das eher nach einer politischen und strategischen Bankrotterklärung.9

Statt Selbstlob wäre eine realistische Bewertung zweckdienlicher:10

  • Weniger als die Hälfte (49%) der nachweispflichtigen KRITIS-Betreiber haben einen angemessenen Reifegrad ihrer ISMS und BCM.

  • Weniger als die Hälfte (47,5%) aller erreichbaren .de IP-Adressen weisen Sicherheitslücken auf, teils waren sensible Metadaten oder Schwachstellen einfach einsehbar.

  • Und warum das BSI meint, ein Host mit IPv4 sei weniger sicher als IPv6, das bleibt offen. Ports und Schwachstellen in Software ist die IP-Version reichlich egal.

Zahlen aus dem BSI-Bericht

Bedauerlich finde ich, dass der vollständige Bericht nicht als komplettes PDF-Dokument zum (Offline-) Lesen angeboten wird, sondern nur mit seinen ersten acht Seiten (Vorworte und Zusammenfassungen) und einem ohne Kontext wenig aussagendem Dashboard.

Öffentliche Behörden und Verwaltung

In Anbetracht der BSI-eigenen Zahlen erscheint der Referentenentwurf zum überarbeiteten KRITIS-Dachgesetz wie ein Schlag ins Gesicht. Der Stellungnahme der AG KRITIS ist nichts hinzuzufügen:11

Die Herausnahme großer Teile der Bundes- und der kompletten Landesverwaltung aus dem KRITIS-Dachgesetz ist unverantwortlich.

Kommunen sollen künftig selbst entscheiden dürfen, welche Bereiche für sie kritisch sind und welche nicht. Die Prioritätensetzung hat man unlängst bei 45.000 Haushalten in Berlin eindrucksvoll sehen können.12

KMU: Alle sind gefährdet - viele, ohne es zu wissen

Hier kann ich nur 1:1 den BSI-Bericht zitieren:13

Vielen mangelt es nicht nur an Wissen und Fähigkeiten zur IT-Sicherheit, sondern bereits an der grundlegenden Einsicht, dass sie sehr wohl ein lohnendes Ziel für Cyberangriffe darstellen. Hintergrund dürfte eine grundlegende Fehleinschätzung der Bedrohungs- und Gefährdungslage sein. (…) Für cyberkriminelle Angreifer sind weder Umsatz noch Branche ausschlaggebende Kriterien der Zielauswahl, sondern der Aufwand für den Angriff muss in einem günstigen Verhältnis zum erwarteten Nutzen stehen.

Diese “low-hanging fruit” ist seit Jahrzehnten die Trias aus Windows, Office und AD. Von Admins und Systemhäusern immer im gleichen Schema F (fehl)konfiguriert. Minimale Änderungen an Infrastruktur oder Softwareprodukten bringen bereits hohe Sicherheitsgewinne.14 Das BSI täte gut daran, das noch deutlicher hervorzuheben.

Zunehmende Politisierung

Der BSI-Bericht dokumentiert eine zunehmende Politisierung. Ziele sind eine Stärkung rechter Parteien und Narrative sowie das Schüren von Zukunftsangst durch russische und neuerdings auch US-Akteure. Das ist unbestritten. Wir befinden uns nicht erst seit dem Angriffskrieg Russlands auf die Ukraine 2022 in einem hybriden Krieg im Informationsraum.15

Leider erweckt der Bericht in meiner Wahrnehmung stellenweise den Eindruck, die Lage durch eine parteipolitische Brille zu betrachten. Das wird bei solchen zwischendurch eingeworfenen Sätzen wie “…darunter die Online-Präsenzen bayerischer Behörden” deutlich.16 Der Einwurf hatte im Kontext keine Relevanz, wurde aber trotzdem so eingefügt.

Wenn sich zwischen den Zeilen des BSI-Berichts erkennen lässt, aus welcher Partei und Region der aktuelle Bundesminister des Inneren kommt, verheißt das nichts Gutes.

Offizielle Ransomware-Zahl 2025

Interessant ist die Zahl von 950 gemeldeten Ransomware-Vorfällen in Deutschland im Jahr 2025.17 Die Dunkleziffer dürfte noch höher liegen.

Das sind im Schnitt 2,6 kompromittierte Windows AD Netze täglich. Sie sind faktisch zu 99 Prozent das Ziel moderner Ransomware und damit der apokalyptische Reiter, der durch deutsche IT-Landschaften zieht.

Bereits vor 4 Jahren kam ich zur Feststellung, dass täglich ein Unternehmen bei uns in Deutschland “ausgeknipst” wird.18 Der Trendlinie zufolge habe ich nicht übertrieben:

Datenleaks

Wenn ich Meldungen lese, wo Dreiviertel aller Bürger eines Landes mit ihren Identitäten im Darknet als Datensatz abrufbar sind, denke ich immer an Schwellenländer oder weit entfernte Bananenrepubliken. Der BSI-Bericht hebt hervor, dass bereits 72% der Bundesbürger von Datenleaks betroffen sind. Der nachfolgende Chart schlüsselt die Kategorien weiter auf:19

Kategorien der Datenleaks

E-Mail-Konten als Risiko

Noch nie wurden so viele E-Mail-Konten gehackt, eine Steigerung um 72%, so das BSI und verlinkt dabei auf eine externe Quelle.20 Auf meiner Suche nach Korrelationen bin ich auf eine vergleichbare Zahl gestoßen: Die Zunahme der Unternehmen in Deutschland zwischen 2021 (51%) und 2025 (65%), die “paid Cloud-Services” in Anspruch nehmen. Gemeint sind vor allem Microsoft Azure und Office 365.21

Steigerung von Unternehmen in Deutschland mit bezahlten Cloud-Services

Selbstverständlich sind Korrelationen noch lange keine Ursachen. Auf der anderen Seite sehe ich kaum andere vergleichbare Steigerungszahlen in genau der angegebenen 70%-Range. Bitte um Hinweis, falls ich da was übersehen habe.

Insgesamt sehe ich keinen Lichtblick. Dabei spielen nicht nur technische Probleme, sondern Governance-Defizite der Verantwortlichen eine Rolle, wie mit Risikobewertungen, ISMS und IT-Sicherheit als Ganzes umzugehen ist.

Der einzige positive Ausblick heute: Es ist Wochenende!

In diesem Sinne,
Tomas Jakobs

  1. https://medien.bsi.bund.de/lagebericht/de/ ↩︎

  2. https://medien.bsi.bund.de/lagebericht/de/zusammenfassung-und-bewertung/ ↩︎

  3. https://medien.bsi.bund.de/lagebericht/de/gemeldete-schwachstellen-in-softwareprodukten/ ↩︎

  4. https://medien.bsi.bund.de/lagebericht/de/vorworte-und-fazit/ ↩︎

  5. https://heise.de/hintergrund/bla-11139712.html ↩︎

  6. https://medien.bsi.bund.de/lagebericht/de/gefaehrdungslage-der-kleinen-und-mittleren-unternehmen/ ↩︎

  7. https://medien.bsi.bund.de/lagebericht/de/gefaehrdungslage-der-kritischen-infrastrukturen/ ↩︎

  8. https://blog.jakobs.systems/micro/20210817-asset-management/ ↩︎

  9. https://heise.de/news/bla-11130478.html ↩︎

  10. https://medien.bsi.bund.de/lagebericht/de/systematik-der-lagebewertung/ ↩︎

  11. https://ag.kritis.info/2025/11/27/stellungnahme-zum-referentenentwurf-des-kritis-dachgesetz-mit-stand-03-11-2025/ ↩︎

  12. https://en.wikipedia.org/wiki/2026_arson_attack_on_the_Berlin_power_grid ↩︎

  13. https://medien.bsi.bund.de/lagebericht/de/zusammenfassung-und-bewertung/ ↩︎

  14. https://blog.jakobs.systems/blog/20240506-service-tips-windows/ ↩︎

  15. https://bpb.de/kurz-knapp/hintergrund-aktuell/287565/bla/ ↩︎

  16. https://medien.bsi.bund.de/lagebericht/de/ddos-angriffe/ ↩︎

  17. https://medien.bsi.bund.de/lagebericht/de/cybercrime/ ↩︎

  18. https://blog.jakobs.systems/micro/20221025-geplatzte-ads/ ↩︎

  19. https://medien.bsi.bund.de/lagebericht/de/datenleaks/ ↩︎

  20. https://surfshark.com/research/data-breach-monitoring/quarterly-analysis ↩︎

  21. https://ec.europa.eu/eurostat/databrowser/view/isoc_cicce_use/default/table?lang=en ↩︎

Feedback oder Kommentar

Feedback geben...  In Mastodon kommentieren...  Einen Kaffee spenden...

Ähnliche Beiträge

© 2026 Tomas Jakobs - Impressum und Datenschutzhinweis

Mitglied im UberBlgr Webring:   < Zurück > Weiter >  

Unterstütze diesen Blog - Spende einen Kaffee