BKA-Lagebild Cybercrime

Das Hase-und-Igel-Rennen wird industriell


BKA-Lagebild Cybercrime: Das Hase-und-Igel-Rennen wird industriell Studie

Es ist ein altes Bild, aber es passt überraschend gut zur Cyberlage 2025: Hase und Igel. Der Hase rennt, der Igel ist schon da. Nur ist der Igel in der digitalen Gegenwart kein gemütlicher Trickbetrüger aus dem Märchen, sondern eine global vernetzte, arbeitsteilige und professionell finanzierte Cybercrime-Industrie. Das Bundeslagebild Cybercrime 2025 des Bundeskriminalamts zeigt, dass Deutschland nicht an einem Mangel an Warnungen leidet. Es leidet an der Geschwindigkeit, mit der Warnungen in wirksame Prävention, Detektion, Reaktion und Strafverfolgung übersetzt werden müssen.

Das Lagebild zeigt Normalisierung der Dauerkrise

Das BKA weist für 2025 insgesamt 333.922 Cybercrime-Delikte im engeren Sinne aus. Der Wert wirkt auf den ersten Blick nahezu stabil, weil der Anstieg gegenüber dem Vorjahr nur gering ausfällt. Gerade darin liegt die relevante Pointe: Cybercrime ist nicht mehr der spektakuläre Ausnahmefall, sondern ein dauerhaft hohes Grundrauschen mit punktuellen Eskalationswellen. Eine Gleichförmigkeit in der Statistik darf nicht mit Stabilität der Bedrohung verwechselt werden.

Besonders aussagekräftig ist die Verschiebung zwischen Inlandstaten und Auslandstaten. Die vom BKA ausgewiesenen 207.888 Auslandstaten übersteigen die 126.034 Fälle der Inlands-PKS deutlich. Damit liegt ein großer Teil der kriminalistischen Wirklichkeit außerhalb der klassischen territorialen Ermittlungslogik. Die Täter sitzen häufig nicht in Deutschland, der Schaden entsteht aber hier. Das macht Cybercrime zu einem Stresstest für Zuständigkeiten, internationale Kooperation und Beweisführung.

Hinzu kommt ein methodischer Vorbehalt, der in der öffentlichen Debatte stärker betont werden sollte: Die Polizeiliche Kriminalstatistik bildet das Hellfeld ab. Sie zeigt, was angezeigt, erkannt und erfasst wurde. Sie zeigt nicht, was nicht gemeldet, intern bereinigt, aus Reputationsangst verschwiegen oder schlicht nie entdeckt wurde. Dies gilt wohl vor allem für Organisation – auch im Bereich der öffentlichen Hand – für die Schutz der IT-Infrastruktur ein Fremdwort ist und die daher "leichte Beute" sind (siehe hierzu beispielhaft den Cyberangriff auf die Südwestfalen-IT in der Nacht auf den 30.10.2023). Bei Cybercrime ist diese Dunkelziffer nach Einschätzung des BKA besonders hoch. Der Befund lautet daher nicht: 333.922 Fälle sind das Problem. Der Befund lautet: 333.922 Fälle sind der sichtbare Ausschnitt eines deutlich größeren Risikoraums.

Ransomware bleibt die zentrale Bedrohung 

Ransomware ist weiterhin der zentrale Prüfstein der Cyberresilienz. 2025 wurden dem BKA zufolge 1.041 Ransomware-Angriffe angezeigt, zehn Prozent mehr als im Vorjahr. Auffällig ist nicht nur die Anzahl, sondern die Zielstruktur: Rund 96 Prozent der erfassten Angriffe richteten sich gegen Unternehmen, Organisationen und Institutionen, rund 90 Prozent gegen kleine und mittlere Unternehmen. Damit trifft Ransomware nicht nur Konzerne mit großen IT-Sicherheits-Abteilungen, sondern den produktiven Mittelbau des Landes.

Die Entwicklung der Lösegeldzahlungen ist ambivalent. Einerseits zahlten in der BKA-Fallerhebung nur sieben Prozent der Geschädigten Lösegeld. Das kann als Hinweis auf verbesserte Backups, bessere Notfallkonzepte, höhere Sensibilität und eine wachsende Bereitschaft zur Nichtzahlung gelesen werden. Andererseits stiegen die durchschnittlichen Zahlungen deutlich. Im Mittel wurden in Deutschland umgerechnet 456.335 US-Dollar gezahlt; die insgesamt erfasste Summe lag bei rund 15,5 Millionen US-Dollar. Die Täter reagieren ökonomisch: Wenn weniger Opfer zahlen, müssen Forderungen steigen, Angriffe skaliert und Druckmittel verfeinert werden.

Deshalb wäre es zu kurz, sinkende Zahlungsquoten als Sieg der Verteidiger zu feiern. Vielmehr verändert sich das Geschäftsmodell. "Double Extortion", also die Kombination aus Verschlüsselung und Datendiebstahl, dominiert weiterhin. Zugleich gewinnt Data Extortion an Gewicht: Nicht mehr die blockierte Maschine allein ist das Druckmittel, sondern die Veröffentlichung sensibler Daten. Das macht Datenschutz, Reputation, Vertragsbeziehungen und Haftungsfragen zu unmittelbaren Bestandteilen der Cyberkrise.

Die Dunkelziffer ist hier besonders relevant. Viele Ransomware-Vorfälle werden nicht angezeigt, weil Unternehmen Reputationsschäden fürchten, weil Versicherer, Berater oder Krisenteams eine diskrete Lösung bevorzugen oder weil der Vorfall technisch als Betriebsstörung eingeordnet wird. Das bedeutet: Die 1.041 angezeigten Fälle sind nicht die Realität der Ransomware-Lage, sondern die untere Kante der bekannten Realität.

DDoS und Hacktivismus

Parallel zur Erpressungsökonomie der Ransomware nimmt die Zahl der Überlastungsangriffe deutlich zu. 2025 wurden im Netz der Deutschen Telekom 36.706 DDoS-Angriffe auf Ziele erfasst, ein Plus von 25 Prozent gegenüber dem Vorjahr. Im Durchschnitt waren es mehr als 3.000 Angriffe pro Monat. Diese Zahlen zeigen eine Form der Cyberaggression, die nicht primär auf heimliche Monetarisierung zielt, sondern auf Sichtbarkeit, Störung und Symbolik.

DDoS-Angriffe sind der bevorzugte Modus Operandi hacktivistischer Akteure. Sie sind technisch vergleichsweise einfach skalierbar, medial leicht kommunizierbar und politisch anschlussfähig. Das BKA nennt als besonders aktive Gruppierung NoName057(16). Die Gruppe begründete Angriffe auf deutsche Ziele unter anderem mit der Unterstützung Deutschlands für die Ukraine. Betroffen waren vor allem Behörden, Verwaltungen sowie Verkehrs- und Logistikunternehmen.

Technisch können viele DDoS-Angriffe moderat wirken: eine Webseite ist zeitweise nicht erreichbar, ein Service wird gestört, ein Portal fällt aus. Im Kontext hybrider Bedrohungen ist diese Lesart zu eng. Ein Angriff auf Erreichbarkeit ist ein Angriff auf Vertrauen. Wenn Bürgerportale, Verkehrsunternehmen oder Verwaltungsseiten ausfallen, entsteht nicht nur IT-Störung, sondern ein öffentlicher Eindruck von Verwundbarkeit. Genau diese Wirkung ist Teil der Methode.

Die Professionalisierung zeigt sich auch hier. Botnetze werden effizienter gemanagt, IoT-Geräte bleiben massenhaft ungeschützt, Automatisierung und AI können die Auswahl von Zielen, Timing und kommunikative Begleitung verbessern. DDoS ist damit nicht nur Lärm im Netz, sondern ein Bestandteil strategischer Einflussnahme.

AI verändert die Bedrohungslage – nicht irgendwann, sondern jetzt

Der vielleicht wichtigste qualitative Bruch im Lagebild ist die Rolle von "Artificial Intelligence" (AI). Das BKA formuliert vorsichtig, dass bislang keine polizeilichen Kennzahlen zum konkreten AI-Einsatz in Cybercrimedelikten vorliegen. Diese Vorsicht ist methodisch vielleicht richtig. Für die Risikobewertung reicht sie aber nicht aus. Denn die relevanten Signale kommen aus Forschung, Sicherheitsindustrie und den Missbrauchsberichten der Modellanbieter selbst.

Die von RiskNET aufgegriffene Studie "LLM Agents can Autonomously Exploit One-day Vulnerabilities" zeigte bereits im Jahr 2024, warum Large Language Models in der Cybersecurity eine neue Qualität besitzen: Mit detaillierten CVE-Beschreibungen konnte GPT-4 in der Studie reale One-day-Schwachstellen autonom mit hoher Erfolgsquote ausnutzen; ohne diese Kontextinformationen fiel die Erfolgsquote drastisch. Der Kernbefund ist nicht, dass LLMs magisch alles können. Der Kernbefund ist, dass sie mit ausreichendem Kontext technische Arbeitsschritte beschleunigen, orchestrieren und für weniger erfahrene Akteure zugänglich machen.

Aktuelle Entwicklungen verschärfen dieses Bild. Google Threat Intelligence berichtete im Mai 2026 über eine Reifung von AI-gestützten Angriffsabläufen hin zu industrielleren Workflows. Anthropic beschrieb bereits 2025 eine Kampagne, in der Claude nicht nur beratend, sondern agentisch in mehrstufige Cyberoperationen eingebunden wurde. Solche Fälle markieren keine flächendeckende Autonomie aller Angriffe, aber sie verschieben die Erwartung: AI ist nicht mehr nur Textgenerator für Phishing, sondern wird Koordinator, Recherchewerkzeug, Codehelfer und potenziell Exploit-Beschleuniger.

Für Cyberkriminelle bedeutet das eine Senkung der Eintrittshürden und eine Professionalisierung nach oben. Schlechte Phishing-Mails werden sprachlich fehlerfrei. Reconnaissance wird schneller. Schwachstelleninformationen werden besser zusammengeführt. Malware-Varianten können leichter angepasst werden. Täter-Opfer-Kommunikation wird mehrsprachig und professionell. Der Abstand zwischen bekannt gewordener Schwachstelle und Ausnutzung kann schrumpfen.

AI ist zugleich Risiko und Chance der Verteidigung

Die kritische Pointe lautet nicht, dass AI verboten oder aus Sicherheitsumgebungen ferngehalten werden müsste. Das wäre unrealistisch und strategisch falsch. Dieselbe Technologie, die Angreifer bei Phishing, Reconnaissance und Exploit-Entwicklung unterstützt, kann Verteidiger bei Log-Analyse, Anomalieerkennung, Codeprüfung, Schwachstellenpriorisierung und Incident Response entlasten. AI kann Frühwarnsignale verdichten, Muster über Datenquellen hinweg erkennen und Security-Teams bei der Triage unterstützen.

Die Frage ist daher nicht "AI ja oder nein", sondern: Wer operationalisiert AI schneller, kontrollierter und wirksamer? Auf der Angreiferseite ist der Innovationsdruck hoch, die Compliance niedrig und die Arbeitsteilung flexibel. Auf der Verteidigerseite stehen Datenschutz, Vergaberecht, föderale Zuständigkeiten, "Voodoo-Methoden", Legacy-IT und Fachkräftemangel. Genau daraus entsteht das Hase-und-Igel-Problem: Die Täter testen, kombinieren und verwerfen Werkzeuge in hoher Geschwindigkeit; die Abwehr diskutiert häufig noch Zuständigkeiten, Nachweispflichten und Beschaffungswege.

Eine moderne Cyberabwehr benötigt daher Data Analytics und AI nicht als dekoratives Zukunftsthema, sondern als operatives Kerninstrument. Sie muss Telemetriedaten aus Netzwerken, Endpunkten, Cloud-Umgebungen, Schwachstellenscans, Threat Intelligence und Meldedaten zusammenführen. Sie muss Muster erkennen, bevor das Lagebild Monate später publiziert wird. Sie muss nicht nur wissen, welche Assets existieren, sondern welche Angriffspfade, Abhängigkeiten und Schadensketten daraus entstehen.

Das Problem rückspiegelorientierter Checklisten

Hier liegt ein struktureller Zielkonflikt mit klassischen, stark asset-basierten Sicherheitsansätzen. Der bisherige IT-Grundschutz des BSI und vergleichbare Kataloglogiken haben einen unbestreitbaren Wert: Sie schaffen Mindeststandards, Vollständigkeit, Prüfbarkeit und organisatorische Disziplin. Für viele Organisationen sind sie der Einstieg in systematische Informationssicherheit.

Doch als wirksame Steuerungslogik reichen rückspiegelorientierte Checklisten nicht mehr aus. Eine Checkliste beantwortet, ob eine Maßnahme vorgesehen, dokumentiert oder geprüft wurde. Sie beantwortet nicht automatisch, ob ein Angriffspfad in der konkreten Systemlandschaft realistisch ausnutzbar ist, welche Abhängigkeiten im Krisenfall kippen, ob ein privilegierter Account missbraucht werden kann oder ob eine Schwachstelle gerade aktiv durch eine Tätergruppe operationalisiert wird.

Asset-basierte Ansätze laufen zudem Gefahr, in dynamischen Cloud-, SaaS- und Lieferkettenumgebungen der Wirklichkeit hinterherzulaufen. Heute entsteht Risiko nicht nur im einzelnen Server, sondern in Identitäten, Schnittstellen, Dienstleistern, Datenflüssen, APIs, Build-Pipelines und Berechtigungsketten. Wer nur Inventarlisten abhakt, sieht oft "den Wald vor lauter Assets" nicht.

Für Sicherheitsbehörden bedeutet das: Die Werkzeuge müssen sich weiterentwickeln. Weg von der bloßen Sammlung vergangener Vorfälle, hin zu datengetriebenen Risikomodellen, Angriffspfadanalysen, Korrelation von Indikatoren, automatisierter Priorisierung und AI-gestützter Mustererkennung. Das Lagebild der Zukunft darf nicht nur erklären, was im Vorjahr passiert ist. Es muss früher anzeigen, wo sich die nächste Welle aufbaut.

Föderalismus als Stärke – und als Reibungsverlust

Deutschland verfügt mit BKA, Landeskriminalämtern, Zentralstellen Cybercrime, Verfassungsschutzbehörden, BSI, Datenschutzaufsichten und spezialisierten Staatsanwaltschaften über ein dichtes institutionelles Netz. Dieses Netz kann Stärke sein: Nähe zu Betroffenen, regionale Expertise, Spezialisierung und Redundanz. Das Bundeslagebild zeigt auch operative Erfolge, etwa zentrale Ermittlungen, internationale Takedowns und Maßnahmen gegen Infrastrukturen, Kryptowährungsdienste und Malware-Familien.

Gleichzeitig erzeugt die föderale Struktur Reibungsverluste. Cyberangriffe halten sich nicht an Landesgrenzen. Ein Ransomware-Akteur attackiert innerhalb weniger Stunden Unternehmen in mehreren Bundesländern, nutzt Server in Drittstaaten, wäscht Geld über Kryptodienste und kommuniziert über internationale Plattformen. Wenn Ermittlungs-, Melde- und Analysestrukturen zu stark fragmentiert sind, entsteht Zeitverlust. Und Zeit ist im Cyberraum eine kritische Ressource.

Europa steht vor einem ähnlichen Problem auf höherer Ebene. Mit Europol, Eurojust, ENISA, nationalen CERTs und neuen regulatorischen Rahmenwerken wächst die Koordination. Doch die Angreifer agieren nicht als Behördenverbund, sondern als Markt. Sie kaufen Initial Access, mieten Botnetze, nutzen Malware-as-a-Service, handeln Daten, lagern Geldwäsche aus und professionalisieren Verhandlungen. Gegen einen solchen Markt reicht institutionelle Kooperation allein nicht aus; erforderlich ist operative Interoperabilität.

Wirksamkeit entsteht, wenn föderale Strukturen Daten, Taktiken, Indikatoren und Lessons Learned so austauschen, dass aus vielen Zuständigkeiten ein gemeinsames Lageverständnis wird. Dazu gehören standardisierte Datenmodelle, gemeinsame Analyseplattformen, schnellere Meldewege, klare Führungslogiken bei Wellenangriffen und rechtssichere Möglichkeiten zur automatisierten Auswertung. Föderalismus darf im Cyberraum nicht bedeuten, dass jeder denselben Angriff neu kennenlernt.

Die massive Professionalisierung der "Bösen"

Der Begriff "Hacker" verharmlost häufig, was das BKA beschreibt. Viele Tätergruppen handeln nicht improvisiert, sondern unternehmerisch. Es gibt Rollen, Lieferketten, Spezialisierung und Serviceangebote. Initial-Access-Broker verkaufen Zugänge. Ransomware-Gruppen arbeiten mit Affiliates. Kryptowährungsdienste und Mixer erschweren die Rückverfolgung. Dedicated Leak Sites dienen als Druckinstrument und Marketingkanal. Hacktivistische Gruppen koppeln technische Störung mit Propaganda.

Professionalisierung bedeutet auch Anpassungsfähigkeit. Wenn eine Infrastruktur zerschlagen wird, entsteht Rebranding. Wenn Verschlüsselung weniger wirkt, nimmt Data Extortion zu. Wenn Opfer seltener zahlen, steigen Forderungen. Wenn klassische Malware-Signaturen greifen, werden Varianten verändert. Wenn eine politische Lage Aufmerksamkeit verspricht, werden DDoS-Kampagnen in diese Erzählung eingebettet.

Diese Lernfähigkeit ist der eigentliche Gegner. Nicht die einzelne Malware-Familie, nicht der einzelne Botnet-Server, nicht der einzelne Phishing-Text. Der Gegner ist ein adaptives System. Deshalb müssen auch Unternehmen und Behörden ihre Sicherheitsarchitektur als lernendes System verstehen. Jede Übung, jeder Near Miss, jeder abgewehrte Angriff und jede Schwachstellenmeldung muss in verbesserte Kontrollen, Playbooks und Entscheidungswege übersetzt werden.

Was Unternehmen aus dem Lagebild ableiten müssen

Für Unternehmen reicht es nicht, das Bundeslagebild als Polizeistatistik zu lesen. Es ist ein Risikobericht. Ransomware betrifft Liquidität, Lieferfähigkeit, Reputation, Datenschutz, Haftung und Geschäftsfortführung. DDoS betrifft Kundenzugang, öffentliche Wahrnehmung und Verfügbarkeit digitaler Leistungen. AI-gestützte Angriffe betreffen die Geschwindigkeit der Schwachstellenausnutzung und die Qualität sozialer Manipulation.

Die Konsequenz ist eine stärkere Verknüpfung von Informationssicherheit, Risikomanagement, Business Continuity Management, Datenschutz, Compliance, Interner Revision und Unternehmensleitung. Cyberrisiken müssen nicht nur technisch beschrieben, sondern in Szenarien übersetzt werden: Welche Geschäftsprozesse fallen aus? Welche Daten sind erpressbar? Welche Dienstleister sind kritisch? Welche Wiederanlaufzeiten sind realistisch? Welche Entscheidung trifft der Vorstand in den ersten zwölf Stunden? Welche Kommunikation erfolgt gegenüber Kunden, Behörden und Öffentlichkeit?

Resilienz zeigt sich nicht im Zertifikat, sondern im Ereignis. Backups sind nur dann wirksam, wenn sie isoliert, aktuell, getestet und in angemessener Zeit zurückspielbar sind. Incident-Response-Pläne sind nur dann wirksam, wenn Zuständigkeiten, Kommunikationswege und externe Partner eingeübt sind. Schwachstellenmanagement ist nur dann wirksam, wenn Priorisierung auf Bedrohungsinformationen, Exponierung und Geschäftsrelevanz beruht – nicht auf CVSS-Scores allein.

Fazit: Das Hase-und-Igel-Rennen entscheidet sich an der Lernfähigkeit

Das Bundeslagebild Cybercrime 2025 ist ein Warnsignal gegen Selbstberuhigung. Die Fallzahlen zeigen eine hohe Belastung, die Ransomware-Daten eine robuste Erpressungsökonomie, die DDoS-Zahlen eine politisierte Störungslandschaft und die AI-Entwicklung eine qualitative Beschleunigung. Gleichzeitig zeigen die operativen Erfolge der Strafverfolgung, dass Disruption möglich ist: Infrastrukturen können abgeschaltet, Vermögenswerte gesichert, Botnetze gestört und Plattformen zerschlagen werden.

Aber Disruption allein gewinnt das Rennen nicht. Im Märchen gewinnt der Igel, weil er schon dort ist, wo der Hase erst hinrennt. In der Cyberrealität darf dieser Vorteil nicht dauerhaft bei den Tätern liegen. Dafür muss die Verteidigung schneller lernen: durch bessere Daten, bessere Analytik, verbindlichere Meldewege, realistischere Übungen, szenario-basierte Risikosteuerung und den kontrollierten Einsatz von AI.

Die entscheidende Frage für 2026 lautet daher nicht, ob es mehr Cyberangriffe geben wird. Davon ist auszugehen. Die entscheidende Frage lautet, ob Deutschland, seine Unternehmen und seine Sicherheitsbehörden aus einer reaktiven Lageberichterstattung eine präventive, adaptive und datengetriebene Sicherheitsarchitektur entwickeln. Wer im Cyberraum nur in den Rückspiegel schaut, wird die nächste Angriffswelle erst dann sehen, wenn sie bereits im System ist.

 

[ Bildquelle Titelbild: Generiert mit AI ]
Themengebiete
In Verbindung stehende Artikel
Von der Risikoskizze zur RechenlogikVon der Risikoskizze zur Rechenlogik
Jeder KI-Agent könnte ein Schläfer seinJeder KI-Agent könnte ein Schläfer sein
Warum kennen nur wenige Risikomanager Bayes?Warum kennen nur wenige Risikomanager Bayes?
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.