Wie steht es um die IT-Sicherheit in Deutschland? Expertenkommentare zum BSI Lagebericht 2025
13.11.2025
Der Bericht zur Lage der IT-Sicherheit 2025 des BSI sendet ein unmissverständliches Signal: Die Lage in Deutschland bleibt auf einem angespannten Niveau. Trotz operativer Erfolge, wie der Zerschlagung der LockBit-Gruppe, gibt es keine Entwarnung. Das BSI benennt hierfür einen zentralen Hauptverursacher: die „unzureichend geschützten Angriffsflächen“
Befeuert wird diese wachsende Verwundbarkeit durch eine Flut von durchschnittlich 119 neuen Schwachstellen pro Tag – ein Anstieg von 24 Prozent. Diese reichen von klassischen Softwarefehlern über „Insecure Design“ bis hin zu kompromittierten IoT-Geräten, die bereits ab Werk mit Schadsoftware infiziert sind. Die Konsequenzen sind verheerend: Angreifer nutzen dies für Exploitation-Angriffe (+38 %) und erzielen durch die Kombination aus Datenverschlüsselung und Datenabfluss (Leaks) die durchschnittlich höchsten Lösegelder seit Beginn der Aufzeichnungen. Die Kernaussage des BSI lautet daher: Backups sind essenziell, helfen aber nicht gegen Datenleaks – der Schutz der Angriffsfläche ist der entscheidende Hebel.
Zwei weitere Erkenntnisse des Berichts sind besonders alarmierend. Erstens: Angreifer fokussieren sich auf „leichte Beute“. Rund 80 Prozent der Ransomware-Angriffe treffen kleine und mittlere Unternehmen (KMU). Hier klafft eine gefährliche Wahrnehmungslücke: Während 91 Prozent der KMU ihre eigene Sicherheit als „gut“ einschätzen, erfüllen sie laut BSI im Schnitt nur 56 Prozent der Basisanforderungen des CyberRisikoChecks.
Zweitens: Der Faktor Mensch wird zur Achillesferse. Im zweiten Jahr in Folge sind sowohl die Bekanntheit als auch die Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA) und Passwortmanager bei den Bürgern rückläufig. Als Hauptgrund wird genannt, dass die Maßnahmen als „zu kompliziert“ empfunden werden. Diese wachsende „digitale Sorglosigkeit“ reißt eine fatale Lücke zwischen der eskalierenden Bedrohungslage und der notwendigen persönlichen Verteidigungsbereitschaft.
So sehen es die Vordenker der Branche:
Peter Machat, Senior Director EMEA Central bei Armis
Die digitale Landschaft wird zunehmend komplexer, da immer mehr Geräte, Systeme und Dienste miteinander vernetzt sind. Der stetige Anstieg an Schwachstellen und die wachsende Interkonnektivität markieren einen Wendepunkt in der Cybersicherheit. Organisationen stehen nicht mehr vor einzelnen Problemen, die sich mit einem einfachen Patch beheben lassen, sondern vor einer sich stetig ausweitenden Angriffsfläche, die IT-, OT- und IoT-Umgebungen gleichermaßen umfasst.
Für die kritische Infrastruktur in Deutschland ist es daher unerlässlich, die Resilienz zu stärken. Krankenhäuser, Versorgungsunternehmen und andere essenzielle Einrichtungen können vernetzten Geräten nicht länger blind vertrauen. Nur durch vollständige Transparenz über alle Assets und ein konsequentes Cyber Exposure Management lassen sich Risiken wirksam erkennen, bewerten und eindämmen, bevor sie zu gravierenden Störungen führen.
Eric Litowsky, Regional Director bei BlueVoyant
Zwei Erkenntnisse des Berichts müssen Security-Verantwortlichen besonders zu denken geben. Zum einen die Erwähnung von Access Brokern, die gestohlene Zugangsdaten im Darknet handeln, zeigt, dass der Angriff oft schon stattgefunden hat, bevor er im eigenen Netz sichtbar wird.
Die zweite Erkenntniss: Die kompromittierten IoT-Geräte, die bereits infiziert aus der Fabrik kommen, sind der ultimative Beweis für das enorme Third-Party-Risiko. Unternehmen sind heute nur so sicher wie das schwächste Glied in ihrer digitalen Lieferkette. Ein kontinuierliches Monitoring des Darknets und der externen Angriffsfläche ist daher unerlässlich.
Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point
Der Bericht bestätigt, was sich bereits seit Jahren abzeichnet: Cybersicherheit ist kein Zustand, sondern ein Prozess. Widerstandsfähigkeit entsteht nicht durch Reaktion, sondern durch vorausschauende Vorbereitung – und durch das konsequente Umsetzen von Prinzipien wie Zero Trust und Intrusion Kill Chain. Nur so lässt sich die digitale Souveränität nachhaltig sichern
Max Imbiel, Field CISO DACH bei Cloudflare
Der BSI-Lagebericht 2025 ist kein Alarmruf mehr – er ist die Bestätigung der neuen Normalität. Die Fortschritte bei KRITIS sind gut, aber die mangelhafte Umsetzung von Basisthemen und Cyber Hygiene in der Breite bleibt besorgniserregend. Schwachstellen und damit Angriffsflächen wachsen schneller, als die meisten IT-Teams patchen können. Gleichzeitig sinkt das Risikobewusstsein in der Bevölkerung, sich auf den "Faktor Mensch" als letzte Verteidigungslinie zu verlassen, ist eine verlorene Wette.
Als CISOs müssen wir aufhören, der Komplexität mit noch mehr Silo-Tools zu begegnen. Der Weg zu mehr Resilienz, den das BSI fordert, führt über Plattform-Konsolidierung, konsequente Implementierung von Zero Trust und die Absicherung unserer Anwendungen an der Netzwerkgrenze.
Robert Frank, Area Vice President Central Europe bei Digicert
Unzureichend geschützte Angriffsflächen haben häufig mit der Verwaltung von Zertifikaten und Schlüsseln zu tun. Wenn Zertifikate verstreut liegen, Schlüssel unübersichtlich verwaltet werden oder Erneuerungen manuell erfolgen, entstehen unnötige Risiken bis hin zu Ausfällen und Datenabfluss. Eine zentrale Vertrauensinfrastruktur mit automatisiertem Zertifikats Lebenszyklus, klaren Richtlinien und überprüfbaren Nachweisen schafft hier Ordnung und Sicherheit. Sie legt zugleich die Basis für passwortarme oder passwortlose Zugriffe und bereitet den geordneten Wechsel auf neue kryptografische Verfahren vor.
Kristian von Mejer, Director, Central & Eastern Europe bei Forescout
Die diesjährigen Enthüllungen zu IoT-Gefahren sind ein Weckruf. Wenn Geräte bereits ab Werk infiziert in den Handel kommen, entsteht ein unkalkulierbares Risiko. Für Betreiber Kritischer Infrastrukturen, deren IT- und OT-Netze immer stärker zusammenwachsen, ist diese Entwicklung existenzbedrohend. Ein reaktiver Sicherheitsansatz ist hier zum Scheitern verurteilt. Unternehmen müssen dringend zu einer proaktiven Risikosteuerung übergehen. Die unverzichtbare Basis dafür ist eine vollständige Echtzeit-Transparenz über absolut jedes Gerät im Netzwerk, egal ob IT, IoT oder OT.
Frank Heisel, Co-CEO bei RISK IDENT
Die aktuellen Zahlen zur Cyberkriminalität müssen jeden Online-Händler aufrütteln. Der Betrug beim Online-Shopping grassiert, und neue Angriffsvektoren wie Quishing zielen direkt auf den Bezahlvorgang. Kriminelle imitieren gezielt Händler-Marken, um an Kundendaten zu gelangen.
Für Shops steht damit mehr auf dem Spiel als nur der einzelne Umsatz. Wenn sie ihre Kundenkonten und den Checkout nicht proaktiv absichern, verspielen sie das Wichtigste überhaupt: das Vertrauen ihrer Kunden.
Patrick Scholl, Director OT CoE bei Infinigate
Der aktuelle BSI-Lagebericht 2025 hebt die positive Entwicklung bei KRITIS-Resilienz und Sicherheitsmaßnahmen hervor – ein deutliches Signal, dass Investitionen und Compliance-Initiativen Wirkung zeigen. Resilienz ist kein Zufall, sondern das Ergebnis strukturierter Sicherheitsarbeit, gelebter Compliance und vernetzter Verantwortung.
Mit Blick auf die kommende gesetzliche NIS2-Umsetzung verschiebt sich der Fokus weiter von proaktiver IT-Sicherheit zu integrierter OT-Sicherheit und ganzheitlicher Risikovorsorge. Das Zusammenspiel von Regulatorik, Technologie und Verantwortung in der Führungsebene wird mehr denn je sicherheitsentscheidend – besonders in kritischen Infrastrukturen und Produktionsumgebungen.
Lars Christiansen, RVP DACH bei JFrog
Die Entdeckung von Schadsoftware, die – wie im Fall von Badbox – bereits ab Werk auf Geräten vorinstalliert ist, verlagert das Sicherheitsproblem direkt in den Entwicklungsprozess und offenbart ein massives Risiko in der Software-Lieferkette. Sicherheitsprüfungen am Ende der Pipeline reichen nicht mehr aus, wenn ein Produkt schon vor der Auslieferung kompromittiert ist. Diese Herausforderung wird durch den Einsatz von KI weiter verschärft.
Der Bericht ist besonders relevant, da die NIS2-Richtlinie in Kürze in Kraft tritt und Unternehmen strengeren Cybersicherheitsvorgaben unterliegen. Das BSI warnt zu Recht vor Risiken wie „bösartigen Trainingsdaten“ für KI-Systeme. Für das DevOps-Umfeld bedeutet das: KI-Modelle sind zum neuen Open-Source-Code geworden. Unternehmen benötigen daher dringend eine zentrale, sichere Plattform, um alle Software-Artefakte – ob Code, Binärdatei oder ML-Modell – kontinuierlich zu prüfen und zu verwalten, von der Entwicklung bis in die Cloud.
Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor
Das BSI selbst hat im Berichtszeitraum die erste quantensichere Smartcard zertifiziert und fordert zum Übergang zur Post-Quanten-Kryptographie auf. Das unterstreicht die Dringlichkeit, sich jetzt auf die Quanten-Bedrohung vorzubereiten. Es geht nicht mehr um das ‚ob‘, sondern nur noch um das ‚wann‘.
Viele Unternehmen wissen aber nicht einmal, wo ihre kryptografischen Schlüssel liegen, geschweige denn, wie sie diese austauschen sollen. Der erste Schritt zur Quanten-Resilienz ist ‚Crypto-Agility‘: Unternehmen müssen ihre PKI automatisieren und managen, um in der Lage zu sein, veraltete Schlüssel auf Knopfdruck gegen PQC-Algorithmen zu tauschen.
Michael Heuer, Area VP Central Europe / DACH bei Keepit
Die Analyse zu Ransomware lässt dieses Jahr aufhorchen. Angreifer kombinieren Verschlüsselung mit Datenlecks und erzielen so Rekord-Lösegelder. Damit ist klar, dass ein traditionelles Backup als alleinige Antwort auf Erpressungstrojaner ausgedient hat.
Unternehmen müssen die Verantwortung für ihre Daten in der Cloud selbst übernehmen, anstatt sich auf den Provider zu verlassen. Echte Cyberresilienz bedeutet, eine separate, unveränderliche Kopie dieser Daten zu besitzen. Nur so bleiben Unternehmen im Ernstfall handlungsfähig, können Daten schnell wiederherstellen und Compliance-Anforderungen erfüllen.
Matthias Canisius, Head of Sales bei Keyfactor
Wachsende Angriffsflächen sprechen eine deutliche Sprache: allein 119 neue Schwachstellen täglich, dies entspricht einem Anstieg von 24 % gegenüber dem letzten Berichtszeitraum.
Diese Zahlen unterstreichen die Notwendigkeit, unsere präventiven Maßnahmen zu überdenken, um nicht komplett den Anschluss zu verlieren. Dabei wird deutlich, wie wichtig eine nachvollziehbare Priorisierung ist und die damit verbundene Möglichkeit, an der richtigen Stelle die offene Flanke wirksam zu schließen. Also Schwachstellen nicht nur aufzuzeigen, sondern auch die notwendigen Maßnahmen einleiten, um diese schnell, automatisch und nachhaltig aufzulösen.
Thomas Müller-Martin, Field Strategist DACH bei Omada
Der aktuelle BSI-Lagebericht zeigt deutlicher denn je: Cyber-Security ist nicht nur eine technische Disziplin, sondern ein gesellschaftlicher Erfolgsfaktor. Man konnte über die letzten Jahre beobachten, dass Angriffe komplexer, automatisierter und auch vernetzter werden. Daher müssen Sicherheitsansätze nicht nur in der Lage sein, zu reagieren, sondern eigenständig vorausdenken. Die digitale Identität ist dabei längst ein zentraler Anker moderner Sicherheitsarchitekturen.
Die Lehren, die man aus dem jüngsten Bericht ziehen sollte, sind eindeutig: Zukunftsfähige Sicherheit erfordert Lösungen, die Schutz, Skalierbarkeit und Benutzerfreundlichkeit zu einem intelligenten Gesamtsystem verbinden. Wer dementsprechend Cyber-Security bereits heute als Innovationsmotor begreift, der gestaltet die digitale Zukunft aktiv mit – statt sie nur zu verteidigen.
Alexander Ingelheim, CEO und Mitgründer von Proliance
Eine der gefährlichsten Schwachstellen ist offenbar die Fehleinschätzung im eigenen Haus. Wenn 91 Prozent der KMU ihre Sicherheit für 'gut' halten, aber im Schnitt nicht einmal 56 Prozent der Grundanforderungen erfüllen, ist das keine Sicherheitsstrategie, sondern ein Blindflug. Diese Lücke in der Selbstwahrnehmung ist genau das, was Angreifer als 'leichte Beute' ausnutzen.
Für diese Unternehmen ist die bevorstehende NIS2-Regulierung kein Bürokratiemonster, sondern eine dringend nötige Leitplanke. Sie zwingt Unternehmen, ihr Risikomanagement endlich auf eine reale Datengrundlage zu stellen und Informationssicherheit nachweisbar zu machen. Umso besser, dass auch unsere Zahlen zeigen: die Wirtschaft steht mehrheitlich hinter NI2 – über die Hälfte der befragten Unternehmen sehen verschärfte Regulierungen positiv.
Jörg Vollmer, General Manager, Field Operations, DACH & CEE bei Qualys
Die BSI-Zahl von 119 neuen Schwachstellen pro Tag muss der letzte Weckruf für Unternehmen sein, die noch auf manuelle Prozesse setzen. Diese unkontrollierbare Flut ist der wahre Grund für die unzureichend geschützten Angriffsflächen‘, die das BSI zu Recht als Kernproblem nennt. Sicherheitsteams können diesen Wettlauf ohne massive Automatisierung nicht mehr gewinnen.
Gleichzeitig sehen wir, dass die Risiken weit über einzelne Server hinausgehen. Von ‚Injection‘-Fehlern in Webanwendungen bis zu den eklatanten Compliance-Lücken im Mittelstand wird klar, dass Unternehmen eine konsolidierte Sicht brauchen. Ein Flickenteppich aus Einzellösungen reicht nicht mehr, um IT-Systeme, Workloads und Web-Applikationen effektiv zu schützen und die Compliance nachzuweisen.
Frank Strecker, CEO bei Skaylink
Die digitale Transformation vergrößert unweigerlich die Angriffsflächen, wie die aktuellen Zahlen eindrücklich belegen. Viele Unternehmen, insbesondere der Mittelstand, sind mit der Absicherung dieser komplexen neuen Cloud- und On-Premise-Welten sichtlich überfordert. Sie werden zur ‚leichten Beute‘, weil ihnen die Ressourcen für ein lückenloses Schwachstellen-Management fehlen.
Hier muss ein Umdenken stattfinden. Professionelle Managed Cloud Services sind kein Luxus mehr, sondern die Grundvoraussetzung, um die geforderte Resilienz überhaupt erst zu erreichen. Sie sind der effektivste Weg, um Sicherheit und Compliance-Anforderungen wie NIS2 dauerhaft und professionell umzusetzen.
Sebastian Cler, Chief Sales & Operations Officer bei SpaceNet
Als deutscher Infrastrukturanbieter stellen wir verlässliche, transparente und souveräne IT-Infrastrukturen für Unternehmen und Organisationen in unseren Hochsicherheitsrechenzentren in München bereit. Denn Vertrauen bildet das Rückgrat der Cyberabwehr und es geht dabei nicht nur um Technik. Wirksamer Schutz entsteht durch das reibungslose Zusammenspiel von sicheren Prozessen, resilienter Technik und den Menschen, welche die Technik bedienen in den Unternehmen.
Sergej Epp, Chief Information Security Officer bei Sysdig
119 neue Sicherheitslücken pro Tag: Die neuen BSI-Zahlen machen Schlagzeilen - und das völlig zu Recht. Ein Aspekt wird dabei aber nicht ausreichend beleuchtet: Würde man überhaupt merken, wenn jemand eine dieser Schwachstellen in unserer Cloud ausnutzt?
Die unbequeme Wahrheit, der sich CISOs gegenüber sehen: Die meisten Security-Teams haben noch nicht die Kapazität und Fähigkeit aufgebaut, Cloud-Angriffe zu untersuchen und in Echtzeit darauf zu reagieren. Man kann Compliance-Checklisten abhaken, Fehlkonfigurationen finden – aber einen aktiven Angriff in der Cloud in Echtzeit erkennen und stoppen? Das ist eine komplett andere Liga.
Der BSI-Lagebericht zeigt uns das Tempo, indem Bedrohungsakteure ihre Taktiken, Tricks und Technologien adaptieren. Das Tempo, mit dem Unternehmen ihre Teams im Gegenzug befähigen, Cloud-Security adäquat weiterzuentwickeln, ist im Vergleich viel zu langsam. Es gilt nun, dieses Problem anzuerkennen und proaktiv an einer Lösung zu arbeiten, um den Cyberkriminellen wieder einen Schritt voraus zu sein.
Zac Warren, Chief Security Advisor EMEA bei Tanium
Wir ertrinken in Schwachstellen, mit 119 neuen pro Tag, aber das eigentliche Problem ist die mangelnde IT-Hygiene. Die größten Einfallstore sind nach wie vor veraltete und ungepatchte Systeme. Angreifer wissen das und nutzen es aus; sie setzen sogar gezielt EDR-Killer ein, um eine lückenhafte Verteidigung komplett auszuhebeln.
Genau hier zeigt sich die Schwäche vieler Sicherheitskonzepte - Man kann nicht schützen, was man nicht sieht. Ohne eine 100-prozentige, akkurate Echtzeit-Sichtbarkeit und Kontrolle über jeden einzelnen Endpoint bleibt jede Verteidigungsstrategie ein reines Glücksspiel.
Sebastian Lacour, Senior Manager Channels Germany bei Veeam
Die Nachricht, dass die polizeiliche Verfolgung von Ransomware-as-a-Service-Gruppen Früchte trägt, ist großartig. Cybercrime und speziell Ransomware sind Bedrohungen, die sich langfristig nur durch die Zusammenarbeit zwischen Industrie und Behörden bekämpfen lässt, denn: Jedes Unternehmen, das Lösegeld bezahlt, finanziert direkt den nächsten Angriff. Um sich selbst einem Test in Sachen Ransomware-Readiness zu unterziehen, empfiehlt sich beispielsweise das Data Resilience Maturity Model (DRMM), welches für Unternehmen, mit komplexen internen Abhängigkeiten, eine Hilfe sein kann, um das eigene Risiko ganzheitlich besser einschätzen und daraufhin wichtige Maßnahmen kompetenzübergreifend durchführen zu können.
Generell gilt - für KMU sowie für Konzerne - wer sich proaktiv mit potenziellen Risiken und Maßnahmen zur Verbesserung der Resilienz auseinandersetzt, der sorgt bereits jetzt dafür, dass wir im Lagebericht 2026 noch mehr gute Nachrichten erwarten können.
Alexander Koch, SVP Sales EMEA
Die vielleicht alarmierendste Erkenntnis dieses Jahres ist die wachsende 'digitale Sorglosigkeit' der Bürger. Die Nutzung essenzieller Schutzmaßnahmen wie 2FA geht zurück, weil sie als zu kompliziert empfunden werden. Diese Lücke zwischen der hohen Phishing-Bedrohung und dem Anwenderverhalten ist fatal.
Die Antwort darauf kann nur Technologie sein, die beides ist: maximal sicher und gleichzeitig intuitiv. Phishing-resistente Methoden wie Passkeys, idealerweise auf Hardware-Token, lösen genau dieses Dilemma und machen Sicherheit endlich einfach.
Gerald Eid, Regional Managing Director DACH bei Getronics
Die Lagebeschreibung des BSI bestätigt, was viele Unternehmen im Alltag erleben. Sicherheit scheitert selten an einzelnen Produkten, sondern an fehlender Übersicht und fehlenden Abläufen. Resilienz entsteht, wenn Verantwortliche ihre Systeme und Abhängigkeiten vollständig sehen, Risiken priorisiert bearbeiten und Notfallprozesse regelmäßig erproben. Ein plattformgestützter und gemanagter Sicherheitsbetrieb hilft dabei, Silos aufzulösen, Lieferketten im Blick zu behalten und Vorgaben wie NIS2 verlässlich umzusetzen. So wird aus reaktiver Abwehr ein belastbarer Prozess, der dauerhaft wirkt und zukünftigen Anforderungen standhält.
Wie steht es um die IT-Sicherheit in Deutschland? Expertenkommentare zum BSI Lagebericht 2025
13.11.2025
Der Bericht zur Lage der IT-Sicherheit 2025 des BSI sendet ein unmissverständliches Signal: Die Lage in Deutschland bleibt auf einem angespannten Niveau. Trotz operativer Erfolge, wie der Zerschlagung der LockBit-Gruppe, gibt es keine Entwarnung. Das BSI benennt hierfür einen zentralen Hauptverursacher: die „unzureichend geschützten Angriffsflächen“
Befeuert wird diese wachsende Verwundbarkeit durch eine Flut von durchschnittlich 119 neuen Schwachstellen pro Tag – ein Anstieg von 24 Prozent. Diese reichen von klassischen Softwarefehlern über „Insecure Design“ bis hin zu kompromittierten IoT-Geräten, die bereits ab Werk mit Schadsoftware infiziert sind. Die Konsequenzen sind verheerend: Angreifer nutzen dies für Exploitation-Angriffe (+38 %) und erzielen durch die Kombination aus Datenverschlüsselung und Datenabfluss (Leaks) die durchschnittlich höchsten Lösegelder seit Beginn der Aufzeichnungen. Die Kernaussage des BSI lautet daher: Backups sind essenziell, helfen aber nicht gegen Datenleaks – der Schutz der Angriffsfläche ist der entscheidende Hebel.
Zwei weitere Erkenntnisse des Berichts sind besonders alarmierend. Erstens: Angreifer fokussieren sich auf „leichte Beute“. Rund 80 Prozent der Ransomware-Angriffe treffen kleine und mittlere Unternehmen (KMU). Hier klafft eine gefährliche Wahrnehmungslücke: Während 91 Prozent der KMU ihre eigene Sicherheit als „gut“ einschätzen, erfüllen sie laut BSI im Schnitt nur 56 Prozent der Basisanforderungen des CyberRisikoChecks.
Zweitens: Der Faktor Mensch wird zur Achillesferse. Im zweiten Jahr in Folge sind sowohl die Bekanntheit als auch die Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung (2FA) und Passwortmanager bei den Bürgern rückläufig. Als Hauptgrund wird genannt, dass die Maßnahmen als „zu kompliziert“ empfunden werden. Diese wachsende „digitale Sorglosigkeit“ reißt eine fatale Lücke zwischen der eskalierenden Bedrohungslage und der notwendigen persönlichen Verteidigungsbereitschaft.
So sehen es die Vordenker der Branche:
Peter Machat, Senior Director EMEA Central bei Armis
Die digitale Landschaft wird zunehmend komplexer, da immer mehr Geräte, Systeme und Dienste miteinander vernetzt sind. Der stetige Anstieg an Schwachstellen und die wachsende Interkonnektivität markieren einen Wendepunkt in der Cybersicherheit. Organisationen stehen nicht mehr vor einzelnen Problemen, die sich mit einem einfachen Patch beheben lassen, sondern vor einer sich stetig ausweitenden Angriffsfläche, die IT-, OT- und IoT-Umgebungen gleichermaßen umfasst.
Für die kritische Infrastruktur in Deutschland ist es daher unerlässlich, die Resilienz zu stärken. Krankenhäuser, Versorgungsunternehmen und andere essenzielle Einrichtungen können vernetzten Geräten nicht länger blind vertrauen. Nur durch vollständige Transparenz über alle Assets und ein konsequentes Cyber Exposure Management lassen sich Risiken wirksam erkennen, bewerten und eindämmen, bevor sie zu gravierenden Störungen führen.
Eric Litowsky, Regional Director bei BlueVoyant
Zwei Erkenntnisse des Berichts müssen Security-Verantwortlichen besonders zu denken geben. Zum einen die Erwähnung von Access Brokern, die gestohlene Zugangsdaten im Darknet handeln, zeigt, dass der Angriff oft schon stattgefunden hat, bevor er im eigenen Netz sichtbar wird.
Die zweite Erkenntniss: Die kompromittierten IoT-Geräte, die bereits infiziert aus der Fabrik kommen, sind der ultimative Beweis für das enorme Third-Party-Risiko. Unternehmen sind heute nur so sicher wie das schwächste Glied in ihrer digitalen Lieferkette. Ein kontinuierliches Monitoring des Darknets und der externen Angriffsfläche ist daher unerlässlich.
Thomas Boele, Regional Director Sales Engineering CER/DACH bei Check Point
Der Bericht bestätigt, was sich bereits seit Jahren abzeichnet: Cybersicherheit ist kein Zustand, sondern ein Prozess. Widerstandsfähigkeit entsteht nicht durch Reaktion, sondern durch vorausschauende Vorbereitung – und durch das konsequente Umsetzen von Prinzipien wie Zero Trust und Intrusion Kill Chain. Nur so lässt sich die digitale Souveränität nachhaltig sichern
Max Imbiel, Field CISO DACH bei Cloudflare
Der BSI-Lagebericht 2025 ist kein Alarmruf mehr – er ist die Bestätigung der neuen Normalität. Die Fortschritte bei KRITIS sind gut, aber die mangelhafte Umsetzung von Basisthemen und Cyber Hygiene in der Breite bleibt besorgniserregend. Schwachstellen und damit Angriffsflächen wachsen schneller, als die meisten IT-Teams patchen können. Gleichzeitig sinkt das Risikobewusstsein in der Bevölkerung, sich auf den "Faktor Mensch" als letzte Verteidigungslinie zu verlassen, ist eine verlorene Wette.
Als CISOs müssen wir aufhören, der Komplexität mit noch mehr Silo-Tools zu begegnen. Der Weg zu mehr Resilienz, den das BSI fordert, führt über Plattform-Konsolidierung, konsequente Implementierung von Zero Trust und die Absicherung unserer Anwendungen an der Netzwerkgrenze.
Robert Frank, Area Vice President Central Europe bei Digicert
Unzureichend geschützte Angriffsflächen haben häufig mit der Verwaltung von Zertifikaten und Schlüsseln zu tun. Wenn Zertifikate verstreut liegen, Schlüssel unübersichtlich verwaltet werden oder Erneuerungen manuell erfolgen, entstehen unnötige Risiken bis hin zu Ausfällen und Datenabfluss. Eine zentrale Vertrauensinfrastruktur mit automatisiertem Zertifikats Lebenszyklus, klaren Richtlinien und überprüfbaren Nachweisen schafft hier Ordnung und Sicherheit. Sie legt zugleich die Basis für passwortarme oder passwortlose Zugriffe und bereitet den geordneten Wechsel auf neue kryptografische Verfahren vor.
Kristian von Mejer, Director, Central & Eastern Europe bei Forescout
Die diesjährigen Enthüllungen zu IoT-Gefahren sind ein Weckruf. Wenn Geräte bereits ab Werk infiziert in den Handel kommen, entsteht ein unkalkulierbares Risiko. Für Betreiber Kritischer Infrastrukturen, deren IT- und OT-Netze immer stärker zusammenwachsen, ist diese Entwicklung existenzbedrohend. Ein reaktiver Sicherheitsansatz ist hier zum Scheitern verurteilt. Unternehmen müssen dringend zu einer proaktiven Risikosteuerung übergehen. Die unverzichtbare Basis dafür ist eine vollständige Echtzeit-Transparenz über absolut jedes Gerät im Netzwerk, egal ob IT, IoT oder OT.
Frank Heisel, Co-CEO bei RISK IDENT
Die aktuellen Zahlen zur Cyberkriminalität müssen jeden Online-Händler aufrütteln. Der Betrug beim Online-Shopping grassiert, und neue Angriffsvektoren wie Quishing zielen direkt auf den Bezahlvorgang. Kriminelle imitieren gezielt Händler-Marken, um an Kundendaten zu gelangen.
Für Shops steht damit mehr auf dem Spiel als nur der einzelne Umsatz. Wenn sie ihre Kundenkonten und den Checkout nicht proaktiv absichern, verspielen sie das Wichtigste überhaupt: das Vertrauen ihrer Kunden.
Patrick Scholl, Director OT CoE bei Infinigate
Der aktuelle BSI-Lagebericht 2025 hebt die positive Entwicklung bei KRITIS-Resilienz und Sicherheitsmaßnahmen hervor – ein deutliches Signal, dass Investitionen und Compliance-Initiativen Wirkung zeigen. Resilienz ist kein Zufall, sondern das Ergebnis strukturierter Sicherheitsarbeit, gelebter Compliance und vernetzter Verantwortung.
Mit Blick auf die kommende gesetzliche NIS2-Umsetzung verschiebt sich der Fokus weiter von proaktiver IT-Sicherheit zu integrierter OT-Sicherheit und ganzheitlicher Risikovorsorge. Das Zusammenspiel von Regulatorik, Technologie und Verantwortung in der Führungsebene wird mehr denn je sicherheitsentscheidend – besonders in kritischen Infrastrukturen und Produktionsumgebungen.
Lars Christiansen, RVP DACH bei JFrog
Die Entdeckung von Schadsoftware, die – wie im Fall von Badbox – bereits ab Werk auf Geräten vorinstalliert ist, verlagert das Sicherheitsproblem direkt in den Entwicklungsprozess und offenbart ein massives Risiko in der Software-Lieferkette. Sicherheitsprüfungen am Ende der Pipeline reichen nicht mehr aus, wenn ein Produkt schon vor der Auslieferung kompromittiert ist. Diese Herausforderung wird durch den Einsatz von KI weiter verschärft.
Der Bericht ist besonders relevant, da die NIS2-Richtlinie in Kürze in Kraft tritt und Unternehmen strengeren Cybersicherheitsvorgaben unterliegen. Das BSI warnt zu Recht vor Risiken wie „bösartigen Trainingsdaten“ für KI-Systeme. Für das DevOps-Umfeld bedeutet das: KI-Modelle sind zum neuen Open-Source-Code geworden. Unternehmen benötigen daher dringend eine zentrale, sichere Plattform, um alle Software-Artefakte – ob Code, Binärdatei oder ML-Modell – kontinuierlich zu prüfen und zu verwalten, von der Entwicklung bis in die Cloud.
Jiannis Papadakis, Director of Solutions Engineering bei Keyfactor
Das BSI selbst hat im Berichtszeitraum die erste quantensichere Smartcard zertifiziert und fordert zum Übergang zur Post-Quanten-Kryptographie auf. Das unterstreicht die Dringlichkeit, sich jetzt auf die Quanten-Bedrohung vorzubereiten. Es geht nicht mehr um das ‚ob‘, sondern nur noch um das ‚wann‘.
Viele Unternehmen wissen aber nicht einmal, wo ihre kryptografischen Schlüssel liegen, geschweige denn, wie sie diese austauschen sollen. Der erste Schritt zur Quanten-Resilienz ist ‚Crypto-Agility‘: Unternehmen müssen ihre PKI automatisieren und managen, um in der Lage zu sein, veraltete Schlüssel auf Knopfdruck gegen PQC-Algorithmen zu tauschen.
Michael Heuer, Area VP Central Europe / DACH bei Keepit
Die Analyse zu Ransomware lässt dieses Jahr aufhorchen. Angreifer kombinieren Verschlüsselung mit Datenlecks und erzielen so Rekord-Lösegelder. Damit ist klar, dass ein traditionelles Backup als alleinige Antwort auf Erpressungstrojaner ausgedient hat.
Unternehmen müssen die Verantwortung für ihre Daten in der Cloud selbst übernehmen, anstatt sich auf den Provider zu verlassen. Echte Cyberresilienz bedeutet, eine separate, unveränderliche Kopie dieser Daten zu besitzen. Nur so bleiben Unternehmen im Ernstfall handlungsfähig, können Daten schnell wiederherstellen und Compliance-Anforderungen erfüllen.
Matthias Canisius, Head of Sales bei Keyfactor
Wachsende Angriffsflächen sprechen eine deutliche Sprache: allein 119 neue Schwachstellen täglich, dies entspricht einem Anstieg von 24 % gegenüber dem letzten Berichtszeitraum.
Diese Zahlen unterstreichen die Notwendigkeit, unsere präventiven Maßnahmen zu überdenken, um nicht komplett den Anschluss zu verlieren. Dabei wird deutlich, wie wichtig eine nachvollziehbare Priorisierung ist und die damit verbundene Möglichkeit, an der richtigen Stelle die offene Flanke wirksam zu schließen. Also Schwachstellen nicht nur aufzuzeigen, sondern auch die notwendigen Maßnahmen einleiten, um diese schnell, automatisch und nachhaltig aufzulösen.
Thomas Müller-Martin, Field Strategist DACH bei Omada
Der aktuelle BSI-Lagebericht zeigt deutlicher denn je: Cyber-Security ist nicht nur eine technische Disziplin, sondern ein gesellschaftlicher Erfolgsfaktor. Man konnte über die letzten Jahre beobachten, dass Angriffe komplexer, automatisierter und auch vernetzter werden. Daher müssen Sicherheitsansätze nicht nur in der Lage sein, zu reagieren, sondern eigenständig vorausdenken. Die digitale Identität ist dabei längst ein zentraler Anker moderner Sicherheitsarchitekturen.
Die Lehren, die man aus dem jüngsten Bericht ziehen sollte, sind eindeutig: Zukunftsfähige Sicherheit erfordert Lösungen, die Schutz, Skalierbarkeit und Benutzerfreundlichkeit zu einem intelligenten Gesamtsystem verbinden. Wer dementsprechend Cyber-Security bereits heute als Innovationsmotor begreift, der gestaltet die digitale Zukunft aktiv mit – statt sie nur zu verteidigen.
Alexander Ingelheim, CEO und Mitgründer von Proliance
Eine der gefährlichsten Schwachstellen ist offenbar die Fehleinschätzung im eigenen Haus. Wenn 91 Prozent der KMU ihre Sicherheit für 'gut' halten, aber im Schnitt nicht einmal 56 Prozent der Grundanforderungen erfüllen, ist das keine Sicherheitsstrategie, sondern ein Blindflug. Diese Lücke in der Selbstwahrnehmung ist genau das, was Angreifer als 'leichte Beute' ausnutzen.
Für diese Unternehmen ist die bevorstehende NIS2-Regulierung kein Bürokratiemonster, sondern eine dringend nötige Leitplanke. Sie zwingt Unternehmen, ihr Risikomanagement endlich auf eine reale Datengrundlage zu stellen und Informationssicherheit nachweisbar zu machen. Umso besser, dass auch unsere Zahlen zeigen: die Wirtschaft steht mehrheitlich hinter NI2 – über die Hälfte der befragten Unternehmen sehen verschärfte Regulierungen positiv.
Jörg Vollmer, General Manager, Field Operations, DACH & CEE bei Qualys
Die BSI-Zahl von 119 neuen Schwachstellen pro Tag muss der letzte Weckruf für Unternehmen sein, die noch auf manuelle Prozesse setzen. Diese unkontrollierbare Flut ist der wahre Grund für die unzureichend geschützten Angriffsflächen‘, die das BSI zu Recht als Kernproblem nennt. Sicherheitsteams können diesen Wettlauf ohne massive Automatisierung nicht mehr gewinnen.
Gleichzeitig sehen wir, dass die Risiken weit über einzelne Server hinausgehen. Von ‚Injection‘-Fehlern in Webanwendungen bis zu den eklatanten Compliance-Lücken im Mittelstand wird klar, dass Unternehmen eine konsolidierte Sicht brauchen. Ein Flickenteppich aus Einzellösungen reicht nicht mehr, um IT-Systeme, Workloads und Web-Applikationen effektiv zu schützen und die Compliance nachzuweisen.
Frank Strecker, CEO bei Skaylink
Die digitale Transformation vergrößert unweigerlich die Angriffsflächen, wie die aktuellen Zahlen eindrücklich belegen. Viele Unternehmen, insbesondere der Mittelstand, sind mit der Absicherung dieser komplexen neuen Cloud- und On-Premise-Welten sichtlich überfordert. Sie werden zur ‚leichten Beute‘, weil ihnen die Ressourcen für ein lückenloses Schwachstellen-Management fehlen.
Hier muss ein Umdenken stattfinden. Professionelle Managed Cloud Services sind kein Luxus mehr, sondern die Grundvoraussetzung, um die geforderte Resilienz überhaupt erst zu erreichen. Sie sind der effektivste Weg, um Sicherheit und Compliance-Anforderungen wie NIS2 dauerhaft und professionell umzusetzen.
Sebastian Cler, Chief Sales & Operations Officer bei SpaceNet
Als deutscher Infrastrukturanbieter stellen wir verlässliche, transparente und souveräne IT-Infrastrukturen für Unternehmen und Organisationen in unseren Hochsicherheitsrechenzentren in München bereit. Denn Vertrauen bildet das Rückgrat der Cyberabwehr und es geht dabei nicht nur um Technik. Wirksamer Schutz entsteht durch das reibungslose Zusammenspiel von sicheren Prozessen, resilienter Technik und den Menschen, welche die Technik bedienen in den Unternehmen.
Sergej Epp, Chief Information Security Officer bei Sysdig
119 neue Sicherheitslücken pro Tag: Die neuen BSI-Zahlen machen Schlagzeilen - und das völlig zu Recht. Ein Aspekt wird dabei aber nicht ausreichend beleuchtet: Würde man überhaupt merken, wenn jemand eine dieser Schwachstellen in unserer Cloud ausnutzt?
Die unbequeme Wahrheit, der sich CISOs gegenüber sehen: Die meisten Security-Teams haben noch nicht die Kapazität und Fähigkeit aufgebaut, Cloud-Angriffe zu untersuchen und in Echtzeit darauf zu reagieren. Man kann Compliance-Checklisten abhaken, Fehlkonfigurationen finden – aber einen aktiven Angriff in der Cloud in Echtzeit erkennen und stoppen? Das ist eine komplett andere Liga.
Der BSI-Lagebericht zeigt uns das Tempo, indem Bedrohungsakteure ihre Taktiken, Tricks und Technologien adaptieren. Das Tempo, mit dem Unternehmen ihre Teams im Gegenzug befähigen, Cloud-Security adäquat weiterzuentwickeln, ist im Vergleich viel zu langsam. Es gilt nun, dieses Problem anzuerkennen und proaktiv an einer Lösung zu arbeiten, um den Cyberkriminellen wieder einen Schritt voraus zu sein.
Zac Warren, Chief Security Advisor EMEA bei Tanium
Wir ertrinken in Schwachstellen, mit 119 neuen pro Tag, aber das eigentliche Problem ist die mangelnde IT-Hygiene. Die größten Einfallstore sind nach wie vor veraltete und ungepatchte Systeme. Angreifer wissen das und nutzen es aus; sie setzen sogar gezielt EDR-Killer ein, um eine lückenhafte Verteidigung komplett auszuhebeln.
Genau hier zeigt sich die Schwäche vieler Sicherheitskonzepte - Man kann nicht schützen, was man nicht sieht. Ohne eine 100-prozentige, akkurate Echtzeit-Sichtbarkeit und Kontrolle über jeden einzelnen Endpoint bleibt jede Verteidigungsstrategie ein reines Glücksspiel.
Sebastian Lacour, Senior Manager Channels Germany bei Veeam
Die Nachricht, dass die polizeiliche Verfolgung von Ransomware-as-a-Service-Gruppen Früchte trägt, ist großartig. Cybercrime und speziell Ransomware sind Bedrohungen, die sich langfristig nur durch die Zusammenarbeit zwischen Industrie und Behörden bekämpfen lässt, denn: Jedes Unternehmen, das Lösegeld bezahlt, finanziert direkt den nächsten Angriff. Um sich selbst einem Test in Sachen Ransomware-Readiness zu unterziehen, empfiehlt sich beispielsweise das Data Resilience Maturity Model (DRMM), welches für Unternehmen, mit komplexen internen Abhängigkeiten, eine Hilfe sein kann, um das eigene Risiko ganzheitlich besser einschätzen und daraufhin wichtige Maßnahmen kompetenzübergreifend durchführen zu können.
Generell gilt - für KMU sowie für Konzerne - wer sich proaktiv mit potenziellen Risiken und Maßnahmen zur Verbesserung der Resilienz auseinandersetzt, der sorgt bereits jetzt dafür, dass wir im Lagebericht 2026 noch mehr gute Nachrichten erwarten können.
Alexander Koch, SVP Sales EMEA
Die vielleicht alarmierendste Erkenntnis dieses Jahres ist die wachsende 'digitale Sorglosigkeit' der Bürger. Die Nutzung essenzieller Schutzmaßnahmen wie 2FA geht zurück, weil sie als zu kompliziert empfunden werden. Diese Lücke zwischen der hohen Phishing-Bedrohung und dem Anwenderverhalten ist fatal.
Die Antwort darauf kann nur Technologie sein, die beides ist: maximal sicher und gleichzeitig intuitiv. Phishing-resistente Methoden wie Passkeys, idealerweise auf Hardware-Token, lösen genau dieses Dilemma und machen Sicherheit endlich einfach.
Gerald Eid, Regional Managing Director DACH bei Getronics
Die Lagebeschreibung des BSI bestätigt, was viele Unternehmen im Alltag erleben. Sicherheit scheitert selten an einzelnen Produkten, sondern an fehlender Übersicht und fehlenden Abläufen. Resilienz entsteht, wenn Verantwortliche ihre Systeme und Abhängigkeiten vollständig sehen, Risiken priorisiert bearbeiten und Notfallprozesse regelmäßig erproben. Ein plattformgestützter und gemanagter Sicherheitsbetrieb hilft dabei, Silos aufzulösen, Lieferketten im Blick zu behalten und Vorgaben wie NIS2 verlässlich umzusetzen. So wird aus reaktiver Abwehr ein belastbarer Prozess, der dauerhaft wirkt und zukünftigen Anforderungen standhält.