BSI-Lagebericht 2025 besorgt um KMU: Wie sieht es mit Ihrer IT-Sicherheit aus?
08.12.2025Der neue BSI-Lagebericht 2025 sorgt für Alarmstimmung: Deutschlands Cybersecurity bleibt kritisch – und besonders kleine und mittlere Unternehmen (KMU) stehen im Fokus virtueller Angreifer. Rund 80 % aller gemeldeten Vorfälle betreffen kleine und mittlere Unternehmen. Geeignete Schutzmaßnahmen für das eigene Unternehmen werden also immer wichtiger.
Das Risiko eines Cyberangriffs betrifft die Baubranche mit Architekten und Planer, Fachhandwerker oder Bauunternehmen zunehmend.
Bild: Bluebeam
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Berichtszeitraum vom 1. Juli 2024 bis 30. Juni 2025 im BSI-Lagebericht 2025 die fünf Dimensionen Bedrohungen, Angriffsflächen, Gefährdungen, Schadwirkungen und Resilienz untersucht. So nehmen bspw. Datenverschlüsselung und -exfiltration mit anschließender Erpressung weiter zu. Zugleich verlagert sich das Vorgehen der Angreifer: weg von großen, komplexen Attacken hin zu zahlreichen kleineren, leicht umsetzbaren Angriffen. Rund 80 % der gemeldeten Fälle betreffen dabei KMU, denen oft finanzielle wie personelle Ressourcen und das Know-how für ausreichenden Schutz fehlen.
Deutschland gehört zu beliebtesten Hackerzielen
- 94 % der kriminellen Gruppen, die sich gegen mindestens eins der Top-10-Zielländer richteten, zielten auf die USA, Deutschland lag auf Platz 3 (64 %).
- 75 % der organisierten APT-Angriffe (Advanced Persistent Threats; hochentwickelte, anhaltende Bedrohung), die mindestens eines der Top-10 Zielländer im Visier hatten, hatten die USA im Fokus. Deutschland belegte mit 25 % Platz 4.
Im Berichtszeitraum des BSI-Lageberichts 2025 kamen im Durchschnitt 119 neue IT-Schwachstellen pro Tag hinzu – ein Plus von etwa 24 %. Gleichzeitig stieg die Zahl der Datenlecks bei deutschen Institutionen und Verbrauchern auf 461 Fälle an. Am häufigsten betroffen waren Geburtsdaten (92 %), Postadressen (72 %) und E-Mail-Adressen (63 %) sowie Gesundheits-, Finanzdaten und Passwörter.
Die Schäden waren enorm: Während die Bereitschaft sinkt, Lösegeld zu zahlen, erreichten die Forderungen gleichzeitig neue Höhen – zusätzlich zu erheblichen Kosten für Systemausfälle, IT-Forensik und Wiederherstellung. Die exakten Zahlen hierzu differieren; eine aktuelle Studie von Bitkom Research 2025 beziffert sie auf insgesamt 289 Mrd. €.
Die größten Schwachpunkte offenbaren die KMU
Die Gefährdungslage bleibt demnach kritisch. Zwar gibt es Verbesserungen im Bereich der Bedrohungen und die meldepflichtigen KRITIS-Betreiber (natürliche oder juristische Personen, die kritische Infrastrukturen betreiben) erzielen stetig Fortschritte bei den Reifegraden ihrer ISMS (Information Security Management System; Managementsystem für die Informationssicherheit) und BCMS (Business Continuity Management System; betriebliches Kontinuitätsmanagement). Doch mit den wirksamen Maßnahmen bei vulnerablen Gruppen wie den KMU sieht es eher düster aus. Sowohl die Bekanntheit als auch Nutzung von Schutzmaßnahmen waren 2025 weiterhin rückläufig:
- Die durchschnittliche Anzahl bekannter Maßnahmen (z. B. sichere Passwörter, Passwortmanager im Browser oder Zwei-Faktor-Anmeldung) beträgt lediglich 6,1.
- die durchschnittliche Anzahl genutzter Maßnahmen sogar nur 3,8. Neben einem hohen Sicherheitsgefühl gaben auch viele Befragte an, dass sie die Maßnahmen als zu kompliziert empfinden.
Der BSI-Bericht 2025 zeigt deutlich: Angreifer konzentrieren sich verstärkt auf leicht verwundbare Ziele mit geringer Resilienz. Je schlechter die Unternehmen geschützt sind, desto höher ist die Erfolgswahrscheinlichkeit eines Angriffs. Dieses Risiko betrifft auch die Baubranche zunehmend: Architekten und Planer, Fachhandwerker oder Bauunternehmen.
