Das BKA-Bundeslagebild Cybercrime 2025 weist rund 334.000 registrierte Fälle aus. Ransomware, DDoS-Angriffe und KI-gestützte Methoden erhöhen den Druck auf Unternehmen, Behörden und kritische Infrastrukturen. Für IT-Verantwortliche rücken Resilienz, Angriffserkennung, Backup-Schutz und Wiederherstellung weiter in den Mittelpunkt.

Das Bundeskriminalamt (BKA) legt mit dem Bundeslagebild Cybercrime 2025 neue Zahlen zur Entwicklung digitaler Kriminalität in Deutschland vor. Demnach bleibt die Bedrohung durch Cybercrime auf hohem Niveau. Für das Jahr 2025 registrierten die Behörden rund 334.000 Cybercrime-Fälle im engeren Sinne. Aufgrund eines erheblichen Dunkelfeldes dürfte die tatsächliche Zahl erfolgreicher oder versuchter Angriffe höher liegen.

Auffällig bleibt der hohe Anteil grenzüberschreitender Taten. Ein großer Teil der Delikte wurde aus dem Ausland oder von unbekannten Tatorten aus begangen. Für Unternehmen, Behörden und Betreiber kritischer Infrastrukturen bedeutet dies, dass klassische Zuständigkeits- und Standortgrenzen bei der Abwehr kaum noch tragen. Angriffe treffen lokale IT-Umgebungen, werden aber häufig über internationale Infrastrukturen vorbereitet, gesteuert oder monetarisiert.

Anzeige

Ransomware bleibt eine zentrale Bedrohung

Ransomware zählt weiterhin zu den wichtigsten Cybercrime-Formen mit direkter Auswirkung auf den Betrieb. 2025 wurden 1.041 Ransomware-Angriffe angezeigt. Das entspricht einem Anstieg um zehn Prozent gegenüber dem Vorjahr. Betroffen sind laut Lagebild vor allem Unternehmen und öffentliche Einrichtungen.

Für IT-Verantwortliche ist dabei weniger die reine Fallzahl entscheidend als die operative Wirkung. Ransomware-Angriffe zielen nicht nur auf einzelne Systeme, sondern häufig auf geschäftskritische Daten, Backup-Infrastrukturen, Identitätsdienste und zentrale Management-Systeme. Damit verschiebt sich die Verteidigung weiter von der reinen Prävention hin zu belastbaren Wiederanlauf- und Wiederherstellungsprozessen.

Das BKA verweist zugleich darauf, dass immer weniger Betroffene Lösegeld zahlen. Dies kann ein Hinweis auf bessere Vorbereitung und höhere Resilienz sein. Eine belastbare Entwarnung ergibt sich daraus jedoch nicht. Die durchschnittlichen Lösegeldzahlungen sind gestiegen, während Betriebsunterbrechungen, Datenabfluss und Wiederherstellungsaufwand weiterhin erhebliche Schäden verursachen können.

DDoS-Angriffe belasten Verfügbarkeit und Betrieb

Auch Überlastungsangriffe nehmen weiter zu. Die Zahl der registrierten DDoS-Angriffe stieg 2025 um 25 Prozent auf 36.706 Fälle. DDoS-Angriffe richten sich gegen die Verfügbarkeit von Web-Angeboten, Portalen, Schnittstellen oder anderen öffentlich erreichbaren Diensten. Für Rechenzentren, Service-Provider und Betreiber digitaler Plattformen bleibt Verfügbarkeit damit ein zentraler Sicherheitsaspekt.

Das Lagebild ordnet DDoS-Angriffe auch dem Umfeld hacktivistischer Akteure zu. Politisch oder ideologisch motivierte Gruppen nutzen solche Attacken, um öffentliche Aufmerksamkeit zu erzeugen, Dienste zu stören oder Organisationen unter Druck zu setzen. Betroffen waren unter anderem Behörden, Verwaltungen, Verkehrs- und Logistikunternehmen. Für IT-Teams ergibt sich daraus die Notwendigkeit, DDoS-Schutz, Traffic-Analyse und Notfallkommunikation stärker in Betriebsprozesse einzubinden.

KI senkt Hürden und beschleunigt Angriffe

Das BKA sieht künstliche Intelligenz als zusätzlichen Faktor in der Bedrohungslage. Kriminelle können KI-Werkzeuge nutzen, um Phishing-Texte glaubwürdiger zu formulieren, Angriffsmuster schneller anzupassen oder technische Aufgaben effizienter umzusetzen. Damit sinken Einstiegshürden, während professionelle Akteure ihre Angriffe skalieren können.

Für die Verteidigung gilt allerdings ebenfalls: KI kann Sicherheitsprozesse unterstützen, etwa bei der Erkennung auffälliger Muster, der Analyse von Schadcode oder der Priorisierung von Schwachstellen. Entscheidend bleibt, ob solche Werkzeuge in saubere Prozesse eingebettet sind. Automatisierte Erkennung ersetzt keine Härtung der Infrastruktur, keine Zugriffskontrolle und keine überprüften Backup- und Restore-Abläufe.

Resilienz wird zur Betriebsaufgabe

Das Bundeslagebild unterstreicht, dass Cybersecurity nicht mehr als isoliertes Schutzthema betrachtet werden kann. Für IT-Verantwortliche im Rechenzentrum rücken Fragen der Betriebsfähigkeit in den Vordergrund: Welche Systeme müssen nach einem Angriff zuerst wieder laufen? Welche Backup-Daten sind unveränderlich gespeichert? Wie schnell lassen sich Identitätsdienste, Storage-Systeme und geschäftskritische Anwendungen kontrolliert wiederherstellen?

Gerade Ransomware zeigt, dass Backup-Konzepte ohne Manipulationsschutz, getrennte Zugriffsebenen und regelmäßige Wiederherstellungstests nur begrenzt helfen. Ebenso wichtig sind Segmentierung, privilegierte Zugriffskontrollen, Protokollierung und eine klare Rollenverteilung im Incident-Fall. Die technische Abwehr bleibt notwendig, aber sie reicht alleine nicht aus. Cyber-Resilienz wird damit zu einem Betriebsmodell, nicht zu einem Zusatzprojekt für schlechte Tage.