Der Cybersicherheitsmonitor 2026 von BSI und Polizeilicher Kriminalprävention zeigt: Elf Prozent der Menschen in Deutschland waren in den vergangenen zwölf Monaten von Cyberkriminalität betroffen. Häufigster Fall bleibt Betrug beim Onlineshopping. Zugleich kennen und nutzen viele Befragte nur wenige Schutzmaßnahmen.

Der aktuelle Cybersicherheitsmonitor 2026 zeigt, wie stark Cyberkriminalität inzwischen den Alltag vieler Menschen in Deutschland betrifft. Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Programms Polizeiliche Kriminalprävention der Länder und des Bundes war allein in den vergangenen zwölf Monaten jede zehnte Person in Deutschland von einer Straftat im Internet betroffen. Konkret nennt die repräsentative Befragung einen Anteil von elf Prozent.

Die Studie erscheint zum achten Mal und untersucht das Informations- und Schutzverhalten der Bevölkerung sowie persönliche Erfahrungen mit Cyberkriminalität. Befragt wurden Anfang Januar 2026 insgesamt 3.060 Personen ab 16 Jahren in Deutschland, die in einem Privathaushalt leben und über einen Internetzugang verfügen. Die Ergebnisse beruhen auf berichteten Erfahrungen und Selbsteinschätzungen, nicht auf technisch gemessenen Vorfällen.

Online-Shopping-Betrug bleibt der häufigste Vorfall

Von den Personen, die in den vergangenen zwölf Monaten Cyberkriminalität erlebt haben, berichten 22 Prozent von Betrug beim Onlineshopping. Danach folgen Fremdzugriffe auf Online-Accounts mit 14 Prozent, Betrug beim Onlinebanking bzw. der Missbrauch von Kontodaten mit 13 Prozent und Phishing mit 12 Prozent. Auch Identitätsdiebstahl spielt mit zehn Prozent eine relevante Rolle.

Daneben tauchen weitere Deliktformen auf, die für Unternehmen zumindest indirekt interessant sind. Sieben Prozent der Betroffenen berichten von Schad-Software wie Viren oder Trojanern, zwei Prozent von Ransomware bzw. Erpresser-Software. Betrug mithilfe einer KI-Anwendung nennen vier Prozent der Betroffenen, Deepfakes fünf Prozent. Diese Werte sind niedriger als klassische Betrugsformen, zeigen aber, dass KI-gestützte Täuschung bereits in der Breite wahrgenommen wird.

Schäden betreffen Geld, Vertrauen und Daten

Cyberkriminalität bleibt für Betroffene meist nicht folgenlos. Fast neun von zehn Betroffenen, konkret 88 Prozent, berichten von einem Schaden. Ein Drittel nennt finanzielle Verluste. Weitere Folgen sind Vertrauensverluste in die betroffenen Online-Dienste mit 29 Prozent, zeitlicher Aufwand mit 23 Prozent, emotionale Schäden wie Kränkung oder Angst mit 20 Prozent sowie Datenverluste mit 18 Prozent.

Damit beschreibt die Studie nicht nur ein Sicherheitsproblem, sondern auch ein Vertrauensproblem. Wenn Konten übernommen, Zahlungsdaten missbraucht oder Bestellungen nie geliefert werden, geht es nicht allein um technische Abwehr. Betroffene müssen Zahlungen klären, Konten wiederherstellen und Beweise sichern. Der eigentliche Schaden liegt dann oft nicht nur im verlorenen Geld, sondern im Aufwand danach. Der eigentliche Schaden liegt dann oft nicht nur im verlorenen Geld, sondern im Aufwand danach. Cyberkriminalität hat gewissermaßen einen schlechten Kundendienst, aber eine sehr hartnäckige Nachbetreuung.

Viele Schutzmaßnahmen sind kaum bekannt

Ein zentraler Befund des Kurzberichts betrifft das Schutzverhalten. Nur 14 Prozent der Befragten informieren sich regelmäßig über Cybersicherheit. 40 Prozent suchen nur hin und wieder Informationen, 19 Prozent erst im Problemfall und 24 Prozent nach eigener Aussage eigentlich nie. Unter denjenigen, die in den vergangenen zwölf Monaten betroffen waren, liegt der Anteil der regelmäßig Informierten zwar höher, bleibt mit 26 Prozent aber ebenfalls begrenzt.

Auch bei konkreten Schutzmaßnahmen zeigt sich eine Lücke. Im Durchschnitt kennen die Befragten 6,2 von 19 abgefragten Maßnahmen und nutzen 3,9 davon. Mehr als der Hälfte sind lediglich starke Passwörter und Antivirenprogramme bekannt. Genutzt werden sie von 46 bzw. 40 Prozent der Befragten. Die Zwei-Faktor-Authentisierung kommt ebenfalls auf 40 Prozent. Passwortloses Anmelden, etwa über Passkeys, nutzen 21 Prozent. Automatische Updates haben 26 Prozent aktiviert, regelmäßige manuelle Updates nennen 24 Prozent.

Für IT-Verantwortliche ist dieser Befund relevant, weil er ein bekanntes Muster bestätigt: Sicherheitsmaßnahmen müssen nicht nur verfügbar sein, sondern verstanden, akzeptiert und möglichst einfach nutzbar werden. Komplexe Verfahren, unklare Empfehlungen und ein trügerisches Sicherheitsgefühl bremsen die Umsetzung. Als Gründe für die Nichtnutzung weiterer Maßnahmen nennen 27 Prozent, sie fühlten sich bereits sicher. Jeweils 23 Prozent empfinden Maßnahmen als zu kompliziert oder fühlen sich überfordert.

Betroffene wenden sich häufig an Anbieter und Polizei

Der Kurzbericht liefert zusätzlich eine interessante Perspektive auf die Reaktion nach Vorfällen. Die häufigste Reaktion besteht darin, den Betreiber des betroffenen Dienstes zu kontaktieren. Das nennen 35 Prozent der Betroffenen. 32 Prozent erstatten Anzeige bei der Polizei, 28 Prozent helfen sich selbst. 26 Prozent recherchieren im Internet und folgen Handlungsempfehlungen. Nur fünf Prozent geben an, gar nicht reagiert zu haben.

Das zeigt: Viele Betroffene bleiben nach einem Vorfall nicht untätig. Sie brauchen aber klare Anlaufstellen, verständliche Notfallhilfen und belastbare Prozesse. Für Unternehmen lässt sich daraus eine Parallele ziehen. Auch dort reicht es nicht, Schutzmaßnahmen irgendwo im Sicherheitskonzept zu beschreiben. Entscheidend ist, ob Beschäftigte im Ernstfall wissen, was zu tun ist, wo sie verdächtige Vorgänge melden und wie schnell Konten, Passwörter, Sessions oder Geräte überprüft werden können.

Sicherheit darf nicht allein am Nutzer hängen

»Cybersicherheit muss im Alltag von Verbraucherinnen und Verbrauchern einfacher, präsenter und verständlicher werden«, betont BSI-Präsidentin Claudia Plattner. »Viele Menschen wollen sich sicher online bewegen, brauchen dafür aber niedrigschwellige Informationen. Diese liefern wir – etwa indem wir Anleitungen für Sicherheitsmaßnahmen im digitalen Alltag bereitstellen und Lehrkräfte befähigen, das Thema in ihren Unterricht zu holen. Zugleich dürfen wir die Verantwortung nicht allein bei den Nutzerinnen und Nutzern abladen: Hersteller und Anbieter digitaler Geräte und Anwendungen müssen sichere Produkte und Dienste zum Standard machen.«

»Cyberkriminalität ist längst in der Mitte der Gesellschaft angekommen – sei es durch gefälschte E-Mails oder Betrug beim Einkauf im Internet«, ergänzt Dr. Stefanie Hinz, Landespolizeipräsidentin und Vorsitzende des ProPK. »Um den Methoden der Täterinnen und Täter den Boden zu entziehen, macht die Polizei deren Vorgehensweisen transparent. Das Zusammenspiel aus Prävention, Aufklärung und entschlossenem Vorgehen der Strafverfolgungsbehörden trägt entscheidend dazu bei, den digitalen Raum sicherer zu machen.«

Für Rechenzentren, Backup-Umgebungen und administrative Zugänge ist vor allem der Hinweis auf sichere Voreinstellungen und klare Verantwortlichkeiten relevant. Phishing, kompromittierte Konten, schwache Passwörter und unzureichend geschützte Admin-Zugänge gehören auch in Unternehmen zu typischen Einstiegspunkten. Im Unterschied zum privaten Online-Betrug können daraus jedoch schnell weiterreichende Angriffe auf Management-Schnittstellen, Backup-Daten oder zentrale Identitätsdienste entstehen.

Nutzbare Sicherheit wird zur Architekturfrage

Aus Unternehmenssicht spricht der Cybersicherheitsmonitor daher für Sicherheitsarchitekturen, die Fehler möglichst abfedern. Dazu gehören phishing-resistente Mehrfaktor-Authentifizierung, ein konsequentes Identity- und Access-Management, kontrollierte privilegierte Konten, nachvollziehbare Recovery-Prozesse, Monitoring verdächtiger Kontoaktivitäten und klare Meldewege.

Gerade in Backup- und Storage-Umgebungen ist das wichtig. Sie bilden im Krisenfall häufig die letzte technische Rückfallebene. Wenn Angreifer über kompromittierte Konten Zugriff auf Administrationsoberflächen, Management-Schnittstellen oder Backup-Daten erhalten, wird aus einem Identitätsproblem schnell ein Infrastrukturproblem. Der Bericht richtet sich zwar an Verbraucher, seine Kernaussage passt aber auch in die Unternehmens-IT: Cybersicherheit muss dort ansetzen, wo Angriffe tatsächlich beginnen, und sie muss im Alltag funktionieren.