Passend zum Start des Cybersicherheitsmonats 2025 veröffentlicht die Transferstelle Cybersicherheit im Mittelstand das CYBERsicher Lagebild. Der Report wirft einen Blick auf die aktuelle Bedrohungslage mit Fokus auf kleine und mittlere Unternehmen in Deutschland. Neben einer Auswertung von Angriffen auf Unternehmen wirft das Lagebild auch einen detaillierten Blick auf die Entwicklungen im Bereich Ransomware- und Phishing-Attacken. Zusätzlich wird aufgezeigt, welche Schutzmaßnahmen von Unternehmer:innen bereits konsequent umgesetzt werden und in welchen Bereichen noch Luft nach oben ist.
Deutsche Unternehmen im Visier der Cyberkriminellen
Die Bedrohungslage für Unternehmen in Europa und in Deutschland spitzt sich zu. Die Anzahl an Angriffen durch Hacker steigt kontinuierlich. Besonders besorgniserregend: Hackerattacken auf deutsche Unternehmen, die auf Leakseiten veröffentlicht wurden, haben sich Schätzungen zufolge zwischen den Jahren 2021 bis 2024 mehr als vervierfacht. Damit ist Deutschland trauriger Spitzenreiter, gefolgt von Italien, Frankreich und Spanien.
Auch Zahlen des BKA belegen diese Entwicklung. Laut der polizeilichen Kriminalstatistik 2024 richten sich 80 Prozent der 950 ausgewerteten Ransomware-Angriffe gegen kleine und mittlere Unternehmen. In 251 Fällen konnte zusätzlich über eine Auswertung der Plattform ransomware.live ein Datenabfluss nachgewiesen werden.
„Spätestens jetzt sollten mittelständische Unternehmen die Lage ernst nehmen und entsprechende Maßnahmen zur Absicherung ihrer Betriebe konsequent umsetzen.“
Dirk Achenbach, Projektleiter der Transferstelle Cybersicherheit im Mittelstand
Bei einem Blick auf die Angriffsverteilung auf kleine und mittlere Unternehmen je Bundesland zeigt sich, dass die Unternehmen in Berlin und Bremen überdurchschnittlich oft von Cyberangriffen betroffen sind. Unternehmen in Mecklenburg-Vorpommern, Bayern und im Saarland stehen bei Cyberkriminellen weniger im Fokus.
Eine Cybergefahr mit vielen Gesichtern
Was sind die Angriffsformen, die kleine und mittlere Unternehmen besonders betreffen? Auf welche Bereiche der IT-Sicherheit sollten kleine und mittlere Unternehmen ihre Ressourcen fokussieren? Diese Fragen erläutert das Lagebild mit Daten, die aus einer Auswertung des Selbstchecks der CYBERsicher Notfallhilfe hervorgehen. Bereits über 1.000 Personen haben diesen Selbstcheck genutzt. Er gibt eine Einschätzung, ob ein Angriff tatsächlich vorliegt.
Die Ergebnisse der Auswertung zeigen, dass sich die meisten Nutzer:innen aufgrund von verdächtigen E-Mails an die Plattform wenden. Auch menschliches Fehlverhalten und verdächtiges Systemverhalten führen dazu, dass Nutzer:innen einen IT-Notfall befürchten. Fast jede zehnte Person (9 %) gab im Selbstcheck an, Opfer von Erpressung geworden zu sein.
Sie vermuten einen Angriff oder werden sogar erpresst? Erhalten Sie mit der CYBERsicher Notfallhilfe innerhalb von wenigen Minuten Unterstützung durch praxisorientierte Tipps oder den Kontakt zu IT-Dienstleistern.
Der Faktor Mensch in der Cybersicherheit
Neben technischen Schwachstellen sind die Mitarbeitenden von kleinen und mittleren Unternehmen ein beliebtes Angriffsziel. Vor allem mit Phishing-Angriffen sind Cyberkriminelle sehr erfolgreich. Dabei geben sich die Cyberkriminellen per E-Mail, SMS oder einem anderen Kanal als z.B. Geschäftsführer:innen oder Paketzusteller:innen aus und verleiten ihr Opfer dadurch zu unüberlegten und unbeabsichtigten Handlungen. Vor allem Personen in Führungspositionen sind häufig von Phishing-Angriffen betroffen. Das Lagebild zeigt, dass Geschäftsführende durchschnittlich 57 gezielte Phishing-Angriffe pro Jahr abwehren müssen. Bei IT-Verantwortlichen sind es immerhin noch 40 gezielte Phishing-Attacken. Auch der Blick auf die Bundesbürger:innen generell ist alarmierend. Jede:r sechste Bundesbürger:in hat einen Phishing-Angriff nicht als solchen erkannt. Mehr als jede:r zehnte Betroffene (13 %) hat anschließend nicht die betroffenen Zugangsdaten geändert.
Das Phänomen Ransomware
Nach dem initialen Zugang zu den Unternehmensdaten, in den meisten Fällen durch Phishing-Attacken, folgen in vielen Fällen Ransomware-Angriffe. Die Verschlüsselungstrojaner machen wichtige Daten unlesbar und die Cyberkriminellen fordern ein Lösegeld, um die Daten wieder zu entschlüsseln. Das Lagebild zeigt, dass von fast allen Akteuren Phishing verwendet wird und aktuell in den meisten Fällen mit Double Extortion gerechnet werden muss. Dabei handelt es sich um eine doppelte Erpressung in Bezug auf zunächst die Verschlüsselung und dann die Veröffentlichung der gestohlenen Daten.
So schützt sich der Mittelstand vor Cyberangriffen
Anhand der Auswertung der Daten des CYBERsicher Checks lässt sich ablesen, welche Sicherheitsmaßnahmen kleine und mittlere Unternehmen in ihren Betrieben umsetzen. Bei unserem CYBERsicher Check bewerten die Nutzer:innen den Stand ihrer IT-Sicherheit in verschiedenen Bereichen anhand des Schulnotensystems und erhalten darauf basierend gezielte Empfehlungen zur Verbesserung.
Das Lagebild zeigt, dass die meisten Unternehmen ein gutes Konzept für Sicherheitskopien zu besitzen scheinen. Wichtig ist jedoch, auch regelmäßig die Wiederherstellung der Daten zu üben. Bei Schulungen beobachten wir ein gemischtes Bild. Und das, obwohl Trainings und Weiterbildungen ein wichtiger Faktor zur Sensibilisierung der Mitarbeitenden sind. Denn: der Mensch ist weiterhin eine der größten Schwachstellen im Unternehmen. Um diese Schwachstelle zu schließen, sind Schulungen das Mittel der Wahl. Unliebsam hingegen scheinen Schutzbedarfsanalysen zu sein, obwohl organisatorische Maßnahmen stets die Grundlage für darauf aufbauende, technische Maßnahmen sein sollten.
KI und Deepfakes: So verändert sich die Cyberlandschaft
Künstliche Intelligenz erleichtert nicht nur unseren Alltag, sondern auch den von Cyberkriminellen. KI-generierte Phishing-Mails sind mittlerweile hochprofessionell, sodass mehr als die Hälfte der Empfänger:innen diese nicht als Phishing erkennen. Auch Deepfake-Angriffe, bei denen gefälschte Medieninhalte zum Einsatz kommen, wachsen stark. Allein in Deutschland haben sich im ersten Quartal Deepfake-Angriffe im Vergleich zum Vorjahr um ganze 1100 Prozent erhöht.
Der Einsatz von KI wird nicht nur die Anzahl von Cyberangriffen weiter erhöhen, sondern die Attacken auch professionalisieren. Für Betroffene wird es umso schwieriger, betrügerische Nachrichten als Phishing zu erkennen und entsprechend zu reagieren. Umso wichtiger ist es, Mitarbeitende kontinuierlich über neue Betrugsmaschen zu informieren und dadurch zu sensibilisieren.
Marc Dönges, Projektleiter der Transferstelle Cybersicherheit im Mittelstand
Schnelle Unterstützung im Ernstfall
Die CYBERsicher Notfallhilfe unterstützt Nutzer:innen im Ernstfall schnell und unkompliziert. Innerhalb weniger Minuten erhalten Sie konkrete Rückmeldungen aus einem großen Netzwerk von Dienstleistern – anonym, unverbindlich und mit einer transparenten Übersicht zu Leistungen, Aufwand und Kosten. Die Auswertung der Plattformdaten zeigt, dass das Ausfüllen des Onlineformulars zur Dienstleistersuche im IT-Notfall nur 11 Minuten im Durchschnitt dauert. Zwischen einer Anfragedes Betroffenen und der ersten Rückmeldungdurch einen Dienstleister vergehen im Durchschnitt sogar nur acht Minuten. Und die Dienstleister können in der Regel in unter fünf Stunden nach erfolgter Anfrage mit ihrer Unterstützung beginnen. Im Notfall ist jede Minute wertvoll. Die CYBERsicher Notfallhilfe ist genau dafür da und unterstützt kleine und mittlere Unternehmen im Ernstfall!
Werden Sie aktiv!
Das Lagebild zeigt, dass bei dem Thema Cybersicherheit in kleinen und mittleren Unternehmen noch Luft nach oben ist. In unserem Cybersicherheitsmonat haben Sie die Möglichkeit, sich in 16 kostenfreien Veranstaltungen zu vier Trendthemen der Cybersicherheit zu informieren und die Themen in Ihren Unternehmen zu setzen. Neben künstlicher Intelligenz fokussieren die Webimpulse die Themen NIS2, sichere Passwörter sowie Phishing & Ransomware. Melden Sie sich jetzt an und seien Sie im Cybersicherheitsmonat dabei!
Verfasst von Johanna Baldus
Projektmanagerin Kommunikation
