Jedes Jahr veröffentlicht das BSI einen Lagebericht, mit aktuellen Analysedaten zur Cybersicherheit und Cyberangriffen in Deutschland. Natürlich haben auch wir uns eingehender damit beschäftigt. Neben einer Zusammenfassung möchten wir in diesem Blog-Beitrag aber auch darüber schreiben, was die aktuelle Situation für das Jahr 2025 bedeutet.
Die aktuelle Bedrohungslage
Ransomeware-Angriffe und Malware-as-a-Service (MaaS) Angriffe eleiben die häufigsten Attacken in Deutschland. Das BSI berichtet über durchschnittlich 309.000 neue Malware-Varianten täglich. Dies ist ein Anstieg von 26 % im Vergleich vom vorherigen Jahr. Auch Advanced Persistent Threats (APTs) haben zugenommen. Diese Angriffe werden entweder durch einen Staat unterstützt oder sogar durch diesen organisiert und zielen auf kritische Infrastrukturen und Behörden.
Erhöhte Angriffsfläche
Je stärker die Digitalisierung voran geht, desto größer werden auch die Angriffsflächen. Laut Lagebericht wurden im Schnitt jeden Tag 78 neue Schwachstellen in Software und Hardware entdeckt. Tatsächlich befinden sich darunter auch häufig Perimetersysteme wie Firewalls. Auch Cloud-Infrastrukturen sind beliebte Angriffsziele und weisen immer wieder signifikante Sicherheitslücken auf.
Wer ist gefährdet?
Das Risiko erhöht sich vor allem für Kommunen und kleine und mittelständische Unternehmen (KMU). Diese sind oft nicht genügend geschützt und werden damit beliebter bei Angreifern.
Cyberresilienz
Das BSI betont die Notwendigkeit von wachsender Cyberresilienz. Das bedeutet, Unternehmen müssen stärker daran arbeiten, sich an Cyberbedrohungen anzupassen, ohne dabei die Integrität und die Kontinuität ihres Unternehmens zu vernachlässigen. Im Lagebericht wird festgehalten, dass hier zwar Fortschritte bemerkbar sind, diese jedoch bei weitem noch nicht ausreichen.
Was bedeuten die Erkenntnisse des Bundeslageberichts für die Zukunft?
Genau genommen erzählt der Bundeslagebericht 2024 wenig Neues. Bereits in den vergangenen Jahren wurde festgestellt, dass die Anzahl der Cyber Attacken zunimmt. Die Tendenz zu mehr Angriffen auf KMU und Kommunen war ebenfalls letztes Jahr schon zu erkennen und wird durch den aktuellen Bericht noch einmal deutlicher. Daraus kann nur ein Schluss folgen:
Die vom BSI geforderte Cyberresilienz wird tatsächlich immer wichtiger. Europa sicherer zu machen ist auch die Grundidee der NIS-2 Richtlinie. Ursprünglich sollte das Gesetz bis zum 17. Oktober 2024 in nationales Recht umgesetzt sein. Das ist in vielen europäischen Ländern und auch Deutschland noch nicht passiert. Trotz voraussichtlicher Neuwahlen ist jedoch damit zu rechnen, dass das Gesetz in Deutschland 2025 in Kraft tritt. Damit wird es für ca. 30.000 Unternehmen sogar gesetzlich verpflichtend sich mit dem IT-Sicherheit zu beschäftigen.
Wir sind werden auf jeden Fall mit Interesse beobachten, wie sich die dadurch steigenden Sicherheitsmaßnahmen und vor allem auch die geforderten Meldepflichten auf den Lagebericht 2025 auswirken!