Seit Jahren beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Lage der IT-Sicherheit in Deutschland. Daraus entsteht der jährliche BSI-Lagebericht in dem aktuelle Statistiken zu Vorfällen und Sicherheitsmaßnahmen wiedergegeben werden. Am 11. November wurde entsprechend der BSI-Lagebericht 2025 veröffentlicht. Wir tragen Ihnen in diesem Blog-Beitrag die wichtigsten Ergebnisse für Firmen zusammen. Darüber hinaus zeigen wir, warum der BSI Sicherheitscheck (oder auch Cyber-Risiko-Check) vor allem für kleinere Unternehmen eine wichtige Rolle für die IT-Sicherheit spielen kann und wieso es sinnvoll ist, sich für den großen Bereich der Cyber Security Hilfe zu suchen.
Wie bewertet der BSI-Lagebericht von 2025 die IT-Sicherheit von Unternehmen?
Für Firmen steht eindeutig fest, dass Cyber Angriffe sich immer weiter weg von großen geplanten Aktionen entwickeln zu kleineren, die leichter durchzuführen sind. Der BSI-Lagebericht spricht davon, dass im Berichtszeitraum vom 1. Juli 2024 bis zum 30, Juni 2025 insgesamt 950 Anzeigen wegen Ransomware getätigt wurden. Davon gab es bei 72 Prozent auch Datenleaks. Besonders hervor hebt der BSI-Lagebericht, dass 80 Prozent dieser Angriffe von kleinen und mittleren Unternehmen (KMU) gemeldet wurden. Vor allem bieten Firmen Web-Angriffsflächen und sollten hier dringend ihre IT-Sicherheit stärken. Tatsächlich gibt es vor allem hier viele Schwachstellen, die bekannt sind, aber oft zu spät oder gar nicht gepatcht werden. Der BSI-Lagebericht spricht von durchschnittlich 119 neuen bekannten Schwachstellen. Ein Schutz dieser offenen Stellen sollte für Unternehmen genauso selbstverständlich werden, wie es aktuell bereits häufig im Mail-Bereich ist. Vor allem für KMU ist es dabei ohne Cyber Security Hilfe nicht immer möglich zeitnah alle Updates einzuspielen und sie werden dadurch ein beliebtes Angriffsziel.
Gibt es auch positive Neuigkeiten im BSI-Lagebericht?
Tatsächlich beschreibt das BSI auch einige positive Entwicklungen. Beispielsweise konnte durch die verbesserte internationale Strafverfolgung die beiden sehr aktiven Angriffsgruppen LockBit und Alphv nahezu vollständig eliminiert werden. Auch Botnetze wurden aktiv bekämpft. Die Anzahl an neu entstandenen maliziösen Webseiten ist 2025 leicht zurückgegangen. Dabei muss man jedoch erwähnen, dass der BSI-Lagebericht im dritten Quartal 2024 einen absoluten Höchstwert von 284.698 nennt. Zum Vergleich: Im zweiten Quartal 2025 sind es „nur“ noch 87.759 neue Webseiten. Immer noch eine sehr hohe Zahl, die sich natürlich negativ auf die IT-Sicherheit in Deutschland auswirkt und das nicht nur auf Unternehmen, sondern auch auf private Nutzer und Behörden.
Was sagt der BSI-Lagebericht über etwaige Schutzmaßnahmen aus?
Zumindest im Bereich der Verbraucher zeichnet sich in eine eher negative Entwicklung ab. In allen Bereichen für Zugriffsschutz lässt sich ein deutlicher Rückgang verzeichnen. So nutzten beispielsweise 2023 noch 42 Prozent der Befragten die Zwei-Faktor-Authentifizierung, während es 2025 nur noch 34 Prozent waren. Tatsächlich gibt es hier auch immer noch eine deutliche Diskrepanz zwischen dem Wissen, um diese Schutzmaßnahmen und der tatsächlichen Umsetzung, denn immerhin 44 Prozent gaben an, die Zwei-Faktor-Authentifizierung zumindest zu kennen. Trotzdem sind 44 Prozent natürlich immer noch nicht so viel. Wir sind davon überzeugt, dass auch in vielen Unternehmen noch einiges an Unsicherheit bezüglich IT Sicherheit herrscht. Der BSI Sicherheitscheck wäre deshalb eine Maßnahme, um hier Abhilfe zu schaffen.
Was ist der BSI Sicherheitscheck für KMU?
Der BSI-Lagebericht zeigt mal wieder, dass Deutschland noch etwas Cyber Security Hilfe gebrauchen kann. Tatsächlich wurde genau deshalb der BSI Sicherheitscheck für kleine und mittlere Unternehmen entwickelt. Dieser bietet sich vor allem für einen ersten Überblick über verschiedene Maßnahmen an. Er ersetzt jedoch kein Security Audit von bereits vorhandenen Maßnahmen. Beim BSI Sicherheitscheck geht ein ausgebildeter Berater mit dem IT-Verantwortlichen des Unternehmens und/oder dem Geschäftsführer einen vom BSI festgelegten Fragenkatalog durch. Es wird festgehalten, welche Maßnahmen bereits implementiert wurden und welche noch fehlen. Im Anschluss kann definiert werden, wie das Unternehmen im Bereich Cyber Security aufgestellt ist und wo noch Hilfe von Nöten ist. Der BSI Sicherheitscheck richtet sich damit hauptsächlich an KMU und wenn er positiv beendet wird, kann der Geschäftsführer davon ausgehen, zumindest das Mindeste an IT-Sicherheit implementiert zu haben.
Ausblick in die Zukunft
Leider zeigt der BSI-Lagebericht Jahr um Jahr wieder, dass viele Unternehmen nicht einmal das geforderte Mindestmaß des BSI-Sicherheitschecks vorweisen können. Immer wieder begehen die Befragten den Trugschluss, dass ihr Unternehmen für Kriminelle nicht interessant sei. Die statistischen Zahlen sprechen jedoch eine eindeutige Sprache. KMU werden auch zukünftig weiter in den Fokus rücken. Bei vielen ist natürlich nicht so viel Geld zu holen, wie vielleicht bei den großen Unternehmen. Allerdings ist dieses viel leichter zu bekommen. Für die Unternehmen wiegt der Vorfall oft deutlich schwerer als für große Firmen. In den letzten Jahren häufen sich die Meldungen von Unternehmen, die nach einem Ransomware-Angriff Insolvenz anmelden müssen. Wir raten deshalb vor allem KMU dazu, jetzt in IT-Sicherheit zu investieren und nicht im nächsten BSI-Lagebericht die Statistik der Vorfälle noch einmal mit dem eigenen Unternehmen zu erhöhen.
Sprechen Sie uns gern an und wir informieren Sie genauer über den BSI Sicherheitscheck und weitere Möglichkeiten sich abzusichern.
Den BSI-Lagebericht mit allen erfassten und von uns genannten Daten finden Sie direkt als auf der Webseite des BSIs.