BSI warnt vor "unzureichend geschützten Angriffsflächen" und "digitaler Sorglosigkeit"

Der aktuelle Lagebericht des BSI sendet eine deutliche Botschaft, dass die digitale Sicherheitslage in Deutschland trotz aller Erfolge angespannt bleibt. Obwohl die Zahl der Schwachstellen und Angriffe rapide wächst, unterschätzt vor allem der Mittelstand die damit verbundenen Gefahren.

(Foto: GettyImages – Black_Kira)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen aktuellen Bericht zur Lage der IT-Sicherheit 2025 vorgelegt. Im Zentrum steht die mahnende Erkenntnis, dass die Gefahrenlage in Deutschland angespannt bleibt, oft aber fahrlässig unterschätzt wird. In der Wahrnehmung tragen dazu ausgerechnet operative Erfolge wie die Zerschlagung der LockBit-Gruppe bei, die vielen Unternehmensverantwortlichen mehr Sicherheit suggerieren. Tatsächlich jedoch wachsen der Hydra der Cyberkriminalität ständig neue Köpfe und Gruppen nach, die zu neuen und ausgeweiteten Angriffen blasen.

Der Feind in meinem Device

Wie das BSI eindringlich warnt, finden diese mannigfach Möglichkeiten für Kampagnen durch eine Vielzahl "unzureichend geschützte Angriffsflächen". Das hat mehrere Ursachen. Während etwa auf der einen Seite die Zahl der Schwachstellen rapide ansteigt, ist auf der anderen Seite die Reaktion darauf oft viel zu langsam. Aktuell kommen demnach täglich im Durchschnitt 119 neue Schwachstellen dazu, fast ein Viertel (24 Prozent) mehr als im Vorjahr. Neben klassischen Softwarelücken gehören dazu auch Schwachstellen durch "Insecure Design" sowie kompromittierte IoT-Geräte, die teils bereits ab Werk mit Schadsoftware infiziert sind, wie das etwa bei "BadBox" der Fall war.

"Wir ertrinken in Schwachstellen, mit 119 neuen pro Tag, aber das eigentliche Problem ist die mangelnde IT-Hygiene. Die größten Einfallstore sind nach wie vor veraltete und ungepatchte Systeme. Angreifer wissen das und nutzen es aus; sie setzen sogar gezielt EDR-Killer ein, um eine lückenhafte Verteidigung komplett auszuhebeln.

Genau hier zeigt sich die Schwäche vieler Sicherheitskonzepte - Man kann nicht schützen, was man nicht sieht. Ohne eine 100-prozentige, akkurate Echtzeit-Sichtbarkeit und Kontrolle über jeden einzelnen Endpoint bleibt jede Verteidigungsstrategie ein reines Glücksspiel." Zac Warren, Chief Security Advisor EMEA, Tanium (Foto: Tanium)

"Wenn Geräte bereits ab Werk infiziert in den Handel kommen, entsteht ein unkalkulierbares Risiko. Für Betreiber Kritischer Infrastrukturen, deren IT- und OT-Netze immer stärker zusammenwachsen, ist diese Entwicklung existenzbedrohend", mahnt Kristian von Mejer, Director Central & Eastern Europe bei Forescout, diesen "Weckruf" ernst zu nehmen. Aus seiner Sicht sind klassische reaktive Sicherheitsansätze bei solchen Gefahren "zum Scheitern verurteilt". Er empfiehlt deshalb: "Unternehmen müssen dringend zu einer proaktiven Risikosteuerung übergehen. Die unverzichtbare Basis dafür ist eine vollständige Echtzeit-Transparenz über absolut jedes Gerät im Netzwerk, egal ob IT, IoT oder OT."

Lösegeldzahlungen auf Rekordniveau

Während die IT-Budgets vielerorts stagnieren, bezahlen deutsche Unternehmen immer häufiger und immer mehr Lösegeld an die Cyber-Erpresser (Foto: BSI)

Wie sehr sich die Cyberkriminellen auf solche Schwachstellen als Einfallstore stürzen, zeigt sich deutlich daran, dass die Zahl der Exploitation-Angriffe gegenüber 2024 um 38 Prozent angestiegen ist und damit nochmals schneller zulegt als die Zahl der dafür genutzten Sicherheitslücken. Meist legen es die Angreifer bei solchen Attacken auf Erpressung an und nutzen eine hybride Strategie aus Datenverschlüsselung und Datenabfluss, um ihre Chancen zu maximieren. Offensichtlich mit Erfolg: Denn auch die durchschnittlich von den Opern gezahlten Lösegelder haben laut BSI einen neuen Höchststand seit Beginn der Aufzeichnungen erreicht.

"Die digitale Landschaft wird zunehmend komplexer, da immer mehr Geräte, Systeme und Dienste miteinander vernetzt sind. Der stetige Anstieg an Schwachstellen und die wachsende Interkonnektivität markieren einen Wendepunkt in der Cybersicherheit", fasst Peter Machat, Senior Director EMEA Central bei Armis, zusammen und konstatiert: "Organisationen stehen nicht mehr vor einzelnen Problemen, die sich mit einem einfachen Patch beheben lassen, sondern vor einer sich stetig ausweitenden Angriffsfläche, die IT-, OT- und IoT-Umgebungen gleichermaßen umfasst."

"119 neue Sicherheitslücken pro Tag: Die neuen BSI-Zahlen machen Schlagzeilen - und das völlig zu Recht. Ein Aspekt wird dabei aber nicht ausreichend beleuchtet: Würde man überhaupt merken, wenn jemand eine dieser Schwachstellen in unserer Cloud ausnutzt? Die unbequeme Wahrheit, der sich CISOs gegenüber sehen: Die meisten Security-Teams haben noch nicht die Kapazität und Fähigkeit aufgebaut, Cloud-Angriffe zu untersuchen und in Echtzeit darauf zu reagieren." Sergej Epp, Chief Information Security Officer, Sysdig (Foto: Sysdig)

Backups sind kein Schutz

"Zwei Erkenntnisse des Berichts müssen Security-Verantwortlichen besonders zu denken geben. Zum einen die Erwähnung von Access Brokern, die gestohlene Zugangsdaten im Darknet handeln, zeigt, dass der Angriff oft schon stattgefunden hat, bevor er im eigenen Netz sichtbar wird.
Die zweite Erkenntniss: Die kompromittierten IoT-Geräte, die bereits infiziert aus der Fabrik kommen, sind der ultimative Beweis für das enorme Third-Party-Risiko. Unternehmen sind heute nur so sicher wie das schwächste Glied in ihrer digitalen Lieferkette. Ein kontinuierliches Monitoring des Darknets und der externen Angriffsfläche ist daher unerlässlich." Eric Litowsky, Regional Director, BlueVoyant (Foto: BlueVoyant)

Im Zuge dieser zunehmenden Vernetzung wachsen auch die von jeder einzelnen Lücke oder Lässlichkeit ausgehenden Risiken exponentiell an, da sie als schwächstes Glied nun Teil eines viel weitreichenderen Systems sind, das sie mit in Gefahr bringen. Zu viele Sicherheitsverantwortliche hinken dieser Entwicklung allerdings noch immer hinterher und konzentrieren sich auf reaktive Abwehrschemen und Einzelmaßnahmen. Im Hinblick auf die Erpressungsmodelle haben viele Verantwortliche etwa noch immer vorwiegend das Risiko der Verschlüsselung im Blick und versuchen, sich mit Backups und Business-Continuity gegen die Folgen erfolgreicher Angriffe zu wappnen.

In ihre Richtung gewandt warnt das BSI deshalb explizit, dass Backups zwar essenziell für die Weiterführung des Betriebs sind, aber nicht gegen Datenleaks und ihre Folgen wie Imageverlust, Industriespionage, oder Datenschutz-verfahren und -Strafen helfen. Eine klare Ansage, die so auch Michael Heuer, Area VP Central Europe / DACH bei Keepit, unterstreicht: "Die Analyse zu Ransomware lässt dieses Jahr aufhorchen. Angreifer kombinieren Verschlüsselung mit Datenlecks und erzielen so Rekord-Lösegelder. Damit ist klar, dass ein traditionelles Backup als alleinige Antwort auf Erpressungstrojaner ausgedient hat."

Deshalb müsse dem Schutz Angriffsfläche höchste Priorität eingeräumt werden, fordern das BSI und mehrere Experten. "Schwachstellen und damit Angriffsflächen wachsen schneller, als die meisten IT-Teams patchen können", stimmt dem auch Max Imbiel, Field CISO DACH von Cloudflare, zu und folgert in Bezug auf die eigene Verantwortung: "Als CISOs müssen wir aufhören, der Komplexität mit noch mehr Silo-Tools zu begegnen. Der Weg zu mehr Resilienz, den das BSI fordert, führt über Plattform-Konsolidierung, konsequente Implementierung von Zero Trust und die Absicherung unserer Anwendungen an der Netzwerkgrenze."

"Der BSI-Lagebericht 2025 ist kein Alarmruf mehr – er ist die Bestätigung der neuen Normalität. Die Fortschritte bei KRITIS sind gut, aber die mangelhafte Umsetzung von Basisthemen und Cyber Hygiene in der Breite bleibt besorgniserregend." Max Imbiel, Field CISO DACH, Cloudflare (Foto: Cloudflare)

Der Mittelstand als leichtes Opfer

Eine weitere besonders wichtige Erkenntnis des BSI-Lageberichts ist, dass die Angreifer auf der Suche nach "leichter Beute" ihre Opfer sehr häufig im Mittelstand finden. Fast vier von fünf Cyberattacken richten sich gegen kleine und mittlere Unternehmen (KMU). Das liegt nicht nur an fehlenden Kompetenzen und Fachkräften, um sich gegen moderne Angriffsmethoden und -Wege zu schützen, sondern auch an einer gefährlichen Fehleinschätzung. Wie der Lagebericht ausführt, schätzen mehr als 90 Prozent der KMU ihre eigene Sicherheit als "gut" ein. Untersuchungen des BSI deuten hingegen eher auf das genaue Gegenteil hin: Ihnen zufolge erfüllen deutsche KMU im Durchschnitt nur 56 Prozent der Basisanforderungen des CyberRisikoChecks.

Noch unbedarfter sind nur die Endverbraucher unterwegs, bis hinein ins Paradoxe. Anstatt sich über Reaktionsmöglichkeiten auf die zunehmenden digitalen Gefahren zu informieren und einfach verfügbare Hilfsmittel wie Zwei-Faktor-Authentifizierung (2FA) und Passwortmanager zu nutzen, stecken sie lieber sprichwörtlich den Kopf in den Sand. In den letzten 12 Monaten sind deshalb sowohl die Bekanntheit als auch die Nutzung solcher Sicherheits-Hilfsmittel gesunken. Auf Nachfrage gibt eine Mehrheit der Menschen an, dass ihnen entsprechende Verfahren und Methoden "zu kompliziert" seien.

Gefährliche Wahrnehmungsschere

Das BSI konstatiert deshalb eine "digitale Sorglosigkeit", die eine fatale Lücke zwischen der eskalierenden Bedrohungslage und der notwendigen persönlichen Verteidigungsbereitschaft aufreißt. Diese wird spätestens in dem Moment auch wieder eine Gefahr für Unternehmen und Wirtschaft, wenn die Nutzer diese unvorsichtige Einstellung mit an den Arbeitsplatz bringen. "Sich auf den 'Faktor Mensch' als letzte Verteidigungslinie zu verlassen, ist eine verlorene Wette", schließt deshalb auch Cloudflare-CISO Max Imbiel.

Bild wird eingefügt...

"Die vielleicht alarmierendste Erkenntnis dieses Jahres ist die wachsende 'digitale Sorglosigkeit' der Bürger. Die Nutzung essenzieller Schutzmaßnahmen wie 2FA geht zurück, weil sie als zu kompliziert empfunden werden. Diese Lücke zwischen der hohen Phishing-Bedrohung und dem Anwenderverhalten ist fatal.
Die Antwort darauf kann nur Technologie sein, die beides ist: maximal sicher und gleichzeitig intuitiv. Phishing-resistente Methoden wie Passkeys, idealerweise auf Hardware-Token, lösen genau dieses Dilemma und machen Sicherheit endlich einfach." Alexander Koch, SVP Sales EMEA, Yubico (Foto: Yubico)

Aus Sicht von Thomas Boele, Regional Director Sales Engineering CER/DACH von Check Point, bestätigt der BSI-Lagebericht eine sich bereits seit Jahren abzeichnende Entwicklung, die ein neues Denken bei der Sicherheitsstrategie erfordert: "Cybersicherheit ist kein Zustand, sondern ein Prozess. Widerstandsfähigkeit entsteht nicht durch Reaktion, sondern durch vorausschauende Vorbereitung – und durch das konsequente Umsetzen von Prinzipien wie Zero Trust und Intrusion Kill Chain. Nur so lässt sich die digitale Souveränität nachhaltig sichern."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden