Cyberkrieg made in Germany

Staatliche Hacker, Ransomware, Desinfo: Der BSI-Bericht zeigt – Deutschland steht digital unter Feuer. Wie können wir uns verteidigen?

Der neue Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt: Deutschland steht im Fadenkreuz. Staatlich gesteuerte Akteure, organisierte Cyberkriminelle und zunehmend auch Desinformationskampagnen greifen Wirtschaft, Verwaltung und Politik gleichermaßen an. Die IT-Sicherheitslage bleibt angespannt, die Schäden steigen – mehr als 200 Milliarden Euro pro Jahr für die deutsche Wirtschaft.

„Stabilisierung ja – aber auf hohem Bedrohungsniveau“

Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner betonten bei der Vorstellung in der Bundespressekonferenz, dass sich die Bedrohungen stabilisieren, weil die Abwehr gestärkt wurde. Doch das klingt trügerisch beruhigend: Die Angriffsflächen wachsen schneller als unsere Schutzmaßnahmen. Jede neue Cloud-Anwendung, jede vernetzte Kommune und jedes schlecht gewartete IT-System öffnet Türen, durch die Angreifer gehen können.

Täglich tauchen laut BSI 280.000 neue Schadprogramm-Varianten auf, fast 1 000 Ransomware-Attacken wurden allein im letzten Jahr angezeigt – die Dunkelziffer dürfte zehnmal so hoch liegen. Besonders gefährdet sind kommunale Verwaltungen und Mittelständler, die weder ausreichend Personal noch Budget für Cybersicherheit haben. Wenn Ransomware die Stadtverwaltung lahmlegt, spüren das am Ende die Bürger, die keinen Pass beantragen oder keine Sozialleistung ausgezahlt bekommen.

„Resilienz“ darf kein Schlagwort bleiben

Das BSI fordert mehr Resilienz, also Widerstandsfähigkeit. Doch Resilienz braucht Geld, klare Zuständigkeiten – und Mut, auch unpopuläre Prioritäten zu setzen. Viele Kommunen und Mittelständler sind finanziell am Limit; sie können sich keine eigene Security-Abteilung leisten. Hier rächt sich, dass Cybersicherheit lange als Nebenthema galt.

Das angekündigte Projekt „Cyberdome“ – eine nationale Plattform zur Früherkennung und Abwehr – klingt ambitioniert. Wenn es gelingt, Sicherheitsbehörden mit technischer Befugnis auszustatten, Angriffe aus dem Ausland früh zu erkennen und zu blockieren, wäre das ein echter Schritt in Richtung digitaler Souveränität. Entscheidend ist, dass es keine symbolische Maßnahme, sondern ein funktionsfähiges, agiles Abwehrsystem wird.

Die Schwachstelle sitzt oft im Alltag

Plattner sprach offen über die wunden Punkte: 30.000 verwundbare Microsoft-Exchange-Server, 119 neue Schwachstellen täglich (ein Zuwachs von 24 Prozent im Vergleich zum Vorjahr), ein Zuwachs der Gefährdungen insgesamt um 38 Prozent. Das zeigt: Die Technik ist nicht das Problem – das Versäumnis ist menschlich. Updates werden nicht eingespielt, Passwörter wiederverwendet, Sicherheitslücken ignoriert. In der Industrie sind veraltete VPN-Lösungen noch immer Standard.

Solange Cybersicherheit in Chefetagen nur als Kostenfaktor gilt, bleiben Angriffe erfolgreich. Unternehmen brauchen klare Verantwortlichkeiten und einen kontinuierlichen Prozess – nicht nur eine jährliche Prüfung.

NIS-2: Pflicht statt Kür

Mit der neuen EU-Richtlinie NIS-2 wird Cybersicherheit erstmals rechtlich verpflichtend: Rund 30.000 Unternehmen in Deutschland müssen künftig ein Informationssicherheits-Managementsystem betreiben, Sicherheitsvorfälle binnen 24 Stunden melden und ihr Management haftet persönlich bei Verstößen. Das ist richtig – und überfällig.

Doch viele Mittelständler wissen davon noch nichts. Hier ist das BSI gefordert, nicht nur zu regulieren, sondern zu befähigen: durch praxisnahe Leitfäden, Schulungen und einheitliche Ansprechstellen beim BSI. Cybersicherheit wird zur Standortfrage – wer sich nicht schützt, gefährdet nicht nur sich selbst, sondern auch Lieferketten und öffentliche Dienste.

Mehr als Technik

Der Lagebericht endet mit einer klaren Botschaft: Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe. Es geht nicht nur um Firewalls und Backups, sondern um Aufklärung, Bildung und Verantwortungsbewusstsein. Die gute Nachricht: Die Resilienz wächst – langsam, aber messbar.

Deutschland kann digital souverän sein, wenn Politik, Wirtschaft und Verwaltung begreifen, dass IT-Sicherheit kein Spezialthema ist, sondern Kern nationaler Sicherheitsarchitektur. Wer heute in Cyberschutz investiert, schützt morgen nicht nur Daten, sondern die Handlungsfähigkeit unserer Demokratie.