Cyberattacken
Der Druck auf Deutschlands Wirtschaft wächst

Deutschlands Wirtschaft ist schlecht gegen Cyberangriffe gewappnet. Ob Hackergruppen aus China oder Cyberkriminelle aus Russland - das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, sieht die größten Herausforderungen derzeit bei den Unternehmen.

BSI-Präsidentin Claudia Plattner sagte bei der Vorstellung des jüngsten Lageberichts zur Cybersicherheit im November 2025, die Bedrohung habe sich auf hohem Niveau stabilisiert: „Wir müssen festhalten, dass wir in der Tat nach wie vor unzureichend geschützte Angriffsflächen in Deutschland haben.” Was das in Zahlen heißt und wie sich deutsche Unternehmen besser gegen Cyberangriffe aufstellen könnten.

Die deutsche Wirtschaft verzeichnet Rekordschäden durch Cyberkriminalität. Im Jahr 2024 stiegen sie laut einer Bitkom-Studie auf rund 267 Milliarden Euro. 81 Prozent der Unternehmen berichten, bereits Opfer von Angriffen geworden zu sein. Weitere zehn Prozent vermuten dies. 65 Prozent der Betriebe geben außerdem an, sich durch Cyberattacken in ihrer geschäftlichen Existenz bedroht zu fühlen. Die Angriffe erfolgen vor allem aus China und Russland. Drahtzieher sind überwiegend organisierte kriminelle Gruppen.

Trotz der hohen Bedrohungslage durch Cyberangriffe ist Deutschland in vielen Bereichen noch immer schlecht vorbereitet. Ein Schwachpunkt ist die veraltete IT-Infrastruktur. Vor allem kleine und mittlere Unternehmen (KMU) sind unzureichend geschützt.

Ende 2025 endete beispielsweise der Support für Microsoft Exchange 2016 und 2019. Mit dieser Software organisieren viele Unternehmen ihre Kontakte, E-Mails, Kalender und Aufgaben. In Deutschland werden seitdem dennoch rund 30.000 Systeme mit veralteten Versionen betrieben. Fachleute sprechen von einem „Volksproblem“. Da für diese Server keine Sicherheitsupdates mehr bereitgestellt werden, sind sie leicht angreifbar und eröffnen Hackern zusätzliche Einfallstore.

Viele kleine und mittelständische Unternehmen unterschätzen zudem das Risiko, Ziel eines Angriffs zu werden. Gleichzeitig haben sie wenig personelle und finanzielle Ressourcen. Mit rund 12 Milliarden Euro werde zu wenig Geld in Cybersicherheit investiert, beklagt Norbert Pohlmann, Informatikprofessor an der Westfälischen Hochschule.

Seit Ende 2025 gelten für rund 30.000 Unternehmen in 18 Sektoren strengere Cybersicherheitsauflagen. Deutschland hat damit eine neue EU-Cybersicherheitsrichtlinie zur Netz- und Informationssicherheit (NIS-2) umgesetzt. Unternehmen müssen nun den Stand ihrer Cybersicherheit überprüfen und gegebenenfalls Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen einführen.

Dazu zählt eine 24-Stunden-Meldepflicht für Vorfälle. 2024 wurde in Nordrhein-Westfalen nur ein Bruchteil der Angriffe angezeigt, sagt Markus Hartmann, Leiter der Zentralen Ansprechstelle Cybercrime NRW. Bei 660.000 Unternehmen gebe es derzeit nur 130 laufende Verfahren.

Die Geschäftsführung rückt nun auch persönlich in die Verantwortung und muss Schulungen absolvieren. Bei Verstößen gegen die Auflagen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Mit dem am 29. Januar 2026 vom Bundestag beschlossenen KRITIS-Dachgesetz liegt außerdem erstmals ein bundesweit einheitlicher Rechtsrahmen für den physischen Schutz Kritischer Infrastruktur vor. Dazu zählen etwa Wasserwerke, Krankenhäuser oder Telekommunikationsunternehmen. Es verpflichtet Betreiber zu Risikoanalysen und Notfallplänen. In einem Arbeitspapier der Bundesakademie für Sicherheitspolitik begrüßen die Autorinnen das Gesetz, weil es die Bedeutung wirtschaftlicher Widerstandsfähigkeit anerkenne.

Früher war Phishing oft durch schlechtes Deutsch erkennbar, auf Sicherheitslücken folgte erst nach einigen Tagen ein Angriff, weil die Programmierung der passenden Schadsoftware länger dauerte. Heute sind Angreifer deutlich schneller und professioneller unterwegs.

Mathias Petry, der bei Vodafone im Bereich Bedrohungsabwehr arbeitet, spricht von einem notwendigen “KI-Battle”. Da Angreifer zunehmend KI einsetzen, müssten Unternehmen ebenfalls auf automatisierte KI-Systeme setzen, um Angriffe in Echtzeit abzuwehren.

Der Informatikexperte Norbert Pohlmann schlägt eine engere Vernetzung von Staat, Wirtschaft und Wissenschaft vor. Etwa durch Kompetenzzentren, die staatlich oder über Berufsverbände und Handelskammern organisiert werden. Internationale Vorbilder sind Schweden, Finnland und Estland, die Unternehmen fest in nationale Sicherheitskulturen einbinden.

Die Bundesregierung plant außerdem einen „Cyber-Dome“, einen digitalen Schutzschild für Wirtschaft, Verwaltung und Gesellschaft. In Zusammenarbeit mit Israel werden dafür neue Technologien entwickelt.