BSI: IT‑Sicherheitslage bleibt angespannt
Das BSI hat am 11. November 2025 den neuen Jahresbericht „Die Lage der IT-Sicherheit in Deutschland 2025“ veröffentlicht. Die Bewertung der Behörde fällt klar aus: Deutschland bleibt trotz Verbesserungen bei der Cyberresilienz weiterhin eine angreifbare Zielstruktur für Cyberkriminelle und staatlich organisierte Angreifer.
Wachsende Schwachstellen und vergrößerte Angriffsflächen
- Im Berichtszeitraum (Juli 2024 bis Juni 2025) stieg die Zahl der täglich neu entdeckten Sicherheitslücken um 24 Prozent gegenüber dem Vorjahr.
- Besonders kritisch sind nach Einschätzung des BSI Webanwendungen und Serverkonfigurationen: Fehlende oder verspätete Patches, unsichere Standardkonfigurationen sowie ungepatchte bekannte Schwachstellen stellen weiterhin gravierende Einfallstore dar.
- Der Bericht konstatiert eine stetige Vergrößerung der Angriffsflächen – sowohl in Wirtschaft, bei KMU und Dienstleistern, als auch in der öffentlichen Verwaltung.
Cyberbedrohungen in Vielfalt und Professionalisierung
- Zu den vordringlichen Bedrohungsszenarien zählen Ransomware, gezielte Angriffe durch staatlich gesteuerte Gruppen (APT), Ausnutzung unentdeckter Zero-Day-Schwachstellen sowie Angriffe auf Dienstleister mit weitreichenden Relevanzketten.
- Der Bericht mahnt, dass viele Systeme auch durch vermeidbare Fehlkonfigurationen und mangelndes Patch‑Management angreifbar bleiben.
Fortschritte – aber langsam und ungleich verteilt
- Insgesamt wird eine Zunahme der Widerstandsfähigkeit (Resilienz) gegenüber Cyberangriffen beobachtet, insbesondere bei großen Unternehmen und kritischer Infrastruktur.
- Dennoch reichen diese Fortschritte nicht aus, um das rapide wachsende Risiko voll auszugleichen. Viele kleine und mittlere Unternehmen (KMU), Dienstleister und Teile der öffentlichen Verwaltung bleiben strukturell verwundbar.
Relevanz für Datenschutz und Sicherheitsverantwortliche
Für Datenschutzverantwortliche und Sicherheitsbeauftragte unterstreicht der Bericht eine zentrale Einsicht: Cybersicherheit ist keine Nebenaufgabe, sondern integraler Bestandteil von Risiko- und Compliance‑Management. Insbesondere folgende Maßnahmen gewinnen an Bedeutung:
- konsequentes Schwachstellen- und Patch‑Management,
- „Security by Design“ und „Secure Configuration“ auch bei kleinen oder standardisierten Systemen,
- Verstärkung von Monitoring und Incident-Response-Kapazitäten,
- gezielte Sensibilisierung und Schulung der Mitarbeitenden,
- erhöhte Aufmerksamkeit bei Dienstleistern und der Lieferketten-Sicherheit.
(Foto: ImageFlow – stock.adobe,com)
Letztes Update:01.12.25
Verwandte Produkte
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

