Ransomware bedroht weiter deutsche Unternehmen. Zwar zahlen nur noch 7 Prozent der Geschädigten Lösegeld, doch die durchschnittliche Lösegeldhöhe ist um 65 Prozent gestiegen. Das BKA-Bundeslagebild Cybercrime 2025 zeigt zudem eine Verschiebung hin zu Data Extortion, mehr Hacktivismus und KI-gestützten Angriffen.
Laut BKA zahlen nur noch 7 Prozent der Ransomware-Opfer Lösegeld. Die durchschnittliche Lösegeldhöhe ist jedoch um 65 Prozent gestiegen.
(Bild: Gemini / KI-generiert)
Das Bundeskriminalamt (BKA) hat das Bundeslagebild Cybercrime 2025 vorgelegt und zeichnet darin ein Bild stetig wachsender Cyberkriminalität. Insgesamt verzeichnete die Polizeiliche Kriminalstatistik 333.922 Cybercrime-Delikte im engeren Sinne, ein leichter Anstieg um 0,2 Prozent gegenüber dem Vorjahr.
Aussagekräftiger ist die strukturelle Verteilung. Mit 207.888 Auslandstaten übersteigt die Zahl der Angriffe aus dem Ausland die Inlandstaten von 126.034 inzwischen deutlich. Während Cybercrime in der Inlandsstatistik nur 2,3 Prozent aller Delikte ausmacht, sind es bei den Auslandstaten beinahe ein Drittel. Die Aufklärungsquote spiegelt dieses Ungleichgewicht wider, Inland 31,4 Prozent, Ausland nur 2,0 Prozent.
Für Security-Verantwortliche bedeutet das, der Großteil der Bedrohungen bleibt strafrechtlich faktisch ungeahndet. Resilienz und Prävention im eigenen Haus sind damit die einzigen wirksamen Hebel.
Ransomware bleibt die zentrale Unternehmensbedrohung
Die Zahl der polizeilich angezeigten Ransomware-Vorfälle stieg 2025 auf 1.041, ein Plus von 10 Prozent gegenüber den 950 Fällen im Vorjahr. 90 Prozent dieser Angriffe richteten sich gegen kleine und mittlere Unternehmen, 96 Prozent gegen Organisationen, Institutionen und Unternehmen insgesamt. Rund 76 Prozent der Vorfälle folgten dem Modus Operandi der Double Extortion, also der Kombination aus Verschlüsselung und Datendiebstahl mit Erpressung.
Die typischen Angriffsmonate verschoben sich. Während in Vorjahren in den Sommermonaten ein Rückgang zu beobachten war, traten 2025 die meisten Vorfälle in den Monaten März, Juli und Oktober auf. Eine saisonale Entlastung gab es nicht mehr.
Auf den sogenannten Dedicated Leak Sites wurden 292 deutsche Geschädigte öffentlich erpresst, ein Anstieg um 88 Prozent. Aktivste Varianten gegen deutsche Ziele waren Akira, SafePay, INC/Lynx, LockBit und Qilin. Insgesamt registrierte das BKA rund 100 verschiedene Ransomware-Familien gegen deutsche Geschädigte.
Der wohl widersprüchlichste Befund des Lageberichts betrifft die Zahlungsdynamik. Nur noch 7 Prozent der deutschen Geschädigten zahlten 2025 ein Lösegeld, im Vorjahr waren es 9 Prozent. International liegt die Quote laut Coveware bei 24 Prozent (https://www.coveware.com/ransomware-quarterly-reports), ebenfalls deutlich gesunken von 30 Prozent.
Wer zahlt, zahlt jedoch deutlich mehr. In Deutschland stieg die durchschnittliche Lösegeldzahlung um 65 Prozent von 276.615 auf 456.335 US-Dollar. Die Gesamtsumme aller erfassten Zahlungen kletterte um 93 Prozent auf 15,5 Millionen US-Dollar. Weltweit erfasste Coveware eine durchschnittliche Zahlung von 662.944 US-Dollar bei einem Anstieg von 47 Prozent. Chainalysis dokumentierte sogar einen Anstieg der durchschnittlichen Lösegeldhöhe um 368 Prozent.
Das BKA interpretiert das als ökonomische Anpassungsstrategie. Sinkende Zahlungsbereitschaft zwingt Ransomware-Akteure dazu, mehr Angriffe durchzuführen und gleichzeitig höhere Forderungen zu stellen. Parallel verlagert sich ein Teil der Szene auf reine Data Extortion ohne Verschlüsselung. Die Gruppierung WorldLeaks, hervorgegangen aus den Strukturen von HIVE und Hunters International, hat seit Mai 2025 vollständig auf dieses Modell umgestellt.
DDoS wird durch Hacktivismus zur politischen Waffe
Im Netz der Deutschen Telekom AG wurden 2025 insgesamt 36.706 DDoS-Angriffe registriert, ein Anstieg um 25 Prozent gegenüber 29.399 im Vorjahr. Im europäischen Vergleich misst der Dienstleister Link11 sogar einen Anstieg von über 75 Prozent. Auffällig ist die veränderte Angriffscharakteristik. Bandbreite (minus 41 Prozent) und Dauer (minus 15 Prozent) sinken, gleichzeitig steigt die Frequenz. Cyberkriminelle setzen damit auf viele kurze Angriffe mit niedriger Bandbreite, oft koordiniert über IoT-Botnetze.
Besonders deutlich zeigt sich die Politisierung der DDoS-Landschaft. Hacktivistische Angriffsankündigungen und -meldungen gegen Ziele in Deutschland sind um 224 Prozent gestiegen, das BKA zählt über 700 Vorfälle. Die russlandnahe Gruppierung NoName057(16) führte 2025 zehn Angriffswellen gegen deutsche Ziele durch, 2024 waren es noch sechs. Die Zahl der Betroffenen stieg von 137 auf 378, ein Plus von 176 Prozent. Als Begründung führen die Akteure die deutsche Unterstützung der Ukraine an.
KI senkt die Einstiegshürde und verändert die Angriffsqualität
Erstmals widmet das BKA der KI-Nutzung durch Cyberkriminelle ein eigenes Kapitel im Lagebild. Ein konkretes Beispiel ist der Anthropic-Vorfall im September 2025, bei dem das Sprachmodell Claude für nahezu autonome Angriffe auf rund 30 Organisationen und Behörden missbraucht wurde. Die Angreifer zerlegten komplexe Angriffsketten in unauffällige Teilaufgaben, sodass jeder einzelne Prompt wie eine legitime Anfrage wirkte.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Daneben dokumentiert der Bericht mehrere Malware-Varianten, die während des Angriffs mit externen KI-Modellen interagieren. Lamehug, vom ukrainischen CERT-UA im Juli 2025 entdeckt, generiert dynamisch ausführbare Befehle auf dem Opfersystem. Promptflux verändert seinen eigenen Code bei jeder Ausführung, um signaturbasierte Erkennung zu umgehen.
Die Auswirkungen sind nach BKA-Einschätzung phänomenübergreifend. KI beschleunigt Phishing-Kampagnen, ermöglicht fehlerfreie Mehrsprachigkeit, unterstützt Reconnaissance und Schwachstellenerkennung und liefert Codingfähigkeiten auch an technisch wenig versierte Akteure. Gleichzeitig wird KI selbst zum Angriffsziel, etwa durch Indirect Prompt Injections gegen agentische KI-Systeme mit weitreichenden Befugnissen.
Die polizeilichen Erfolge 2025 sind beachtlich. Im Rahmen der Operation Endgame 2.0 im Mai (gegen Dropper/Loader wie Bumblebee, Qakbot, DanaBot, Trickbot) und Endgame 3.0 im November (gegen den Infostealer Rhadamanthys und den Fernzugriffs-Trojaner VenomRAT) konnten insgesamt über 1.300 Server abgeschaltet werden. Bei Endgame 3.0 wurden zudem über 200 Millionen US-Dollar in Kryptowerten gesperrt.
Aus dem Bundeslagebild lassen sich vier praxisrelevante Schwerpunkte für 2026 ableiten. Erstens treibt der Rekordschaden von 202 Milliarden Euro, den Bitkom als Folge von Cyberangriffen erhebt, die Diskussion um Cybersicherheit endgültig auf Vorstandsebene. Cybercrime verursacht inzwischen rund 70 Prozent des gesamten Schadens durch Wirtschaftskriminalität in Deutschland.
Zweitens müssen KMU als Hauptzielgruppe von Ransomware ihre Backup-, Detection- und Response-Strategien priorisieren. Die hohe Zahl der Nichtzahler zeigt, dass funktionierende Wiederherstellungsprozesse wirken.
Drittens braucht es eine eigene Verteidigungsstrategie für hacktivistische DDoS-Angriffe. Niedrige Bandbreite und kurze Dauer machen klassische Mitigationsmuster weniger wirksam, gefragt sind eher hochfrequente Filtermechanismen und automatisierte Erkennung niedrigvolumiger Angriffsmuster.
Viertens muss KI-Sicherheit in die Risikoanalyse einfließen. Wer agentische KI-Systeme einsetzt, schafft potenzielle Angriffsflächen mit weitreichenden Berechtigungen. Indirect Prompt Injections sind kein theoretisches Risiko mehr.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/f5/10f5bfe040cbd272a7fca177fbd99d2e/0131457175v2.jpeg "Laut BKA zahlen nur noch 7 Prozent der Ransomware-Opfer Lösegeld. Die durchschnittliche Lösegeldhöhe ist jedoch um 65 Prozent gestiegen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/8f/478f681fb719e187aebd62bed84ac17a/0131405244v2.jpeg "Der Authentication Bypass wie auch die anderen Sicherheitslücken im Nvidia Triton Inference Server können zu Denial-of-Service-Angriffen führen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/6c/8e6c180fceaa9fd7e03d529701bb4ec2/0129626445v1.jpeg "Hybride Angriffe verbinden digitale Attacken und physische Sabotage, Ausfälle bei Energie, Kommunikation und Finanzwesen treffen Unternehmen meist unmittelbar. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/9d/c89dba8e9b5c9a9040af0340cbe85fb3/0130888470v1.jpeg "Controlware und Sekoia.io bieten Unternehmen ein 24/7-SOC, ohne dass sie selbst in komplexe Infrastruktur, spezialisiertes Personal oder kontinuierliche Weiterentwicklung investieren müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/56/7456d1b884ec8babe8213eb174138410/0131163827v1.jpeg "Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cb/46/cb46c789bdfb6699f690de3212afbeda/0131031070v2.jpeg "Unternehmen, die SaaS-Dienste nutzen möchten, stehen vor der Herausforderung, cloudbasierte Identitäten und traditionelle Verzeichnis‑Kompatibilität in einer Architektur zu vereinen. (© STUDIO.no.3 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/ab/67abf0435efecf8d2c7a457e713fe1ce/0129496904v1.jpeg "Nach der Azure Arc-Anbindung lassen sich zahlreiche Dienste aus Azure nutzen, auch Protokollierung und Überwachung. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a4/2e/a42e5ce958119e9573114e36963d70af/0131398740v1.jpeg "Indem sie Schwachstellen im Open-Source-Server GlassFish ausnutzen, könnten Cyberkriminelle Remote Code ausführen und möglicherweise den gesamten Server übernehmen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/b2/e9b2bcd62bd6a4f4ff2ec83c5b599e9d/0130995446v2.jpeg "Staatliche Institutionen sind begehrte Angriffsziele. Entsprechend sicher müssen ihre Kommunikationslösungen sein. Aber echte Sicherheit braucht mehr als Verschlüsselung. Vier Kernpunkte zeigen, worauf es wirklich ankommt. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/a1/10a12092d7740dd5ab08bf039e960e07/0131243860v1.jpeg "Diese Europakarte zeigt, welche öffentlichen Einrichtungen und Behörden Matrix‑basierte beziehungsweise Matrix‑kompatible Kommunikationssysteme nutzen. (Bild: Element)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/02/f1028ded369fb1140db85f5b13681745/0130884384v1.jpeg "Mitarbeitende nutzen häufig Karte, Passwort und Fingerabdruck parallel. HID führt diese Zugänge zusammen und verspricht weniger Systembrüche im Identitäts-Management. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a2/e2/a2e22a84a0eafc61709cfcff2f9ea63c/0125032264v2.jpeg "Trotz des Rückgangs von Ransomware-Angriffen und Erfolgen internationaler Strafverfolgungsbehörden, warnt das BKA vor einer anhaltenden Bedrohung im Cyberraum. (Bild: bykst - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/19/2a/192a8d8c0b5cbafd2470af4b3fef7d76/0130667250v2.jpeg "Ransomware-Gruppen greifen gezielt Branchen an, in denen Stillstand sofort Geld kostet. Drei professionalisierte RaaS-Gruppen dominieren die deutsche Bedrohungslandschaft. (Bild: © Shutter2U - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/54/995420e8b9bae324fecbc290a4d5e6d7/0127858044v2.jpeg "Deutschland ist zu leicht angreifbar, da dem BSI zufolge viele Behörden, Unternehmen und Organisationen ihre IT-Systeme und digitalen Angriffsflächen unzureichend absichern und dadurch selbst einfachen, kostengünstigen Angriffsmethoden zu wenig entgegensetzen. (Bild: Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/31/c0317e2c71d107e6ecbd2fdefa100962/0129629035v2.jpeg "Cyberkriminelle nutzen Künstliche Intelligenz, um bestehende Methoden zur Betrugs- und Malware-Entwicklung zu verfeinern, ihre Kosten zu senken und neue Technologien wie Deepfakes effektiv in ihren Angriffen einzusetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/bd/b8bd2a45101b06ad195e6b39b02efe33/0130731401v1.jpeg "Die Ermittler der Operation „Power Off“ nahmen vier Verdächtige fest, beschlagnahmten neun Booter und schalteten 53 Domänen ab. (Bild: nojman via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/d9/a2/d9a2e8259432f5c1e375670f58f34294/0126917862v2.jpeg "70 Prozent der Verluste für die deutsche Wirtschaft sind auf Cyberangriffe zurückzuführen. Davon machen wiederum Ransomware-Attacken 34 Prozent aus. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/57/1f5795a092e7f16c407f1291a25449e4/0131281209v2.jpeg "Deutschland steht 2025 im Cyberraum unter massivem Druck. Das BKA verzeichnete 333.922 Delikte und deutliche Zuwächse bei Ransomware, DDoS und Hacktivismus. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/e2/a2e22a84a0eafc61709cfcff2f9ea63c/0125032264v2.jpeg "Trotz des Rückgangs von Ransomware-Angriffen und Erfolgen internationaler Strafverfolgungsbehörden, warnt das BKA vor einer anhaltenden Bedrohung im Cyberraum. (Bild: bykst - Pixabay)")