Bedrohungsszenarien 2026: Die 10 größten Cyber-Risiken für deutsche Unternehmen
6 Min. Lesezeit
178,6 Milliarden Euro Schaden durch Cyberkriminalität in Deutschland – allein 2024. Das BSI zählt 309.000 neue Malware-Varianten pro Tag, die DDoS-Angriffe haben sich im ersten Halbjahr verdoppelt, und 22 staatlich gesteuerte Hackergruppen operieren aktiv auf deutschem Boden. Dieser Artikel ordnet die zehn gefährlichsten Bedrohungsszenarien für Unternehmen ein – mit aktuellen Zahlen aus BSI-Lagebericht, Bitkom-Studie und ENISA Threat Landscape.
Das Wichtigste in Kürze
- 178,6 Milliarden Euro Cyberschaden in Deutschland 2024 – zwei Drittel des Gesamtschadens durch Wirtschaftskriminalität. 81 Prozent aller Unternehmen betroffen (Bitkom Wirtschaftsschutz 2024).
- Cyber-Risiko auf Platz 1 des Allianz Risk Barometer 2025 – viertes Jahr in Folge, mit Rekordabstand von 7 Prozentpunkten auf Platz 2 (Allianz).
- 309.000 neue Schadprogramm-Varianten täglich, Anstieg von 26 Prozent gegenüber Vorjahr. 22 APT-Gruppen aktiv in Deutschland (BSI Lagebericht 2024).
- Deutschland war Q1 2025 das meistangegriffene Land weltweit bei DDoS-Attacken – vor der Türkei und China (Cloudflare).
- ENISA Threat Landscape 2024: Verfügbarkeitsangriffe (DDoS) erstmals auf Platz 1, Ransomware auf Platz 2 verdrängt.
Das Gesamtbild: Warum 2026 anders ist
Das Bedrohungsbild hat sich in den letzten zwei Jahren qualitativ verändert. Drei Trends treiben die Eskalation: KI-gestützte Angriffswerkzeuge senken die Einstiegshürde für Angreifer massiv. Geopolitische Konflikte machen deutsche Unternehmen zum Ziel staatlich gesteuerter Gruppen. Und die wachsende Vernetzung von OT- und IT-Systemen öffnet Angriffsflächen, die vor fünf Jahren nicht existierten.
Die Bitkom-Studie Wirtschaftsschutz 2024 beziffert den Gesamtschaden durch Diebstahl, Spionage und Sabotage auf 266,6 Milliarden Euro – ein Rekord, 43 Milliarden mehr als 2021. Davon entfallen 178,6 Milliarden Euro auf Cyberkriminalität. Die IT-Sicherheitsausgaben stiegen zwar um 14 Prozent auf erstmals über 10 Milliarden Euro, aber die Schere zwischen Investition und Schadensentwicklung geht weiter auseinander.
1. Ransomware: 950 gemeldete Angriffe, 60 Prozent betroffen
Das BKA dokumentiert 950 gemeldete Ransomware-Angriffe auf deutsche Unternehmen und Institutionen – „täglich zwei bis drei schwere Fälle“. 72 Prozent davon mit Double Extortion: Daten werden verschlüsselt und gleichzeitig veröffentlicht. Die Bitkom-Studie zeigt: 60 Prozent der deutschen Unternehmen waren in den letzten 12 Monaten betroffen. Nur 12,5 Prozent zahlten Lösegeld – ein Rückgang, der die Angreifer zu aggressiveren Methoden treibt.
Die ENISA hat Ransomware 2024 erstmals von Platz 1 auf Platz 2 verdrängt – nicht weil Ransomware abnimmt, sondern weil DDoS noch schneller wächst.
2. DDoS-Angriffe: Deutschland als Hauptziel weltweit
Das BSI meldet eine Verdoppelung der DDoS-Angriffe im ersten Halbjahr 2024. Der Anteil hochvoluminöser Angriffe (über 10.000 Mbit/s) lag bei 13 Prozent monatlich – doppelt so hoch wie der langjährige Durchschnitt von 6,75 Prozent.
Cloudflare-Daten für Q1 2025 bestätigen den Trend: Deutschland war das meistangegriffene Land weltweit bei DDoS-Attacken, noch vor der Türkei und China. Global stiegen DDoS-Angriffe auf 20,5 Millionen in einem Quartal – ein Anstieg von 358 Prozent gegenüber dem Vorjahr. Die ENISA stuft Verfügbarkeitsangriffe erstmals als grösste Bedrohungskategorie ein.
3. Staatlich gesteuerte Angriffe: 22 APT-Gruppen in Deutschland aktiv
Das BSI dokumentiert 22 verschiedene APT-Gruppen (Advanced Persistent Threats), die zwischen Juli 2023 und Juni 2024 aktiv auf deutschem Boden operierten. Ziele: Unternehmen, Behörden und politische Organisationen.
Konkreter Fall: APT29 (russischer Auslandsgeheimdienst SVR, „Cozy Bear“) versandte Anfang 2024 Spear-Phishing-Mails, die als Einladungen zu einem CDU-Abendessen getarnt waren – mit ROOTSAW-Dropper und WINELOADER-Payload. Es war das erste dokumentierte Mal, dass APT29 eine politische Partei direkt angriff. APT28 (GRU, „Fancy Bear“) führt laufende Kampagnen gegen Rüstungsunternehmen und kritische Infrastruktur. Deutschlands konsistente Ukraine-Unterstützung macht das Land nach Einschätzung des Bundesamtes für Verfassungsschutz zu einem vorrangigen Ziel.
4. Supply-Chain-Angriffe: Von 929 auf 459.000 schadhafte Pakete
Die Zahl schadhafter Open-Source-Pakete ist laut Sonatype von 929 (2020) auf 459.070 (2024) explodiert. Mehr als 70 Prozent der Organisationen erlebten mindestens einen materiellen Supply-Chain-Angriff im vergangenen Jahr.
Der XZ-Utils-Fall (März 2024) zeigt die Dimension: Ein Angreifer investierte Jahre in Social Engineering, um Maintainer-Zugang zu einer Kernbibliothek zu erlangen. Der eingeschleuste Backdoor (CVSS 10.0) zielte auf OpenSSH-Authentifizierung und wurde nur durch Zufall entdeckt – ein Entwickler bemerkte einen unerklärlichen 500-Millisekunden-Delay bei SSH-Verbindungen.
5. KI-gestützte Angriffe: Phishing wird industrialisiert
KI hat die Einstiegshürde für Phishing-Angriffe fundamental gesenkt. Branchendaten zeigen einen Anstieg von 202 Prozent bei Phishing-E-Mails in der zweiten Hälfte 2024. KI hilft Angreifern, Phishing-Mails bis zu 40 Prozent schneller zu verfassen – mit deutlich besserer Grammatik und Personalisierung als manuell erstellte Nachrichten.
Deepfake-Betrug wächst noch schneller: Q1 2025 zählte die Branche bereits 179 Deepfake-Vorfälle – mehr als im gesamten Jahr 2024 (150 Fälle). Finanzielle Verluste durch Deepfake-Betrug überschritten 200 Millionen USD allein in Q1 2025.
6. Insider-Bedrohungen: 68 Prozent aller Breaches mit menschlichem Faktor
Der Verizon Data Breach Investigations Report 2024 (30.458 analysierte Vorfälle) zeigt: 68 Prozent aller Breaches involvieren einen nicht-böswilligen menschlichen Faktor – Fehler oder Social-Engineering-Opfer. Gestohlene Zugangsdaten tauchen in 31 Prozent aller Breaches der letzten zehn Jahre auf.
Im Gesundheitswesen sind 70 Prozent der Datenschutzverletzungen auf interne Akteure zurückzuführen. Menschliche Fehler (falscher E-Mail-Empfänger, versehentliches Cloud-Sharing) treiben 28 Prozent aller Breaches an.
7. OT/IoT-Angriffe: 900 Millionen Attacken und +114 Prozent
Nozomi Networks dokumentiert 900 Millionen OT/IoT-Angriffe in 2024 – ein Anstieg von 114 Prozent gegenüber den 420 Millionen im Vorjahr. Deutschland liegt bei IoT-Angriffen auf Platz 3 weltweit (7 Prozent aller beobachteten Attacken), hinter den USA (54 Prozent) und Hongkong (15 Prozent).
Besonders kritisch: Der Energiesektor verzeichnet einen Anstieg von 459 Prozent bei IoT-Malware-Aktivität gegen Strom- und Öl/Gas-Unternehmen. Die wachsende Vernetzung von OT-Systemen mit IT-Netzwerken schafft Angriffsflächen, die mit klassischer Netzwerksegmentierung allein nicht mehr zu beherrschen sind.
8. Malware-Evolution: 256 Prozent mehr 64-Bit-Windows-Exploits
Das BSI registriert 309.000 neue Schadprogramm-Varianten pro Tag – 26 Prozent mehr als im Vorjahr. Besonders auffällig: Malware, die Schwachstellen in 64-Bit-Windows-Versionen ausnutzt, ist um 256 Prozent gestiegen. Android-Malware wuchs um 48 Prozent, und 6 der 10 aktivsten Botnets zielen spezifisch auf Android-Geräte.
Parallel dazu wurden 78 neue Sicherheitslücken pro Tag entdeckt – 14 Prozent mehr als im Vorjahr. Die CISA registrierte 2024 insgesamt 619 ICS-CERT-Schwachstellen in industriellen Steuerungssystemen.
„Cyber-Vorfälle stehen zum vierten Mal in Folge auf Platz 1 des Allianz Risk Barometer – mit dem grössten Abstand aller Zeiten. Vor zehn Jahren lag Cyber-Risiko noch auf Platz 8.“
– Allianz Risk Barometer, Januar 2025
9. Cloud-Fehlkonfigurationen und Identitätsangriffe
Cloud-Fehlkonfigurationen bleiben eine der häufigsten Ursachen für Datenpannen. Microsoft blockt täglich 600 Millionen Identitätsangriffe, davon 7.000 Passwortangriffe pro Sekunde. Nur 41 Prozent der Entra-Enterprise-Nutzer sind MFA-geschützt – eine Lücke, die Angreifer systematisch ausnutzen.
Identitätsbasierte Angriffe machen den Grossteil aller Kompromittierungen aus: Gestohlene Credentials waren laut Verizon DBIR Ursache von 22 Prozent aller Datenpannen 2024. Adaptive MFA und Passkeys sind die wirksamsten Gegenmassnahmen.
10. Regulierungsdruck: NIS2, DORA und CRA gleichzeitig
2026 ist das Jahr, in dem drei EU-Regulierungen gleichzeitig greifen: NIS2 (seit Dezember 2025, 29.500 Unternehmen), DORA (Finanzsektor) und der Cyber Resilience Act (CRA, ab 2027 für vernetzte Produkte). Der Compliance-Aufwand ist für viele Unternehmen – insbesondere im Mittelstand – eine Bedrohung eigener Art: Fachkräfte fehlen, Budgets sind begrenzt, und die Meldepflichten (24 Stunden ans BSI, 72 Stunden an die Datenschutzbehörde) erfordern Prozesse, die viele noch nicht implementiert haben.
ENISA Top-7-Bedrohungskategorien 2024
| # | Bedrohungskategorie | Veränderung |
|---|---|---|
| 1 | Verfügbarkeitsangriffe (DDoS) | Neu auf Platz 1 |
| 2 | Ransomware | Von Platz 1 abgestiegen |
| 3 | Threats Against Data | Stabil |
| 4 | Malware | Stabil |
| 5 | Social Engineering | Stabil |
| 6 | Information Manipulation | Stabil |
| 7 | Supply Chain Attacks | Stabil |
Fazit: Die Bedrohung ist strukturell, nicht konjunkturell
Die Zahlen zeigen keine zyklischen Schwankungen, sondern eine strukturelle Verschiebung. KI-gestützte Angriffe, geopolitische Eskalation und regulatorischer Druck erzeugen eine Dreifachbelastung, die mit den Sicherheitsbudgets und Personalkapazitäten vieler Unternehmen nicht Schritt hält. Die Antwort ist nicht ein einzelnes Tool, sondern ein integrierter Ansatz: Prävention (Adaptive MFA, Zero Trust), Erkennung (SIEM, ITDR), Reaktion (getesteter Vorfallreaktionsplan) und Compliance (NIS2-Meldeketten).
Erster Schritt: Die eigene Risikolandschaft gegen die ENISA Top-7 abgleichen. Welche Szenarien sind für das eigene Unternehmen am relevantesten? Wo sind die grössten Lücken zwischen Bedrohung und Schutzmassnahme? Diese Priorisierung kostet einen Workshop-Nachmittag – und verhindert, dass Budget in die falschen Massnahmen fliesst.
Häufige Fragen
Was sind die grössten Cyber-Bedrohungen für deutsche Unternehmen 2026?
Laut BSI-Lagebericht und ENISA sind DDoS-Angriffe (erstmals Platz 1), Ransomware (Platz 2) und Supply-Chain-Angriffe die grössten Bedrohungen. Ergänzt durch 22 aktive APT-Gruppen in Deutschland und KI-gestützte Phishing-Industrialisierung. Der Gesamtschaden lag 2024 bei 178,6 Milliarden Euro (Bitkom).
Wie viele Cyberangriffe gibt es täglich in Deutschland?
Das BSI registriert 309.000 neue Schadprogramm-Varianten pro Tag. Microsoft blockt täglich 600 Millionen Identitätsangriffe weltweit. Das BKA meldet „täglich zwei bis drei schwere Ransomware-Fälle“ zur Anzeige. Die Dunkelziffer liegt erheblich höher, da viele Vorfälle nicht gemeldet werden.
Warum ist Deutschland ein besonderes Ziel für Cyberangriffe?
Drei Faktoren: Deutschlands konsistente Ukraine-Unterstützung macht es zum vorrangigen Ziel russischer APT-Gruppen (BfV-Einschätzung). Die exportstarke Wirtschaft mit viel geistigem Eigentum zieht Wirtschaftsspionage an. Und die hohe OT/IT-Vernetzung in der Industrie (Maschinenbau, Automotive, Chemie) bietet grosse Angriffsflächen. Q1 2025 war Deutschland das meistangegriffene Land bei DDoS weltweit.
Was kostet ein Cyberangriff ein deutsches Unternehmen?
Laut IBM Cost of a Data Breach Report 2024 durchschnittlich 4,9 Millionen Euro pro Vorfall – der höchste Wert in der Geschichte der Studie. 2025 sank der Wert erstmals auf 3,87 Millionen Euro, unter anderem durch KI-basierte SOC-Tools, die den Breach-Lifecycle um bis zu 89 Tage verkürzen.
Wie können sich Unternehmen gegen die Top-Bedrohungen schützen?
Ein integrierter Ansatz: Adaptive MFA und Zero Trust für Identitätsschutz (adressiert Ransomware-Einstieg und Credential Theft). SIEM und ITDR für Erkennung. Getesteter Vorfallreaktionsplan mit NIS2-Meldeketten (24h BSI, 72h Datenschutzbehörde). Supply-Chain-Security über SBOM und Vendor-Assessments. Und regelmässige Tabletop-Übungen, die unter NIS2 Pflicht sind.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- → cloudmagazin – Cloud, SaaS und IT-Infrastruktur
- → Digital Chiefs – Strategien für IT-Entscheider
- → MyBusinessFuture – Digitalisierung im Mittelstand
Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380664)
