BSI-Report 2025: Keine Entwarnung für den Mittelstand

Inhaltsverzeichnis

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Lagebericht zum Zeitraum vom Juli 2024 bis Juni 2025 beginnt mit einer Erfolgsmeldung: Der Cybercrime-Szene konnte man mit internationalen Strafverfolgungsmaßnahmen etwas zusetzen. Die beiden großen RaaS-Gruppen (Ransomware as a Service) Lockbit und Alphv mussten ihre Aktivitäten deutlich herunterfahren, Alphv existiert nach Ansicht von Ermittlern sogar nicht mehr.

KMUs geraten unter Feuer

Ein weiterer Lichtblick ist die leicht gestiegene Resilienz der kritischen Infrastruktur in Deutschland (KRITIS). Immer mehr KRITIS-Betreiber erfüllen mittlerweile die Mindestanforderungen (Reifegrad 3), 80 Prozent von ihnen verfügen über ein Informationssicherheitsmanagementsystem (ISMS) mit demselben Reifegrad, 60 Prozent besitzen Systeme zum Management der Business Continuity (BCMS). Systeme zur Angriffserkennung weist aber nur die Hälfte der Betreiber auf.

Mehr zu IT-Security

• Wie man mit Spectre Cloud-Systeme angreift
• WinPEAS und LinPEAS: Skripte für die Rechteausweitung vorgestellt
• BSI-Report 2025: Keine Entwarnung
• Kritik an GnuPG und seinem Umgang mit gemeldeten Lücken
• Security: Webanwendungen mit Zed Attack Proxy zur Laufzeit prüfen
• Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog
• Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz
• Die neuen OWASP Top Ten 2025

Viel mehr gute Nachrichten gibt es jedoch nicht: Die Sicherheitslage bleibe „weiterhin angespannt“. Besonders kritisch ist eine sinkende Resilienz bei KMUs und Verbrauchern, weil sie sich nicht als lohnendes Ziel begreifen. Dem gegenüber steht die Beobachtung des BSI, dass Ransomwaregruppen ihre Angriffe genau auf solche kleineren, weniger profitablen, aber weitaus einfacher zu kompromittierenden Ziele ausweiten. 80 Prozent der angezeigten Angriffe betrafen kleine und mittlere Unternehmen. Das BSI gibt KMUs zur Verbesserung der Resilienz seinen CyberRisikoCheck auf Basis der eigens entwickelten DIN SPEC 27076 an die Hand. Und während die internationale Strafverfolgung zwar Schläge gegen Alphv und Lockbit führen konnte, rückten andere Gruppen wie die neue RaaS-Gruppe RansomHub nach.

Das war die Leseprobe unseres heise-Plus-Artikels "BSI-Report 2025: Keine Entwarnung für den Mittelstand". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.