Das neue BKA-Bundeslagebild Cybercrime 2025 zeigt: Die digitale Bedrohungslage in Deutschland bleibt hoch. Ransomware, DDoS-Kampagnen, Datenerpressung, Phishing und der missbräuchliche Einsatz künstlicher Intelligenz prägen ein Lagebild, in dem Cybercrime längst nicht mehr nur ein Problem einzelner IT-Abteilungen ist.

Cyberangriffe werden industrieller, politischer und KI-gestützter

Das Bundeskriminalamt zeichnet im Bundeslagebild Cybercrime 2025 ein deutliches Bild: Cyberkriminalität ist in Deutschland auf einem dauerhaft hohen Niveau angekommen. Die Angriffe sind technisch professioneller, internationaler organisiert und immer stärker arbeitsteilig strukturiert. Der Bericht konzentriert sich auf Cybercrime „im engeren Sinne“ (CCieS), also auf Straftaten, die sich direkt gegen das Internet, informationstechnische Systeme oder Daten richten. Grundlage sind unter anderem die Polizeiliche Kriminalstatistik (PKS), Erkenntnisse anderer Behörden sowie Informationen aus Wissenschaft und Privatwirtschaft. Das ist wichtig, denn gerade im Cyberbereich ist das Dunkelfeld erheblich, viele Vorfälle werden nämlich gar nicht angezeigt oder bleiben zunächst unentdeckt.

Stabile Fallzahlen, hohe Schäden

Insgesamt wurden 333.922 Cybercrime-Delikte registriert. Dabei übersteigen die sogenannten Auslandstaten mit 207.888 Fällen deutlich die Inlandstaten mit 126.034 Fällen. Das bedeutet nicht zwangsläufig, dass alle Täter tatsächlich im Ausland sitzen. Häufig ist der Handlungsort unbekannt oder technisch nicht eindeutig zuzuordnen. Für Ermittler ist genau das eines der Kernprobleme: Die Folgen treffen Deutschland, während Täter, Server, Zahlungsströme und Infrastruktur oft über mehrere Staaten verteilt sind.

Auffällig ist auch die Schadensdimension. Der Bericht verweist auf einen durch Bitkom ermittelten Schaden von 202,4 Milliarden Euro durch Cyberattacken. Dabei entfällt ein großer Teil der wirtschaftlichen Schäden durch Angriffe auf Unternehmen, nicht auf klassische Industriespionage oder analoge Kriminalität, sondern auf digitale Angriffe. Cybercrime ist damit kein Randthema mehr, sondern ein wesentlicher Risikofaktor für die deutsche Wirtschaft.

Viele Vektoren, ein gemeinsames Muster

Der Bericht widmet sich eingehend auch der Bedrohungslage. Diese zeigt, wie breit das Angriffsökosystem geworden ist. Ransomware bleibt eine der zentralen Gefahren für Unternehmen und öffentliche Einrichtungen. Gleichzeitig gewinnen DDoS-Angriffe, Hacktivismus, Phishing, Malware, Schwachstellenausnutzung und KI-gestützte Angriffe weiter an Bedeutung.

Besonders deutlich ist der Trend bei DDoS und Hacktivismus: 2025 stiegen Überlastungsangriffe um 25 Prozent, hacktivistische Angriffsankündigungen und ‑meldungen sogar um 224 Prozent. Auch Phishing bleibt trotz Rückgangs relevant: Die Verbraucherzentrale NRW verzeichnete 382.470 Phishing-Mails. Das sind rund 10 Prozent weniger als im Vorjahr, aber weiterhin ein sehr hohes Niveau.

Der Bericht macht außerdem klar, dass die sogenannte „Underground Economy“ die Basis vieler Angriffe bildet. Dort werden Schadsoftware, Zugangsdaten, Phishing-Kits, Botnetze, Exploits und Geldwäschedienste gehandelt. Cybercrime funktioniert dadurch zunehmend wie ein Dienstleistungsmarkt: Wer selbst keine ausgeprägten technischen Fähigkeiten besitzt, kann sich Module, Zugänge oder komplette eine Angriffsinfrastruktur einkaufen.

Bedeutende Ereignisse im Jahr 2025

Die Chronologie des Jahres 2025 liest sich wie ein Angriffskalender. Im Januar traf ein Ransomware-Angriff das Fraunhofer-Institut für Arbeitswirtschaft und Organisation, eingesetzt wurde Akira. Im Februar wurden Inhalte einer Interpol-Datenbank in einem Forum der Underground Economy angeboten, außerdem kam es zu Computersabotage gegen eine Biogasanlage in Niedersachsen durch die pro-russische Gruppierung „Z-Pentest-Alliance“. Im März wurden die Stadtwerke Schwerte attackiert, im Mai die Deutsche Welthungerhilfe durch Rhysida. Dort wurden Daten vor der Verschlüsselung kopiert, später im Darknet veröffentlicht und mit einer Lösegeldforderung von 1,8 Millionen Euro verbunden.

Die Beispiele zeigen, wie unterschiedlich die Ziele sind: Forschungseinrichtungen, Hilfsorganisationen, Stadtwerke, Kommunen, IT-Dienstleister, Medien- und Satellitenunternehmen, Versicherungen und sogar Flughäfen tauchen im Lagebild auf. Besonders der Angriff auf Collins Aerospace, der zu Störungen an mehreren europäischen Flughäfen führte, macht deutlich, wie schnell Cyberangriffe physische Abläufe beeinträchtigen können.

Cybercrime ist internationaler als andere Delikte

Bei gemeinsamer Betrachtung von Inlands- und Auslands-Kriminalstatistik ergibt sich mit 333.922 Fällen ein leichter Anstieg von 0,2 Prozent. Die Inlandstaten sanken um 4,1 Prozent auf 126.034 Fälle, während Auslandstaten um rund 3 Prozent auf 207.888 Fälle stiegen. Besonders bemerkenswert: Während Cybercrime in der Inlands-Kriminalstatistik nur 2,3 Prozent aller Straftaten ausmacht, liegt der Anteil in der Auslands-Kriminalstatistik bei 31,4 Prozent.

Das erklärt auch die niedrige Aufklärungsquote bei Auslandstaten: Sie liegt bei nur 2,0 Prozent. Das ist kein Hinweis auf fehlende Ermittlungsansätze, sondern Ausdruck struktureller Hürden. Internationale Rechtshilfe, fehlende Kooperation, verschleierte Identitäten und technische Infrastruktur in Drittstaaten erschweren die Täteridentifizierung massiv.

Ransomware: Weniger Zahlungsbereitschaft, höhere Forderungen

Ransomware bleibt der Schwerpunkt der Bedrohungslage. 2025 wurden 1.041 Ransomware-Angriffe angezeigt, ein Plus von 10 Prozent gegenüber 2024. Rund 96 Prozent der Angriffe richteten sich gegen Unternehmen, Organisationen und Institutionen, etwa 90 Prozent trafen kleine und mittlere Unternehmen. Besonders wichtig: Rund 76 Prozent der Ransomware-Fälle wurden der sogenannten „Double Extortion“ (zu deutsch: Doppel-Erpressung) zugeordnet. Dabei werden Daten nicht nur verschlüsselt, sondern vorher kopiert, um Opfer zusätzlich mit Veröffentlichung zu erpressen.

Nur 7 Prozent der Geschädigten gaben an, Lösegeld gezahlt zu haben. Das klingt zunächst positiv. Gleichzeitig stieg die durchschnittliche Zahlung auf rund 456.335 US-Dollar, ein Plus von 65 Prozent gegenüber dem Vorjahr. Insgesamt wurden in Deutschland 15,5 Millionen US-Dollar an Lösegeldern erfasst. Der Bericht deutet damit auf eine Verschiebung hin: Weniger Opfer zahlen, aber diejenigen, die zahlen, zahlen mehr. Für Täter bedeutet das einen Anreiz, Forderungen zu erhöhen und Angriffe weiter zu skalieren.

Gleichzeitig gewinnt Datenerpressung („Data Extortion“) an Gewicht. Einige Gruppen verzichten zunehmend auf Verschlüsselung und konzentrieren sich direkt auf Datendiebstahl und Erpressung mit Veröffentlichung. Das ist für Opfer besonders heikel, weil selbst gute Backups die Erpressung nicht neutralisieren, wenn sensible Daten bereits abgeflossen sind.

DDoS und Hacktivismus: Cyberangriffe als politisches Druckmittel

DDoS-Angriffe haben 2025 weiter zugenommen. Die Deutsche Telekom registrierte 36.706 DDoS-Angriffe in ihren Netzen, im Schnitt über 3.000 Angriffe pro Monat. Die häufigsten Ziele waren Behörden, öffentliche Verwaltungen, Verkehrsunternehmen und Logistikdienstleister.

Eng verbunden ist diese Entwicklung mit Hacktivismus. Die Gruppierung „NoName057(16)“ spielte im Lagebild eine zentrale Rolle. Sie führte 2025 zehn DDoS-Angriffswellen gegen deutsche Ziele durch, fast doppelt so viele wie 2024. Als Begründung wurde in der Propaganda häufig die deutsche Unterstützung der Ukraine genannt. Das BKA bewertet solche Angriffe technisch oft als moderat, im Kontext hybrider Bedrohungen aber als erheblich. Denn auch wenn eine Webseite „nur“ zeitweise nicht erreichbar ist, erzeugt dies öffentliche Sichtbarkeit, Verunsicherung und politische Signalwirkung.

Künstliche Intelligenz: Beschleuniger für Angreifer und Verteidiger

Das BKA betont, dass es bislang keine belastbaren polizeilichen Kennzahlen zum konkreten KI-Einsatz in Cybercrime-Fällen gebe. Trotzdem seien Veränderungen in mehreren Phänomenbereichen sichtbar. KI senkt technische Einstiegshürden, beschleunigt Angriffe und verbessert deren Qualität.

Bei Phishing sorgt KI für sprachlich fehlerfreie, personalisierte und glaubwürdige Nachrichten. Bei der Aufklärung („Reconnaissance“) hilft sie, Zielsysteme auszukundschaften und Schwachstellen schneller zu identifizieren. Bei Malware gibt es erste Beispiele für Schadsoftware, die KI-Modelle während des Angriffs nutzt oder mutmaßlich mit KI-Unterstützung entwickelt wurde. Der Bericht warnt außerdem vor agentischer KI: Wenn KI-Agenten eigenständig Aufgaben erledigen und tief in IT-Umgebungen eingebunden sind, können sie selbst zum Angriffsziel oder zum missbrauchten Werkzeug werden.

Koordinierte Ermittlungen statt Einzelfallarbeit

Da viele Angriffe wellenförmig, bundesweit und mit gleichem Modus Operandi auftreten, setzen die Behörden auf zentrale Ermittlungen. 2025 gab es 34 zentrale Ermittlungen, davon 29 gegen Ransomware-Akteure, zwei gegen Datenerpressungs-Akteure, zwei im Bereich DDoS und eine gegen Anbieter von Phishing-Kits.

Hinzu kommen internationale Operationen. Genannt werden unter anderem Maßnahmen gegen Nulled und Cracked, gegen Garantex, eXch, 8Base, NoName057(16), BlackSuit sowie mehrere Phasen der Operation Endgame. Diese Operationen zielen nicht nur auf einzelne Täter, sondern auf Infrastruktur, Server, Domains, Kryptowährungen und Dienstleister der Underground Economy.

Quo Vadis, Cybercrime?

Im Ausblick erwartet das BKA für 2026 eine weitere qualitative und quantitative Verschärfung der Bedrohungslage. Ransomware, DDoS und Hacktivismus nehmen zu, Datenerpressung wird wichtiger, KI erhöht Skalierbarkeit und Angriffsgeschwindigkeit. Perspektivisch nennt der Bericht sogar Quantencomputing als Faktor, der etwa bei der Entschlüsselung sensibler Daten relevant werden könnte.

Das BKA setzt dem einen Vier-Ebenen-Ansatz entgegen: Täter identifizieren, technische Infrastruktur zerschlagen, finanzielle Mittel entziehen und die Reputation krimineller Gruppen innerhalb der Szene beschädigen, denn Cybercrime lässt sich nicht allein durch Festnahmen bekämpfen. Die wirtschaftliche Infrastruktur der Täter muss ebenso getroffen werden wie ihre technischen Werkzeuge und Kommunikationskanäle.

Cybercrime ist zur Dauerlage geworden

Das Bundeslagebild Cybercrime 2025 zeigt eine digitale Bedrohungslage, die weder kurzfristig noch punktuell ist. Cyberangriffe sind industrialisiert, international vernetzt und zunehmend automatisiert. Für Unternehmen heißt das: Backups, Patch-Management, Multi-Faktor-Authentifizierung, Netzwerksegmentierung, Monitoring und die Reaktion auf Sicherheitsvorfälle sind keine optionalen IT-Projekte mehr, sondern Grundvoraussetzungen geschäftlicher Resilienz.

Für den Staat bedeutet das Lagebild: Strafverfolgung muss technisch, international und finanziell denken. Der einzelne Angreifer ist nur ein Teil des Problems. Entscheidend ist das Ökosystem dahinter — und genau dort setzt das BKA mit seinen internationalen Operationen zunehmend an.

Cherry platziert eine kompakte 75%-Tastatur im Einstiegssegment. Unter der Gaming-Optik der Xtrfy K33 Compact Wireless steckt eine kabellose „Mem-Chanical“-Tastatur. Die hat Vorzüge, aber auch eine Reihe handfester Nachteile. Ihr Platz hängt letztlich von speziellen Wünschen ab.

Hinter der „Mem-chanical-Switch-Technologie“ der K33 stecken nichts anderes als Leiterfolien-Taster mit Rubberdomes, eine einfache und günstige Technologie. In dieser Variante, die hier 10 Millionen Anschläge überstehen soll, werden sie lediglich mit einem Aufsatz versehen, der die Montage von Tastenkappen mechanischer Tastaturen ermöglicht. Angaben zur minimal gleichzeitig korrekt erfasster Tasten macht Cherry nicht, auszugehen ist also davon, dass das „Key-Rollover“ wie üblich bei 2 liegt. Das geht allerdings auch und gerade im Spiele-Segment mit Leiterfolien besser.

Tippen und

Preiswert sei das, aber mit dem „Tippgefühl einer mechanischen Tastatur“, schreibt Cherry. In der Regel kombinieren diese Art Tastaturen den gedämpften Anschlag einer Rubberdome-Tastatur mit geringerem Spiel in den Tastenkappen. Dazu ermöglicht die Technik eine IP54-Zertifizierung, die Schutz vor Staub und Spritzwasser verspricht. „Für den echten Einsatz gebaut“ sei sie, notiert der Hersteller dazu. Tasten sind jedoch nicht frei programmierbar, hinterlegt sind Shortcuts zur Lautstärkesteuerung, für die Hintergrundbeleuchtung und den Gaming-Modus, nicht jedoch für den Medienplayer.

Leiterfolien sind zudem mit geringerem Energieverbrauch zu betreiben. Das hängt auch mit der Beleuchtung zusammen, die nicht für jede Taste einzeln erfolgt, sondern von den Rändern eines unter den Tasten sitzenden Panels aus, das indirekt durch die Gummiglocken leuchtet. Deshalb bietet die K33 nur 7 Effekte und keine Einzeltastenbeleuchtung. Dafür überträgt sie Daten per Dongle, Kabel oder Bluetooth 5.3. Angaben zur Laufzeit macht Cherry allerdings nicht.

Preis und Einordnung im Markt

Im Handel gibt es die K33 Compact Wireless bereits in den Farben Schwarz und Weiß für rund 60 Euro. Die preisliche Positionierung erscheint allerdings fragwürdig und vor allem durch „Gaming“-Attitüde begründet, denn zum gleichen Preis gibt es die programmierbare Glorious GMBK (Test) mit Drehregler und vergleichbarer Tastentechnologie sowie ähnliche Produkte namhafter Lifestyle-Marken.

Die sind allerdings kein Maßstab, denn auch sie stehen vor der Herausforderung, ihren Preis zu rechtfertigen. Mechanische, wenn auch laute Tastaturen mit etwas Risiko schon für unter 20 Euro erworben werden. Eine Sharkoon Skiller SGK50 S3 (Test), ruhig und empfehlenswert, liegt aktuell bei 42 beziehungsweise in der PBT-Version bei 62 Euro.

Sie alle haben jedoch einen Nachteil: Sie müssen anders als die K33 per Kabel angeschlossen werden. Hier setzt die Sharkoon Skiller SGK55W (Test) aber schon für rund 70 Euro an. Die K33 bleibt damit eine Lösung für die Nische, wo kabelloser Betrieb, Gaming-Optik und Rubberdome-Feeling gewünscht sind.

Die neuen Googlebooks setzen auf eine Plattform von Intel. Das hat der Chip-Hersteller im Nachgang der Ankündigung der neuen Geräteklasse bekanntgegeben, nachdem Google zu den technischen Details noch geschwiegen hatte. An Details fehlt es allerdings auch Intels Verlautbarung: Ob Wildcat Lake oder Panther Lake dahinter steckt?

Core Ultra 300 oder Core 300?

Eine Antwort auf die Frage fällt schwer, hat Google doch noch nicht einmal ein ungefähres Preisniveau für die neue Produktkategorie in Aussicht gestellt. Die ersten Endgeräte von Partnern wie Acer, Asus, Dell, HP und Lenovo werden aber auch erst „später im Jahr“ erscheinen.

Googlebooks stehen mit dem Versprechen, „premium craftsmanship and materials“ zu liefern, aber zweifelsohne über den Chromebooks, daher könnte Core Ultra 300 „Panther Lake“ die Basis bilden. Wildcat Lake als Core 300 (ohne Ultra) ist eigentlich für günstigere Geräte gedacht. Für Panther Lake spricht zudem auch die AI-Leistung, die Google mit in den Fokus rückt: Die NPU ist mit 50 zu 17 TOPS bei Wildcat Lake rund dreimal so stark.

Doch 2026 müssen OEMs und Chip-Hersteller vor dem Hintergrund der immensen Speicherpreise geplante Produktpositionierungen möglicherweise ad acta legen, um überhaupt noch bezahlbare Systeme auf den Markt zu bringen. Daher bleibt abzuwarten, wie die technische Umsetzung konkret aussehen wird. So oder so müsste der „Android Tech Stack“ bei der Wahl von Intel-CPUs auf den Googlebooks auf x86-CPUs laufen.

x86 vs. Arm

Kommt die erste Symbiose aus Android und ChromeOS wirklich für x86? Das mutet seltsam an, doch Intels Verlautbarung lässt eigentlich keinen anderen Schluss zu. Theoretisch könnten auch andere Hersteller von Arm-SoCs Hardware für Googlebooks beisteuern, da Intel von einer gemeinsamen Entwicklung mit Google spricht und andere Chiphersteller bis dato schweigen, ist das aber nicht sehr wahrscheinlich.

Alle Details zu Google Googlebooks

Alle Details zu den neuen Googlebooks mit „Android Tech Stack“, die es von Partnern, aber nicht von Google selbst geben wird, liefert der Überblick zur Ankündigung:

• Googlebook: Googles neue Notebook-Kate­gorie mit Android Tech Stack