Das neue BKA-Bundeslagebild Cybercrime 2025 zeigt: Die digitale Bedrohungslage in Deutschland bleibt hoch. Ransomware, DDoS-Kampagnen, Datenerpressung, Phishing und der missbräuchliche Einsatz künstlicher Intelligenz prägen ein Lagebild, in dem Cybercrime längst nicht mehr nur ein Problem einzelner IT-Abteilungen ist.

Cyberangriffe werden industrieller, politischer und KI-gestützter

Das Bundeskriminalamt zeichnet im Bundeslagebild Cybercrime 2025 ein deutliches Bild: Cyberkriminalität ist in Deutschland auf einem dauerhaft hohen Niveau angekommen. Die Angriffe sind technisch professioneller, internationaler organisiert und immer stärker arbeitsteilig strukturiert. Der Bericht konzentriert sich auf Cybercrime „im engeren Sinne“ (CCieS), also auf Straftaten, die sich direkt gegen das Internet, informationstechnische Systeme oder Daten richten. Grundlage sind unter anderem die Polizeiliche Kriminalstatistik (PKS), Erkenntnisse anderer Behörden sowie Informationen aus Wissenschaft und Privatwirtschaft. Das ist wichtig, denn gerade im Cyberbereich ist das Dunkelfeld erheblich, viele Vorfälle werden nämlich gar nicht angezeigt oder bleiben zunächst unentdeckt.

Stabile Fallzahlen, hohe Schäden

Insgesamt wurden 333.922 Cybercrime-Delikte registriert. Dabei übersteigen die sogenannten Auslandstaten mit 207.888 Fällen deutlich die Inlandstaten mit 126.034 Fällen. Das bedeutet nicht zwangsläufig, dass alle Täter tatsächlich im Ausland sitzen. Häufig ist der Handlungsort unbekannt oder technisch nicht eindeutig zuzuordnen. Für Ermittler ist genau das eines der Kernprobleme: Die Folgen treffen Deutschland, während Täter, Server, Zahlungsströme und Infrastruktur oft über mehrere Staaten verteilt sind.

Auffällig ist auch die Schadensdimension. Der Bericht verweist auf einen durch Bitkom ermittelten Schaden von 202,4 Milliarden Euro durch Cyberattacken. Dabei entfällt ein großer Teil der wirtschaftlichen Schäden durch Angriffe auf Unternehmen, nicht auf klassische Industriespionage oder analoge Kriminalität, sondern auf digitale Angriffe. Cybercrime ist damit kein Randthema mehr, sondern ein wesentlicher Risikofaktor für die deutsche Wirtschaft.

Viele Vektoren, ein gemeinsames Muster

Der Bericht widmet sich eingehend auch der Bedrohungslage. Diese zeigt, wie breit das Angriffsökosystem geworden ist. Ransomware bleibt eine der zentralen Gefahren für Unternehmen und öffentliche Einrichtungen. Gleichzeitig gewinnen DDoS-Angriffe, Hacktivismus, Phishing, Malware, Schwachstellenausnutzung und KI-gestützte Angriffe weiter an Bedeutung.

Besonders deutlich ist der Trend bei DDoS und Hacktivismus: 2025 stiegen Überlastungsangriffe um 25 Prozent, hacktivistische Angriffsankündigungen und ‑meldungen sogar um 224 Prozent. Auch Phishing bleibt trotz Rückgangs relevant: Die Verbraucherzentrale NRW verzeichnete 382.470 Phishing-Mails. Das sind rund 10 Prozent weniger als im Vorjahr, aber weiterhin ein sehr hohes Niveau.

Der Bericht macht außerdem klar, dass die sogenannte „Underground Economy“ die Basis vieler Angriffe bildet. Dort werden Schadsoftware, Zugangsdaten, Phishing-Kits, Botnetze, Exploits und Geldwäschedienste gehandelt. Cybercrime funktioniert dadurch zunehmend wie ein Dienstleistungsmarkt: Wer selbst keine ausgeprägten technischen Fähigkeiten besitzt, kann sich Module, Zugänge oder komplette eine Angriffsinfrastruktur einkaufen.

Bedeutende Ereignisse im Jahr 2025

Die Chronologie des Jahres 2025 liest sich wie ein Angriffskalender. Im Januar traf ein Ransomware-Angriff das Fraunhofer-Institut für Arbeitswirtschaft und Organisation, eingesetzt wurde Akira. Im Februar wurden Inhalte einer Interpol-Datenbank in einem Forum der Underground Economy angeboten, außerdem kam es zu Computersabotage gegen eine Biogasanlage in Niedersachsen durch die pro-russische Gruppierung „Z-Pentest-Alliance“. Im März wurden die Stadtwerke Schwerte attackiert, im Mai die Deutsche Welthungerhilfe durch Rhysida. Dort wurden Daten vor der Verschlüsselung kopiert, später im Darknet veröffentlicht und mit einer Lösegeldforderung von 1,8 Millionen Euro verbunden.

Die Beispiele zeigen, wie unterschiedlich die Ziele sind: Forschungseinrichtungen, Hilfsorganisationen, Stadtwerke, Kommunen, IT-Dienstleister, Medien- und Satellitenunternehmen, Versicherungen und sogar Flughäfen tauchen im Lagebild auf. Besonders der Angriff auf Collins Aerospace, der zu Störungen an mehreren europäischen Flughäfen führte, macht deutlich, wie schnell Cyberangriffe physische Abläufe beeinträchtigen können.

Cybercrime ist internationaler als andere Delikte

Bei gemeinsamer Betrachtung von Inlands- und Auslands-Kriminalstatistik ergibt sich mit 333.922 Fällen ein leichter Anstieg von 0,2 Prozent. Die Inlandstaten sanken um 4,1 Prozent auf 126.034 Fälle, während Auslandstaten um rund 3 Prozent auf 207.888 Fälle stiegen. Besonders bemerkenswert: Während Cybercrime in der Inlands-Kriminalstatistik nur 2,3 Prozent aller Straftaten ausmacht, liegt der Anteil in der Auslands-Kriminalstatistik bei 31,4 Prozent.

Das erklärt auch die niedrige Aufklärungsquote bei Auslandstaten: Sie liegt bei nur 2,0 Prozent. Das ist kein Hinweis auf fehlende Ermittlungsansätze, sondern Ausdruck struktureller Hürden. Internationale Rechtshilfe, fehlende Kooperation, verschleierte Identitäten und technische Infrastruktur in Drittstaaten erschweren die Täteridentifizierung massiv.

Ransomware: Weniger Zahlungsbereitschaft, höhere Forderungen

Ransomware bleibt der Schwerpunkt der Bedrohungslage. 2025 wurden 1.041 Ransomware-Angriffe angezeigt, ein Plus von 10 Prozent gegenüber 2024. Rund 96 Prozent der Angriffe richteten sich gegen Unternehmen, Organisationen und Institutionen, etwa 90 Prozent trafen kleine und mittlere Unternehmen. Besonders wichtig: Rund 76 Prozent der Ransomware-Fälle wurden der sogenannten „Double Extortion“ (zu deutsch: Doppel-Erpressung) zugeordnet. Dabei werden Daten nicht nur verschlüsselt, sondern vorher kopiert, um Opfer zusätzlich mit Veröffentlichung zu erpressen.

Nur 7 Prozent der Geschädigten gaben an, Lösegeld gezahlt zu haben. Das klingt zunächst positiv. Gleichzeitig stieg die durchschnittliche Zahlung auf rund 456.335 US-Dollar, ein Plus von 65 Prozent gegenüber dem Vorjahr. Insgesamt wurden in Deutschland 15,5 Millionen US-Dollar an Lösegeldern erfasst. Der Bericht deutet damit auf eine Verschiebung hin: Weniger Opfer zahlen, aber diejenigen, die zahlen, zahlen mehr. Für Täter bedeutet das einen Anreiz, Forderungen zu erhöhen und Angriffe weiter zu skalieren.

Gleichzeitig gewinnt Datenerpressung („Data Extortion“) an Gewicht. Einige Gruppen verzichten zunehmend auf Verschlüsselung und konzentrieren sich direkt auf Datendiebstahl und Erpressung mit Veröffentlichung. Das ist für Opfer besonders heikel, weil selbst gute Backups die Erpressung nicht neutralisieren, wenn sensible Daten bereits abgeflossen sind.

DDoS und Hacktivismus: Cyberangriffe als politisches Druckmittel

DDoS-Angriffe haben 2025 weiter zugenommen. Die Deutsche Telekom registrierte 36.706 DDoS-Angriffe in ihren Netzen, im Schnitt über 3.000 Angriffe pro Monat. Die häufigsten Ziele waren Behörden, öffentliche Verwaltungen, Verkehrsunternehmen und Logistikdienstleister.

Eng verbunden ist diese Entwicklung mit Hacktivismus. Die Gruppierung „NoName057(16)“ spielte im Lagebild eine zentrale Rolle. Sie führte 2025 zehn DDoS-Angriffswellen gegen deutsche Ziele durch, fast doppelt so viele wie 2024. Als Begründung wurde in der Propaganda häufig die deutsche Unterstützung der Ukraine genannt. Das BKA bewertet solche Angriffe technisch oft als moderat, im Kontext hybrider Bedrohungen aber als erheblich. Denn auch wenn eine Webseite „nur“ zeitweise nicht erreichbar ist, erzeugt dies öffentliche Sichtbarkeit, Verunsicherung und politische Signalwirkung.

Künstliche Intelligenz: Beschleuniger für Angreifer und Verteidiger

Das BKA betont, dass es bislang keine belastbaren polizeilichen Kennzahlen zum konkreten KI-Einsatz in Cybercrime-Fällen gebe. Trotzdem seien Veränderungen in mehreren Phänomenbereichen sichtbar. KI senkt technische Einstiegshürden, beschleunigt Angriffe und verbessert deren Qualität.

Bei Phishing sorgt KI für sprachlich fehlerfreie, personalisierte und glaubwürdige Nachrichten. Bei der Aufklärung („Reconnaissance“) hilft sie, Zielsysteme auszukundschaften und Schwachstellen schneller zu identifizieren. Bei Malware gibt es erste Beispiele für Schadsoftware, die KI-Modelle während des Angriffs nutzt oder mutmaßlich mit KI-Unterstützung entwickelt wurde. Der Bericht warnt außerdem vor agentischer KI: Wenn KI-Agenten eigenständig Aufgaben erledigen und tief in IT-Umgebungen eingebunden sind, können sie selbst zum Angriffsziel oder zum missbrauchten Werkzeug werden.

Koordinierte Ermittlungen statt Einzelfallarbeit

Da viele Angriffe wellenförmig, bundesweit und mit gleichem Modus Operandi auftreten, setzen die Behörden auf zentrale Ermittlungen. 2025 gab es 34 zentrale Ermittlungen, davon 29 gegen Ransomware-Akteure, zwei gegen Datenerpressungs-Akteure, zwei im Bereich DDoS und eine gegen Anbieter von Phishing-Kits.

Hinzu kommen internationale Operationen. Genannt werden unter anderem Maßnahmen gegen Nulled und Cracked, gegen Garantex, eXch, 8Base, NoName057(16), BlackSuit sowie mehrere Phasen der Operation Endgame. Diese Operationen zielen nicht nur auf einzelne Täter, sondern auf Infrastruktur, Server, Domains, Kryptowährungen und Dienstleister der Underground Economy.

Quo Vadis, Cybercrime?

Im Ausblick erwartet das BKA für 2026 eine weitere qualitative und quantitative Verschärfung der Bedrohungslage. Ransomware, DDoS und Hacktivismus nehmen zu, Datenerpressung wird wichtiger, KI erhöht Skalierbarkeit und Angriffsgeschwindigkeit. Perspektivisch nennt der Bericht sogar Quantencomputing als Faktor, der etwa bei der Entschlüsselung sensibler Daten relevant werden könnte.

Das BKA setzt dem einen Vier-Ebenen-Ansatz entgegen: Täter identifizieren, technische Infrastruktur zerschlagen, finanzielle Mittel entziehen und die Reputation krimineller Gruppen innerhalb der Szene beschädigen, denn Cybercrime lässt sich nicht allein durch Festnahmen bekämpfen. Die wirtschaftliche Infrastruktur der Täter muss ebenso getroffen werden wie ihre technischen Werkzeuge und Kommunikationskanäle.

Cybercrime ist zur Dauerlage geworden

Das Bundeslagebild Cybercrime 2025 zeigt eine digitale Bedrohungslage, die weder kurzfristig noch punktuell ist. Cyberangriffe sind industrialisiert, international vernetzt und zunehmend automatisiert. Für Unternehmen heißt das: Backups, Patch-Management, Multi-Faktor-Authentifizierung, Netzwerksegmentierung, Monitoring und die Reaktion auf Sicherheitsvorfälle sind keine optionalen IT-Projekte mehr, sondern Grundvoraussetzungen geschäftlicher Resilienz.

Für den Staat bedeutet das Lagebild: Strafverfolgung muss technisch, international und finanziell denken. Der einzelne Angreifer ist nur ein Teil des Problems. Entscheidend ist das Ökosystem dahinter — und genau dort setzt das BKA mit seinen internationalen Operationen zunehmend an.