Von Stephanie Gust
Die Cybersicherheitslage in Deutschland bleibt angespannt. Zwar verzeichnen Behörden Erfolge bei der Zerschlagung krimineller Netzwerke und der Einführung von Sicherheitsstandards, doch die Angriffsflächen wachsen weiter – besonders in kritischen Infrastrukturen wie der Energieversorgung. Das zeigt der neue Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).
"Digitale Sicherheit ist eine Kernfrage staatlicher Souveränität", sagte Bundesinnenminister Alexander Dobrindt bei der Vorstellung des Berichts. "Mit dem Cyberdome schaffen wir ein starkes Schild gegen Angriffe aus dem Netz."
Wachsende Angriffsflächen
Im Berichtszeitraum von Juli 2024 bis Juni 2025 wurden täglich rund 119 neue Schwachstellen in IT-Systemen bekannt – ein Anstieg um 24 Prozent gegenüber dem Vorjahr. Vor allem Web-Anwendungen und schlecht konfigurierte Server bleiben laut BSI die größten Risiken. Allein der CERT-Bund meldete rund 47 Millionen offene oder verwundbare Server-Dienste.
Besonders problematisch ist die geringe Geschwindigkeit, mit der Sicherheitsupdates umgesetzt werden. Viele bekannte Lücken bleiben über Wochen oder Monate offen. Das BSI fordert daher, das Angriffsflächenmanagement in Unternehmen und öffentlichen Einrichtungen zur Routine zu machen – ähnlich selbstverständlich wie Antivirensoftware.
Energieversorgung im Fokus
Die Energiebranche zählt weiterhin zu den am stärksten betroffenen KRITIS-Sektoren. Angriffe auf Versorger und Netzbetreiber haben zugenommen, vor allem über Exploitation-Angriffe, also das Ausnutzen offener Schwachstellen. Laut Bericht ist die Zahl dieser Attacken um 38 Prozent gestiegen.
Insgesamt richteten sich rund 80 Prozent aller gemeldeten Cyberangriffe gegen kleine und mittlere Unternehmen – ein Befund, der viele Stadtwerke direkt betrifft. Oft fehlen Zeit, Personal und Mittel, um komplexe Sicherheitsmaßnahmen umzusetzen. Zugleich steigt die technische Verwundbarkeit, da digitale Steuerungssysteme, Cloud-Dienste und IoT-Komponenten immer stärker miteinander vernetzt sind.
Ransomware bleibt Hauptbedrohung
Erpressungstrojaner zählen nach wie vor zu den größten Risiken. 72 Prozent der Ransomware-Angriffe führten zu Datenlecks, und die durchschnittlichen Lösegeldforderungen erreichten ein neues Allzeithoch. Besonders betroffen waren Betriebe aus den Bereichen Energie, Wasser und Transport.
Hinzu kommen staatlich gesteuerte Attacken. Laut BSI war Deutschland 2025 das viertmeist angegriffene Land durch sogenannte APT-Gruppen (Advanced Persistent Threats). Diese Gruppen verfolgen politische oder wirtschaftliche Ziele – im Energiesektor etwa Spionage und Sabotage.
Cybersicherheit in Zahlen (BSI-Lagebericht 2025)
Fortschritte bei den Schutzsystemen
Trotz der Risiken gibt es Fortschritte. Die Informationssicherheits-Managementsysteme (ISMS) der Energie-KRITIS-Betreiber zeigen laut BSI eine positive Entwicklung. Immer mehr Unternehmen erreichen höhere Reifegrade in der Umsetzung von Sicherheits- und Notfallplänen (BCMS). Insgesamt zählen über 8600 Organisationen zur Allianz für Cybersicherheit, darunter zahlreiche Energieversorger und Stadtwerke.
Auch im Bereich der technischen Zertifizierungen legt das BSI zu: 37 neue Zertifikate für Smart-Meter-Gateways wurden bis Mitte 2025 vergeben. Sie sollen dazu beitragen, Kommunikation und Datentransfer in der Energiewirtschaft besser abzusichern.
Cyberdome und neue Maßnahmen
Mit dem Aufbau des Cyberdomes will das Bundesinnenministerium ein zentrales Abwehrsystem schaffen, das Angriffe teilautomatisiert erkennt, analysiert und Gegenmaßnahmen einleitet. Ergänzend sollen die Befugnisse der Sicherheitsbehörden erweitert werden, um schwerwiegende Cyberangriffe aktiv zu verhindern oder zu stoppen.
BSI-Präsidentin Claudia Plattner mahnt zur Wachsamkeit: "Wir müssen die Cybernation Deutschland weiterbauen. Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht. Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen." Ihr Fazit: Der Schutz der Angriffsflächen ist der entscheidende Hebel für 2026. Unternehmen, Behörden und Kommunen müssten kontinuierlich in Sicherheit investieren, sonst bleibe Deutschland im digitalen Raum verwundbar.
Einigung zur NIS-2-Umsetzung
Union und SPD haben sich außerdem auf die deutsche Umsetzung der EU-Richtlinie NIS 2 geeinigt. Ziel ist ein einheitliches Sicherheitsniveau für Betreiber kritischer Infrastrukturen und weitere "wesentliche Einrichtungen". Der Gesetzentwurf wurde Anfang November im Bundestag abgestimmt.
Was sich ändert:
- Mehr Pflichten: Auch kleinere und mittlere Versorger sowie Stadtwerke fallen künftig unter die erweiterten Vorgaben.
- Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden.
- Haftung: Geschäftsleitungen tragen ausdrücklich Verantwortung für das Informationssicherheits-Management.
- Kritische Komponenten: Das BMI kann künftig per Verordnung den Einsatz bestimmter Hardware- oder Software-Produkte untersagen, wenn deren Hersteller als nicht vertrauenswürdig gelten.
- Kontrolle: Das BSI erhält weitergehende Prüf- und Eingriffsrechte, auch bei Lieferketten und Dienstleistern.
Relevanz für Energieversorger
Für Netzbetreiber und Stadtwerke bedeutet das: mehr Dokumentations- und Nachweispflichten, verschärfte Anforderungen an Risiko- und Notfallmanagement sowie eine stärkere Beaufsichtigung durch das BSI. Betreiber sollten ihre Prozesse frühzeitig an die neuen Standards anpassen – die Umsetzung soll 2026 in Kraft treten.
