Eine_digitale_Darstellung_eines_Hackerangriffs__Ei_white

BKA-Lagebild Cybercrime 2025: Was Bayerns Mittelstand lernen sollte

75 Prozent betroffen, null Konsequenz — die nüchterne Realität bayerischer KMU.

75 Prozent betroffen, null Konsequenz: Was Bayerns Mittelstand aus dem BKA-Lagebild lernen müsste

Das Bundeskriminalamt hat im Mai 2026 sein Lagebild Cybercrime 2025 vorgelegt. Die Zahlen sind eindeutig — die Reaktion darauf in vielen mittelständischen Unternehmen ist es nicht.

Vor einigen Wochen begleitete ich meine Frau auf eine Fachtagung. Einer der angekündigten Referenten fehlte: Sein Unternehmen war wenige Tage zuvor Opfer eines Cyberangriffs geworden. Während die Veranstaltung weiterlief, kämpfte ein mittelständischer Geschäftsführer um den Wiederanlauf seiner Systeme.

Ich fragte in der Runde herum. Das Ergebnis hat mich nachhaltig beschäftigt:

Drei Viertel der Anwesenden hatten bereits einen Cyberangriff hinter sich.
Die Hälfte davon mit einem Komplettausfall von rund einer Woche.
Und keiner von ihnen hatte anschließend sein IT-Sicherheitsbudget erhöht.

Das aktuelle Bundeslagebild Cybercrime 2025, das am 12. Mai 2026 vom Bundeskriminalamt vorgestellt wurde, bestätigt diese Stichprobe in nüchternen Zahlen — und wirft eine Frage auf, die der Bericht selbst nicht beantwortet.

Die fünf Zahlen, die jeder Geschäftsführer kennen sollte

202,4 Milliarden Euro Gesamtschaden durch Cyberangriffe in Deutschland — das entspricht 4,5 Prozent des Bruttoinlandsprodukts.
335.000 registrierte Cybercrime-Fälle, zwei Drittel davon mit ausländischem Tatursprung.
1.041 angezeigte Ransomware-Angriffe — ein Anstieg von 10 Prozent gegenüber dem Vorjahr.
36.706 registrierte DDoS-Überlastungsangriffe — plus 25 Prozent.
80 Prozent aller ausgewerteten Ransomware-Angriffe trafen kleine und mittlere Unternehmen (laut Polizeilicher Kriminalstatistik 2024, zitiert von der WirtschaftsWoche).

Die letzte Zahl ist die wichtigste. Wer als Geschäftsführer eines mittelständischen Unternehmens noch davon ausgeht, dass nur Konzerne im Visier stehen, hält sich an einer Vorstellung fest, die statistisch widerlegt ist.

Warum Bayerns Mittelstand besonders im Fokus steht

Drei Strukturmerkmale machen Mittelständler zu attraktiven Zielen: gewachsene IT-Landschaften, oft keine dedizierte Security-Funktion und verteilte Standorte ohne einheitliches Schutzniveau. Dazu kommt das Lieferkettenrisiko: Wer Zulieferer eines größeren Unternehmens ist, wird Teil der Angriffsfläche — unabhängig von der eigenen Größe.

Bayern als Industriestandort mit überdurchschnittlich vielen produzierenden Familienunternehmen entspricht damit genau dem Profil, das Ransomware-Banden bevorzugen.

Der neue Faktor: KI als Angriffswerkzeug

Das BKA stellt erstmals eine systematische Nutzung von Künstlicher Intelligenz durch Cyberkriminelle fest. Konkret bedeutet das: perfekt formulierte Phishing-Mails ohne Rechtschreibfehler, Deepfake-Anrufe für CEO-Betrug und automatisierte Angriffsketten, die ohne menschliche Beteiligung Schwachstellen identifizieren und ausnutzen.

Die klassische Schulungsempfehlung „Achten Sie auf Tippfehler in verdächtigen E-Mails“ ist damit überholt. Die menschliche Erkennungsfähigkeit allein reicht nicht mehr — technische Schutzschichten werden zur Pflicht.

Die Verteidigungs-Lücke: Mistgabel gegen Präzisionsraketenwerfer

Was wir in der Praxis bei vielen mittelständischen Unternehmen sehen: signaturbasierter Virenscanner, eine zustandslose Firewall, jährlicher Backup-Check. Das ist Schutzniveau aus den 1990er Jahren.

Was Angreifer 2025/2026 einsetzen: KI-gestützte Phishing-Generierung, automatisierte Schwachstellen-Scans, Ransomware-as-a-Service mit professionellen Verhandlungsteams und 24/7-Operationszeiten. Es ist, als würde man mit der Mistgabel gegen einen Präzisionsraketenwerfer antreten.

Warum es so weit kommen konnte: IT wird in vielen mittelständischen Unternehmen primär als Kostenposition gesehen, nicht als geschäftskritische Infrastruktur. Solange der Drucker funktioniert, scheint alles in Ordnung — bis ein professioneller Angreifer es darauf anlegt. Mehr zu unseren IT-Sicherheitsdienstleistungen finden Sie auf unserer Webseite.

📌 Die 5 wichtigsten Fragen zum BKA-Lagebild — einfach erklärt

1️⃣ Was ist das BKA-Lagebild Cybercrime?

Der jährliche Bericht des Bundeskriminalamts zu Cyberkriminalität in Deutschland. Das Lagebild 2025 wurde am 12. Mai 2026 vorgestellt und liefert Fall- und Schadenszahlen, Trendanalysen und Einschätzungen zur Bedrohungslage.

2️⃣ Warum sind kleine und mittlere Unternehmen so stark betroffen?

KMU haben in der Regel gewachsene IT-Landschaften, kein dediziertes Security-Team und ein deutlich geringeres Sicherheitsbudget als Konzerne — bei vergleichbar wertvollen Daten. 80 Prozent aller ausgewerteten Ransomware-Angriffe trafen 2024 laut Polizeilicher Kriminalstatistik kleine und mittlere Unternehmen.

3️⃣ Welche Rolle spielt KI bei aktuellen Cyberangriffen?

Das BKA stellt erstmals eine systematische Nutzung von KI durch Cyberkriminelle fest: fehlerfreie Phishing-Mails, Deepfake-Anrufe für CEO-Betrug und automatisierte Angriffsketten. Die menschliche Erkennungsfähigkeit allein reicht nicht mehr — technische Schutzschichten werden zur Pflicht.

4️⃣ Was sollte ein Geschäftsführer kurzfristig tun?

Diese Woche: Backup-Strategie prüfen (offline, getestet?). Diesen Monat: Multi-Faktor-Authentifizierung einführen und Notfallplan checken. Dieses Quartal: einen professionellen Penetrationstest beauftragen und die NIS2-Betroffenheit prüfen.

5️⃣ Warum reagieren viele Betroffene nicht mit höheren Investitionen?

Drei typische Muster: Der Vorfall wird als Einzelfall gewertet, die erfolgreiche Wiederherstellung als Bestätigung der bestehenden IT — und nach der Krise fehlt das Budget für strukturelle Investitionen. Genau in dieser Lücke bereitet sich der nächste Angriff vor.

📞 Noch Fragen? Wir beraten Sie gerne — unverbindlich und persönlich.

Schreiben Sie uns über unser Kontaktformular oder rufen Sie an. Wir melden uns innerhalb eines Werktags zurück.

Das Reaktions-Paradox: Warum auch Betroffene nichts ändern

Zurück zur Tagung. Drei Viertel der Anwesenden waren bereits angegriffen worden. Keiner hatte daraufhin sein Sicherheitsbudget erhöht. Das ist kein Einzelphänomen — es lässt sich in der Beratungspraxis regelmäßig beobachten. Drei plausible Erklärungen:

„Wir hatten Glück, beim nächsten Mal auch.“ Der Vorfall wird als Einzelereignis abgespeichert, nicht als Symptom eines strukturellen Problems. Die Wahrscheinlichkeitsrechnung wird ausgeblendet — obwohl das BKA explizit von einem erheblichen Dunkelfeld ausgeht und die tatsächliche Betroffenheit damit höher liegen dürfte als die offiziellen Zahlen.

„Wir haben es ja überstanden.“ Die erfolgreiche Wiederherstellung wird als Bestätigung der bestehenden IT gewertet — nicht als das, was sie tatsächlich ist: ein Hinweis, dass das Sicherheitsniveau nicht ausgereicht hat, den Vorfall überhaupt zu verhindern.

„Das Geld fehlt woanders.“ IT-Sicherheit ist im Mittelstands-Cashflow eine Position unter vielen. Nach einem Angriff sind die unmittelbaren Wiederherstellungskosten so groß, dass für strukturelle Investitionen „danach“ kein Budget mehr da ist. Was logisch klingt, ist genau die Lücke, in der sich der nächste Angriff vorbereitet.

Die eigentliche Risikoeinschätzung sollte daher nicht lauten „Werde ich getroffen?“. Diese Frage ist bei 80 Prozent betroffenen mittelständischen Unternehmen statistisch beantwortet. Die relevante Frage ist: Habe ich nach einem Angriff die Mittel, das nächste Mal vorbereitet zu sein?

Fünf konkrete Schritte für vernünftige Geschäftsführer

Diese Woche: Backup-Strategie überprüfen — sind die Sicherungen offline gelagert und wann zuletzt erfolgreich getestet?

Diesen Monat: Multi-Faktor-Authentifizierung für alle kritischen Zugänge einführen. Notfallplan prüfen: Wer ist im Ernstfall außerhalb der Geschäftszeiten erreichbar, wer entscheidet?

Dieses Quartal: Penetrationstest beauftragen — die einzige Methode, um die eigene Realität zu kennen. Zusätzlich die NIS2-Betroffenheit prüfen, falls noch nicht geschehen.

Dieses Jahr: 24/7-Monitoring oder Managed Security in Betracht ziehen. Angriffsfenster liegen heute überwiegend außerhalb der regulären Bürozeiten.

Fazit

Die Tagungs-Beobachtung — 75 Prozent betroffen, keine strukturelle Reaktion — ist keine Anekdote, sondern eine Miniatur des Bundesdurchschnitts. Die BKA-Zahlen zeigen, dass das Problem flächendeckend ist. Was sie nicht zeigen können: ob daraus etwas folgt. Diese Entscheidung trifft jeder Geschäftsführer selbst — meist im laufenden Betrieb, ohne den Druck eines akuten Vorfalls. Genau dann ist sie am wertvollsten.

Wir bei BIOS-TEC begleiten seit über 20 Jahren mittelständische Unternehmen in München und Oberbayern bei genau diesen Fragen. Wenn Sie eine ehrliche Standortbestimmung Ihrer aktuellen IT-Sicherheit möchten — bevor ein Angriff sie für Sie übernimmt — sprechen Sie uns an.

Autor: Thomas Herzog, Geschäftsführer BIOS-TEC IT-Systemhaus

Quellen:

Bundeskriminalamt, Bundeslagebild Cybercrime 2025 (12. Mai 2026)
Bundesministerium des Innern, Pressemitteilung vom 12. Mai 2026
Bitkom Wirtschaftsschutz-Studie 2025
WirtschaftsWoche, Cyberprotection Day 2026