Der Cybercrime-Befund für Deutschland fällt 2025 ernüchternd aus: Die Fallzahlen bleiben hoch, die Professionalisierung der Täter nimmt weiter zu, und mit der breiten Nutzung von KI verschiebt sich die Bedrohungslage qualitativ wie quantitativ. Gleichzeitig wächst der Erwartungsdruck auf Politik und Sicherheitsbehörden, mit neuen Befugnissen die Lücke zwischen Angriffs- und Verteidigungsfähigkeit zu schließen. Im Gesamtbild aller verfügbaren Informationen zeigt sich die wahre Gefährdungslage – und warum der Gesetzgeber ganz aktuell versucht, eine Vielzahl neuer Cybercrime-Gesetze durchzubringen.
Lagebild 2026: Cybercrime als Normalzustand
Das Bundeslagebild Cybercrime 2025 zeigt eine nahezu stagnierende, aber auf hohem Niveau verharrende Kriminalitätsbelastung: Insgesamt werden 333.922 Cybercrime-Fälle erfasst, ein minimaler Anstieg um 0,2 Prozent gegenüber 2024. Auffällig ist erneut die Dominanz der Auslandstaten: 207.888 Fälle entfallen auf Konstellationen, in denen der Täterstandort nicht in Deutschland verortet werden kann, während 126.034 Fälle der Inlands-PKS zugeordnet werden. Cybercrime macht damit fast ein Drittel aller Fälle der Auslands-PKS aus, in der Inlands-PKS hingegen nur 2,3 Prozent – ein Indiz für die starke internationale Dimension.
Die Aufklärungsquote bei Auslandstaten verharrt bei 2,0 Prozent; angesichts fehlender Rechtshilfe, politischer Blockaden und technisch geschickter Verschleierung bleiben viele Verfahren im Ansatz stecken. Parallel dazu weist Bitkom für die deutsche Wirtschaft einen Gesamtschaden von 289,2 Milliarden Euro aus, wovon rund 202,4 Milliarden Euro direkt auf Cyberangriffe zurückgehen – etwa 70 Prozent der gesamten Schadenssumme. Die Schere zwischen polizeilich sichtbarem Hellfeld und volkswirtschaftlich relevanter Schadensbilanz öffnet sich damit weiter.
Ransomware und Data Extortion: Mehr Angriffe, höhere Forderungen
Im Fokus steht 2025 erneut Ransomware – allerdings mit erkennbarer Verschiebung hin zu reinen Data-Extortion-Modellen. Insgesamt wurden 1.041 Ransomware-Angriffe in Deutschland angezeigt, ein Plus von 10 Prozent gegenüber 950 Fällen im Vorjahr. Die Angriffe verteilen sich wellenförmig über das Jahr, mit Peaks im März, Juli und Oktober; ein typischer „Sommer-Effekt“ mit sinkendem Angriffsvolumen bleibt aus.
Bemerkenswert ist die Entwicklung der Zahlungsbereitschaft: Nur 7 Prozent der Geschädigten gaben an, Lösegeld gezahlt zu haben (2024: 9 Prozent), während global nach Daten des Dienstleisters Coveware rund 24 Prozent der Unternehmen bezahlen. Gleichwohl steigt die durchschnittliche Zahlung in Deutschland deutlich – von umgerechnet 276.615 auf 456.335 US-Dollar je Fall, ein Plus von 65 Prozent. Die aggregierten Lösegeldzahlungen summieren sich auf 15,5 Millionen US-Dollar, nahezu eine Verdopplung gegenüber dem Vorjahr.
International zeichnen Blockchain-Analysen ein ähnliches Bild: Chainalysis sieht bei durchschnittlichen Lösegeldzahlungen einen Anstieg um 368 Prozent, während die Gesamtsumme der auf bekannten Wallets sichtbaren Ransomware-Einnahmen weitgehend stabil bleibt, weil insgesamt weniger Opfer zahlen. Die ökonomische Konsequenz: Tätergruppen müssen mehr Angriffe fahren und höhere Forderungen stellen, um ihr Ertragsniveau zu halten.
Parallel dazu gewinnen reine Data-Extortion-Modelle an Bedeutung, also Erpressung allein mit der Drohung der Veröffentlichung exfiltrierter Daten ohne Verschlüsselung des Systems. Beispiele wie der Übergang von HIVE über Hunters International hin zu WorldLeaks illustrieren die strategische Anpassung: Weg vom klassischen Verschlüsselungstrojaner hin zu schlankeren, weniger riskanten Erpressungsmodellen. In dieser Lücke positionieren sich in Deutschland besonders aktiv Gruppen wie Akira und SafePay, die nach polizeilichen Operationen gegen Phobos, LockBit, 8Base und BlackSuit Marktanteile auf sich ziehen.
DDoS und Hacktivismus: Politische Konflikte im Netz
Die Zahl der DDoS-Angriffe wächst ebenfalls signifikant: Die Deutsche Telekom registriert 36.706 Angriffe im Jahr 2025, nach 29.399 im Vorjahr – also rund 3.059 Angriffe pro Monat. Durchschnittliche Dauer und Bandbreite der Angriffe sinken, gleichzeitig steigt die Fallzahl; das deutet auf viele kurze, niedrigbandige, aber wirkungsvolle Attacken hin.
Auf europäischer Ebene verzeichnet der Dienstleister Link11 einen Anstieg der DDoS-Angriffe um über 75 Prozent, was insbesondere mit hacktivistischen Kampagnen im geopolitischen Kontext, dem Einsatz von Automatisierung und KI, der hohen Zahl ungeschützter IoT-Geräte und effizientem Botnet-Management erklärt wird. In Deutschland steht die pro-russische Gruppierung NoName05716 exemplarisch für diese Entwicklung: Zehn DDoS-Kampagnen gegen deutsche Ziele im Jahr 2025 (2024: sechs), 378 betroffene Behörden und Unternehmen (2024: 137) und eine klare politische Begründung – die Unterstützung Deutschlands für die Ukraine.
Bemerkenswert ist die Antwort der Strafverfolgung: In der Operation Eastwood gelingt es einem internationalen Verbund unter deutscher Koordination, ein Botnetz aus mehreren hundert Servern zu zerschlagen und Haftbefehle gegen mutmaßliche Rädelsführer in Russland zu erwirken. Die Gruppe reagiert mit Vergeltungsangriffen, bleibt aber technisch unterhalb eines signifikanten Schadensniveaus – ein Musterfall für die Kombination aus technischer Disruption und reputationsschädigender Kommunikation, wie sie das BKA als zentrales Element seiner Cybercrime-Strategie beschreibt. Ich habe zu dieser „distruptiven Strafverfolgung“ in der CyberStraf 02/2026 geschrieben, warum dies rechtsstaatlich bedenklich ist und gesetzlicher Regulierung bedarf.
KI als Hebel – für Angreifer und Verteidiger
Einen eigenen Schwerpunkt widmet das Bundeslagebild dem Einfluss künstlicher Intelligenz. Formal fehlen zwar polizeiliche Kennzahlen zum konkreten KI-Einsatz in einzelnen Delikten, gleichwohl beobachtet das BKA Veränderungen in nahezu allen Phänomenbereichen: KI senkt die technischen Einstiegshürden, erhöht Geschwindigkeit und Skalierbarkeit, verbessert Täuschungsqualität – und wird zunehmend selbst zum Angriffsziel.
Im Bereich Phishing ermöglicht KI massenhaft sprachlich fehlerfreie, kulturell angepasste Inhalte, automatisierte Personalisierung und bessere Imitation von Markenauftritten. Für die Praxis bedeutet das: Weniger orthografische „Red Flags“, mehr täuschend echte Mails und Websites, bessere Trefferquoten – Bitkom sieht im Unternehmenssektor eine weiterhin sehr hohe Betroffenheit durch digitale Sabotage und Datendiebstahl, 73 Prozent der Unternehmen berichten von Angriffen auf Informations- und Produktionssysteme, 66 Prozent von Diebstahl digitaler Geschäftsdaten.
Gleichzeitig entstehen neue Malware-Klassen, die KI-Modelle aktiv einbinden. Die Malware „Lamehug“ interagiert mit einem externen KI-Modell, um dynamisch Befehle für Systemerkundung und Datenausleitung zu generieren; „Promptlock“ nutzt ein Sprachmodell ähnlich. Weitere Varianten wie „Koske“ oder „Promptflux“ verwenden KI, um Code bei jeder Ausführung so zu verändern, dass signaturbasierte Erkennung erschwert wird.
Im Ransomware-Kontext nutzt die Szene KI zur Reconnaissance, zur Identifikation besonders sensibler Daten und zur Optimierung von Druckmittel und Kommunikation; KI-Tools dienen als Rechercheassistenz, Übersetzungsdienst, Textgenerator und Code-Optimierer. Gleichzeitig warnen BSI, Google Threat Intelligence Group, OpenAI und andere Anbieter in eigenen Reports vor Missbrauch ihrer Modelle für Cyberangriffe – aus Sicht vieler Unternehmen ist dieser Bruch in der Wahrnehmung angekommen: 66 Prozent der Unternehmen haben den Eindruck, dass Angreifer vermehrt KI einsetzen.
Aber KI wirkt nicht nur als Tatmittel, sondern wird selbst zur Angriffsfläche: interne LLM-Tools, Agentensysteme mit weitreichenden Rechten in der Infrastruktur, unzureichend abgesicherte Prompt- und Kontextverarbeitung. Das Lagebild beschreibt u.a. Angriffsserien, bei denen ein Modell als zentrale Steuereinheit fungiert, Angriffsphasen koordiniert und dabei so „legitim“ erscheinende Prompts verwendet, dass herkömmliche Abuse-Muster kaum greifen.
Wirtschaftlicher Druck: Rekordschäden und Investitionswelle
Auf Ebene der Unternehmen verdichtet sich das Bild: Die Bitkom-Studie „Wirtschaftsschutz 2025“ weist 87 Prozent betroffene Unternehmen aus; der wirtschaftliche Gesamtschaden steigt auf 289,2 Milliarden Euro, nach 266,6 Milliarden im Vorjahr. Allein Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen verursachen 73,3 Milliarden Euro; hinzu kommen 53 Milliarden Euro für Rechtsstreitigkeiten und 37 Milliarden für Ermittlungen und Ersatzmaßnahmen.
Cyberangriffe sind dabei klar dominierend: Rund 202,4 Milliarden Euro des Schadens gehen direkt auf Cyberattacken zurück. Ransomware verursacht bei 34 Prozent der Unternehmen Schäden, DDoS bei 25 Prozent, Malware bei 24 Prozent. Jedes siebte Unternehmen zahlt Lösegeld, in vielen Fällen sechsstellige Beträge – die Verteilung reicht bis über eine Million Euro.
Die Reaktion: Der Anteil des IT-Sicherheitsbudgets am Gesamt-IT-Budget liegt im Durchschnitt bei 18 Prozent, deutlich mehr als noch vor wenigen Jahren. 59 Prozent der Unternehmen verfügen über ein Notfallmanagement; zugleich sehen 59 Prozent Cyberangriffe als existenzielle Bedrohung, während sich nur 50 Prozent „sehr gut“ vorbereitet fühlen. 78 Prozent fordern, dass Deutschland in der Lage sein müsse, sich im digitalen Raum zu verteidigen, 53 Prozent verlangen deutlich höhere Ausgaben für Cybersicherheit.
Eine zusätzliche Perspektive liefert übrigens der Schwarz Cyber Security Report 2025: Global steigen die Ausgaben für Informationssicherheit im zweistelligen Prozentbereich, gleichzeitig kämpfen Unternehmen mit „Tool Sprawl“ – zu viele Einzellösungen, zu wenig Integration. Studien von WEF, ENISA und anderen verorten den weltweiten Markt für Cybersecurity-Technologien und -Services im Billionenbereich und sprechen von einer „Cyber resilience inequality“: große Konzerne und regulierte Sektoren bauen robuste Verteidigungslinien, wohingegen kritische Infrastrukturen, Mittelstand und öffentliche Hand oft zurückfallen.
Gesellschaftliche Wahrnehmung: Hohe Bedrohung, begrenztes Vertrauen
Die Bevölkerungsumfrage zur Cyberkriminalität ergänzt das Lagebild um eine subjektive Ebene: 70 Prozent der Befragten sehen eine hohe Bedrohung für Deutschland insgesamt, doch nur 37 Prozent empfinden die Gefahr für sich und ihre Familie als hoch. 61 Prozent der Internetnutzenden waren in den letzten zwölf Monaten Opfer von Cyberkriminalität, typischerweise in Form von Betrug beim Onlinehandel, Datendiebstahl oder Schadsoftware; der durchschnittliche Schaden liegt bei 219 Euro.
Gleichzeitig halten mehr als zwei Drittel Deutschland für nicht ausreichend auf Cyberangriffe vorbereitet. 91 Prozent wünschen sich mehr Polizeipräsenz im digitalen Raum, 81 Prozent härtere Strafen und 76 Prozent zusätzliche Befugnisse für Sicherheitsbehörden. Die Angst vor einem „Cyberkrieg“ ist ausgeprägt: 61 Prozent befürchten einen solchen Konflikt, 71 Prozent gehen davon aus, dass künftige Kriege auch digital geführt werden, und zwei Drittel plädieren dafür, schwere Cyberangriffe ähnlich wie militärische Angriffe zu bewerten.
Operative Erfolge: Zerschlagung von Infrastrukturen und Märkten
Trotz der angespannten Lage verzeichnet das Bundeslagebild eine Reihe substantieller Ermittlungserfolge. Die Takedowns der Handelsplattformen nulled.to und cracked.io (Operation Talent) treffen zentrale Marktplätze der Underground Economy mit rund zehn Millionen Nutzerkonten; Server, Domains, Kommunikationsdaten und Vermögenswerte werden sichergestellt, gegen acht mutmaßliche Betreiber wird ermittelt.
Im Februar 2025 folgen Maßnahmen gegen die Ransomware-Gruppierung 8Base, inklusive Festnahmen in Thailand und Beschlagnahme von 115 Servern. Im März wird die russische Kryptobörse Garantex, die in großem Umfang Geldwäsche für Ransomware-Gruppen betrieben haben soll, technisch und finanziell getroffen; allein in Deutschland werden Server beschlagnahmt, in den USA Kryptowerte in Millionenhöhe sichergestellt. Operation Endgame 2.0 und 3.0 zielen auf Initial-Access-Malware wie Bumblebee, Qakbot, Latrodectus, Rhadamanthys oder den RAT VenomRAT: Hunderte bis tausende Täterserver werden übernommen, kompromittierte Daten in Millionenhöhe gesichert und der Szene signifikante Infrastruktur entzogen. Parallel dazu werden Bitcoin-Mixer wie cryptomixer.io und Dienste wie eXch aus dem Verkehr gezogen, die als Knotenpunkte für Geldwäsche und Verschleierung von Ransomware-Erlösen fungierten.
Die Botschaft des BKA ist klar: Statt nur Einzelfälle zu bearbeiten, setzt man auf einen mehrdimensionalen Ansatz – personenbezogene Ermittlungen, technische Zerschlagung von Infrastrukturen, Entzug finanzieller Mittel und kommunikative Maßnahmen, die die Reputation von Gruppen in der Szene angreifen.
Gesetzgeberischer Ausblick: Mehr IP-Daten, mehr KI-Befugnisse
Nicht zuletzt vor dem aufgezeigten Hintergrund arbeitet der Gesetzgeber 2026 an mehreren Projekten, die in die Cybercrime-Lage hineinreichen: Der Entwurf zur vorsorglichen Speicherung von IP-Adressen sieht eine dreimonatige Speicherung von Zuordnungsdaten bei Internetzugangsanbietern vor, ergänzt um Sicherungsanordnungen für Verkehrsdaten („Quick Freeze“) und eine Neujustierung der Funkzellenabfrage. Ziel ist es, insbesondere bei kinderpornografischer Verbreitung, Cyber-Betrug und Hasskriminalität im Netz die Identifizierbarkeit von Tätern zu verbessern.
Parallel dazu liegt ein Entwurf zur Änderung der StPO vor, der digitale Ermittlungsmaßnahmen wie automatisierten biometrischen Internetabgleich und automatisierte Datenanalyse (Analyseplattformen) normiert und eng an den Katalog des § 100a StPO anbindet. Die BMI-Entwürfe zur Stärkung digitaler Ermittlungsbefugnisse übertragen ähnliche Instrumente in das Polizei- und BKA-/BPolG-Recht, einschließlich Befugnissen zum Testen und Trainieren von IT-Produkten – also auch KI-Systemen – mit Echtdaten.
In der Sprache des Bundeslagebildes lässt sich das als Versuch lesen, die „Reaktionsfähigkeit auf laufende oder bevorstehende Cyberangriffe“ zu erhöhen und dem BKA neben der Strafverfolgung auch eine Aufgabe der Cyberabwehr zuzuweisen. Die Spannungsfelder sind absehbar: Grundrechtsintensität bei IP-Speicherung und biometrischer Fernidentifizierung, die Regulierung von Hochrisiko-KI-Systemen nach KI-VO, die Gefahr funktionaler Zweckverschiebung von Datenanalysesystemen – und zugleich der politische Druck, bei immer professionelleren Angriffen nicht hinterherzuhinken.
Lageentwicklung beim Cybercrime
Für die kommenden Jahre zeichnet sich ein Trend ab, der sich sowohl im BKA-Lagebild als auch in den internationalen Reports von WEF, ENISA und großen Anbietern spiegelt: mehr Angriffe, mehr Automatisierung, mehr politischer Kontext. Ransomware wird weiter zwischen Double Extortion und reiner Data Extortion oszillieren, während Zahlungserwartungen steigen und Lösegeldzahlungen stärker auf wenige zahlungskräftige Opfer zielen. DDoS und Hacktivismus werden im Schatten geopolitischer Konflikte zunehmen, mit dem Ziel, öffentliche Wahrnehmung zu beeinflussen und Verwundbarkeiten kritischer Infrastrukturen sichtbar zu machen.
KI-gestützte „agentische“ Systeme werden Angriffsserien weiter automatisieren; die Unterscheidung zwischen menschlicher und maschineller Angriffsplanung wird im Alltag kaum noch belastbar sein. Unternehmen werden gezwungen sein, KI nicht nur als Risiko, sondern auch als Verteidigungsinstrument ernsthaft zu operationalisieren – in der Anomalieerkennung, der Auswertung von Telemetriedaten, im Patch- und Schwachstellenmanagement und im Awareness-Training.
Für den deutschen Gesetzgeber stellt sich damit weniger die Frage, ob er neue digitale Ermittlungsinstrumente schafft, sondern wie eng er sie begrenzt, wie transparent er sie macht und wie diese mit europäischen Vorgaben zu Datenschutz und KI-Governance zusammenspielen. Für Unternehmen und Bürger bleibt vorerst die Erkenntnis, dass Cybercrime von der Randnotiz zum strukturellen Risiko geworden ist – und dass Prävention, Resilienz und rechtlicher Rahmen in den nächsten Jahren entscheidend darüber mitbestimmen werden, ob Deutschland den Anschluss an die neue Realität im Cyberraum hält oder ihr (weiterhin zunehmend) hinterherläuft.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Gesetz gegen digitale Gewalt (2026): Ein Entwurf, der mehr verspricht als er hält - 14. Mai 2026
- Cybercrime Bundeslagebild 2025: Deutschland im Stresstest - 14. Mai 2026
- KI-Verordnung - 14. Mai 2026
