Blog / Cybercrime 2025: Was Unternehmen aus dem BKA-Bundeslagebild lernen können

2026-06-10

Cyberangriffe sind längst kein Ausnahmefall mehr. Sie gehören für Unternehmen, Organisationen und öffentliche Einrichtungen zur alltäglichen Bedrohungslage. Das zeigt auch das aktuelle Bundeslagebild Cybercrime 2025 des Bundeskriminalamts. Die darin beschriebenen Entwicklungen machen deutlich: Cybercrime wird professioneller, skalierbarer und für Betroffene potenziell folgenreicher. Besonders Ransomware, Data Extortion, Phishing und der missbräuchliche Einsatz künstlicher Intelligenz prägen die aktuelle Lage.

Für Unternehmen ergibt sich daraus eine zentrale Frage: Wie können sensible Daten geschützt werden, wenn Angriffe immer häufiger nicht nur auf Systeme, sondern gezielt auf Informationen selbst abzielen?

Cybercrime 2025: Was Unternehmen aus dem BKA-Bundeslagebild lernen können

Cybercrime bleibt auf hohem Niveau

Das Bundeslagebild zeigt, dass Cybercrime in Deutschland weiterhin eine erhebliche Bedrohung darstellt. Für das Jahr 2025 weist das BKA insgesamt 333.922 Cybercrime-Fälle aus, wenn Inlands- und Auslandstaten zusammen betrachtet werden. Besonders relevant ist dabei, dass die Auslandstaten mit 207.888 Fällen die Inlandstaten deutlich übersteigen. Das verdeutlicht, wie stark Cyberangriffe grenzüberschreitend organisiert sind und wie schwierig ihre strafrechtliche Verfolgung sein kann.

Auch die wirtschaftlichen Schäden sind enorm. Laut der im Bericht genannten Bitkom-Erhebung entstanden der deutschen Wirtschaft durch Cyberattacken Schäden in Höhe von rund 202,4 Milliarden Euro. Damit machen Cyberangriffe einen erheblichen Anteil der Gesamtschäden aus, die Unternehmen durch Diebstahl, Spionage und Sabotage entstehen.

Diese Zahlen zeigen: Cybersecurity ist nicht nur ein IT-Thema. Sie betrifft die gesamte Organisation – von der Geschäftsführung über die IT-Abteilung bis hin zu Fachbereichen, die täglich mit sensiblen Daten arbeiten.

Ransomware bleibt eine zentrale Bedrohung

Eine der größten Gefahren bleibt Ransomware. Das BKA beschreibt Angriffe mit Verschlüsselungstrojanern weiterhin als zentrale Bedrohung für Unternehmen und öffentliche Einrichtungen. 2025 wurden deutschlandweit 1.041 Ransomware-Angriffe angezeigt – ein Anstieg um rund zehn Prozent im Vergleich zum Vorjahr.

Besonders auffällig ist, dass sich ein Großteil dieser Angriffe gegen Organisationen richtet: Laut Bericht betrafen rund 96 Prozent der Ransomware-Angriffe Unternehmen, Organisationen und Institutionen. Etwa 90 Prozent richteten sich gegen kleine und mittlere Unternehmen.

Das ist ein wichtiger Punkt. Cyberkriminelle greifen nicht nur große Konzerne mit riesigen IT-Budgets an. Gerade kleinere und mittlere Organisationen geraten zunehmend ins Visier, weil sie oft wertvolle Daten besitzen, aber nicht immer über die Ressourcen für komplexe Sicherheitsarchitekturen verfügen.

Typische Ziele sind zum Beispiel:

  • Daten von Kundinnen und Kunden
  • Vertragsunterlagen
  • Finanzdaten
  • Forschungsdaten
  • Personalakten
  • interne Strategie- und Projektdokumente
  • sensible Daten von Klient:innen, Patient:innen, Mitglieder:innen oder Partnerorganisationen

Für Angreifende sind solche Informationen besonders wertvoll. Und genau deshalb reicht es nicht mehr, nur Systeme abzusichern. Auch die Daten selbst müssen geschützt werden.

Von Ransomware zu Double Extortion

Früher stand bei Ransomware vor allem die Verschlüsselung von Systemen im Vordergrund. Angreifende blockierten den Zugriff auf Dateien und verlangten Lösegeld für deren Wiederherstellung. Heute ist dieses Modell deutlich gefährlicher geworden.

Das BKA weist darauf hin, dass ein großer Teil der Ransomware-Angriffe dem Modus Operandi Double Extortion zugeordnet werden kann. Dabei verschlüsseln Angreifende nicht nur Systeme, sondern kopieren vorher Daten aus der betroffenen Umgebung. Anschließend drohen sie damit, diese Informationen zu veröffentlichen oder zu verkaufen.

Für Unternehmen verschiebt sich dadurch das Risiko. Es geht nicht mehr nur darum, ob Daten aus einem Backup wiederhergestellt werden können. Es geht auch darum, ob sensible Informationen bereits abgeflossen sind – und ob Angreifende sie lesen, analysieren und gegen die Organisation verwenden können.

Backups bleiben selbstverständlich wichtig. Sie helfen dabei, nach einem Angriff wieder arbeitsfähig zu werden. Aber sie lösen nicht das Problem der Datenausleitung. Wenn vertrauliche Daten unverschlüsselt kopiert wurden, kann ein Backup den Reputationsschaden, rechtliche Risiken oder mögliche Datenschutzverletzungen nicht verhindern.

Genau hier wird Verschlüsselung auf Datenebene entscheidend.

Data Extortion gewinnt an Bedeutung

Der Bericht macht deutlich, dass sich neben klassischer Ransomware ein weiterer Modus Operandi etabliert: Data Extortion. Dabei verzichten Angreifende teilweise sogar auf die Verschlüsselung von Systemen und konzentrieren sich stattdessen direkt auf die Ausleitung sensibler Daten und die anschließende Erpressung mit deren Veröffentlichung.

Das ist eine wichtige Entwicklung. Denn sie zeigt, dass Cyberkriminelle dort ansetzen, wo der Druck auf Unternehmen am größten ist: bei vertraulichen Informationen.

Wenn sensible Daten in falsche Hände geraten, drohen nicht nur kurzfristige Betriebsunterbrechungen. Unternehmen müssen auch mit langfristigen Folgen rechnen:

  • Verlust von Vertrauen der Kundschaft
  • Reputationsschäden
  • Datenschutzmeldungen und mögliche Bußgelder
  • rechtliche Auseinandersetzungen
  • Veröffentlichung interner Informationen
  • Gefährdung von Partner:innen, Mitarbeitenden oder Betroffenen
  • Erpressung durch Androhung weiterer Veröffentlichungen

Je sensibler die Daten, desto größer der Druck. Für NGOs, Universitäten, Forschungseinrichtungen, Betriebsräte, Kanzleien, Beratungen, Gesundheitsorganisationen oder soziale Träger kann ein solcher Datenabfluss besonders schwerwiegend sein.

KI macht Angriffe schneller und überzeugender

Ein weiterer Schwerpunkt des Bundeslagebilds ist der Einsatz künstlicher Intelligenz. Das BKA beschreibt, dass KI die technischen Einstiegshürden für Cybercrime senkt und Angriffe effizienter, schneller und glaubwürdiger machen kann.

Besonders sichtbar wird das beim Phishing. KI kann dabei helfen, täuschend echte E-Mails zu erstellen: sprachlich fehlerfrei, gut übersetzt, personalisiert und im Stil bekannter Unternehmen oder interner Kommunikation formuliert. Dadurch werden Phishing-Angriffe schwerer zu erkennen.

Aber der Bericht geht noch weiter. KI kann auch bei der strategischen Auskundschaftung von Zielsystemen, bei der Identifikation von Schwachstellen und bei der Analyse großer Datenmengen helfen. Im Kontext von Ransomware kann das bedeuten: Angreifende können schneller herausfinden, welche Dateien besonders sensibel, vertraulich oder geschäftskritisch sind.

Das verändert die Verteidigungsperspektive. Organisationen müssen davon ausgehen, dass Angreifende künftig nicht nur mehr Daten stehlen können, sondern diese auch schneller auswerten und gezielter für Erpressung nutzen.

Warum Cloud-Daten besonders geschützt werden müssen

Viele Unternehmen und Organisationen arbeiten heute cloudbasiert. Dateien werden in Cloud-Speichern abgelegt, zwischen Teams geteilt und von verschiedenen Standorten aus bearbeitet. Das ist effizient und für moderne Zusammenarbeit kaum noch wegzudenken.

Gleichzeitig entstehen neue Risiken. Denn je mehr sensible Daten in Cloud-Umgebungen liegen, desto wichtiger wird die Frage:

Wer kann auf diese Daten zugreifen – und in welcher Form liegen sie dort vor?

Account-Sicherheit, Mehrfaktor-Authentifizierung und Rollenrechte sind wichtige Schutzmaßnahmen. Doch sie sollten nicht die einzigen Verteidigungslinien sein. Denn Phishing, kompromittierte Zugangsdaten, Fehlkonfigurationen oder unberechtigte Zugriffe können dazu führen, dass Angreifer Zugriff auf Cloud-Dateien erhalten.

Wenn diese Daten unverschlüsselt vorliegen, sind sie direkt verwertbar. Wenn sie hingegen clientseitig verschlüsselt wurden, entsteht eine zusätzliche Schutzschicht. Angreifende können Dateien dann nicht ohne Weiteres lesen, selbst wenn sie Zugriff auf den Speicherort erhalten.

Welche Rolle Cryptomator Hub dabei spielen kann

Cryptomator Hub setzt genau an dieser Stelle an. Die Lösung hilft Teams und Organisationen dabei, sensible Daten in der Cloud verschlüsselt zu speichern und den Zugriff zentral zu verwalten.

Wichtig ist die richtige Einordnung: Cryptomator Hub ist keine Anti-Ransomware-Software, kein Virenscanner und kein DDoS-Schutz. Die Lösung verhindert also nicht, dass Angreifende Phishing-Mails verschicken, Malware entwickeln oder Infrastrukturen angreifen.

Der Mehrwert liegt auf einer anderen Ebene: Cryptomator Hub schützt Daten dort, wo sie besonders gefährdet sind – in der täglichen Zusammenarbeit, in Cloud-Speichern und in geteilten Arbeitsumgebungen.

Das ist vor allem in vier Szenarien relevant:

1. Schutz vor verwertbarem Datenabfluss

Wenn Angreifende versuchen, Daten aus Cloud-Speichern zu kopieren, entscheidet die Verschlüsselung darüber, ob diese Daten für sie lesbar sind. Clientseitige Verschlüsselung sorgt dafür, dass Dateien bereits verschlüsselt werden, bevor sie in der Cloud gespeichert werden.

Für Data Extortion ist das ein entscheidender Punkt. Denn gestohlene Daten sind für Erpressung nur dann wertvoll, wenn sie ausgewertet und veröffentlicht werden können.

2. Zugriffskontrolle für Teams

In Organisationen müssen Daten geteilt werden – aber nicht alle Daten mit allen. Cryptomator Hub ermöglicht eine strukturierte Verwaltung von Zugriffsrechten für Teams. Dadurch lässt sich besser steuern, wer Zugriff auf bestimmte Tresore und sensible Informationen hat.

Das ist besonders wichtig für Organisationen mit mehreren Abteilungen, Projektteams oder externen Beteiligten.

3. Ergänzung bestehender Sicherheitsmaßnahmen

Cryptomator Hub ersetzt keine umfassende Sicherheitsstrategie. Es ergänzt sie. Eine robuste Cybersecurity-Strategie sollte mehrere Ebenen kombinieren:

  • Awareness und Schulungen
  • Phishing-Schutz
  • starke Passwörter und Mehrfaktor-Authentifizierung
  • Endpoint Security
  • regelmäßige Updates
  • Backups
  • Rechte- und Rollenmanagement
  • Incident Response
  • Verschlüsselung sensibler Daten

Cryptomator Hub stärkt in diesem Modell vor allem die Ebene der Datenvertraulichkeit.

4. Praktikable Lösung für kleinere Organisationen

Da laut Bericht insbesondere KMU stark von Ransomware betroffen sind, ist die praktische Umsetzbarkeit ein wichtiger Faktor. Nicht jede Organisation kann komplexe Enterprise-Security-Infrastrukturen aufbauen. Gleichzeitig müssen auch kleinere Teams sensible Daten schützen.

Cryptomator Hub kann hier als niedrigschwellige, teamfähige Lösung positioniert werden: Cloud-Daten bleiben nutzbar, werden aber durch zusätzliche Verschlüsselung geschützt.

➡️ Testen Sie Cryptomator Hub 30 Tage lang!

Fazit: Cybersecurity muss bei den Daten beginnen

Das Bundeslagebild Cybercrime 2025 macht deutlich, dass Unternehmen Cyberangriffe nicht mehr nur als technisches Risiko betrachten sollten. Die entscheidende Frage ist nicht mehr allein, ob ein Angriff abgewehrt werden kann. Entscheidend ist auch, wie handlungsfähig eine Organisation bleibt, wenn ein Angriff erfolgreich ist.

Genau hier verändert sich der Blick auf Datensicherheit. Wenn Angreifer sensible Informationen kopieren, analysieren und als Druckmittel einsetzen, wird die Vertraulichkeit dieser Daten zu einem zentralen Bestandteil der eigenen Widerstandsfähigkeit. Wer vertrauliche Informationen ungeschützt in Cloud-Umgebungen ablegt, verlässt sich darauf, dass alle vorgelagerten Schutzmechanismen jederzeit funktionieren. Die aktuelle Bedrohungslage zeigt jedoch, dass diese Annahme riskant ist.

Unternehmen brauchen deshalb Sicherheitsstrategien, die nicht nur Angriffe verhindern sollen, sondern auch deren Folgen begrenzen. Dazu gehört, sensible Daten konsequent so zu schützen, dass sie im Ernstfall nicht unmittelbar verwertbar sind. Verschlüsselung ist dabei keine Zusatzmaßnahme für besonders vorsichtige Organisationen, sondern ein grundlegender Baustein moderner Cyberresilienz.

Cryptomator Hub setzt genau an diesem Punkt an: Die Lösung hilft Teams, sensible Cloud-Daten clientseitig zu verschlüsseln und Zugriffe zentral zu verwalten. Damit schützt sie nicht vor jeder Form von Cyberangriff, aber sie stärkt eine entscheidende Verteidigungslinie – die Daten selbst.

Denn je stärker Cyberkriminalität auf den Diebstahl und die Veröffentlichung sensibler Informationen ausgerichtet ist, desto wichtiger wird eine einfache Erkenntnis: Daten, die für Angreifer nicht lesbar sind, verlieren einen großen Teil ihres Erpressungspotenzials.

➡️ Demo jetzt anfragen!