Die Neue Realität 2026

1. Strategisches Lagebild: Eine Volkswirtschaft unter Beschuss

Deutschland ist eine Exportnation. Unser Wohlstand, unsere Arbeitsplätze, die Stabilität unserer Gesellschaft hängen an der Wettbewerbsfähigkeit des Mittelstands. Dieser Mittelstand befindet sich heute in einer existenziellen Bedrohungslage.

Der Gesamtschaden für die deutsche Wirtschaft durch Datendiebstahl, Spionage und Sabotage hat 2025 die Rekordsumme von 289 Milliarden Euro erreicht. Das Bundeskriminalamt (BKA) verzeichnete im selben Zeitraum über 130.000 Cyberangriffe mit nachgewiesenem Schaden — eine Steigerung von 28 Prozent gegenüber dem Vorjahr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet täglich 119 neu entdeckte Schwachstellen in Software und IT-Systemen.

Die Entwicklung über zehn Jahre verdeutlicht die Dramatik: Im Jahr 2015 registrierten die Behörden rund 45.000 Cyberstraftaten bei einem geschätzten Schaden von 51 Milliarden Euro. Heute haben wir es mit dem Dreifachen an Fällen und dem Fünffachen an Schaden zu tun — bei gleichzeitig dramatisch gestiegener Komplexität der Angriffe.

Den größten Einzelposten bildet der Ausfall von Informations- und Produktionssystemen: 73,3 Milliarden Euro jährlich. Wenn ein Automobilzulieferer stillsteht, stehen auch die Zulieferer seiner Zulieferer still. Die Kettenreaktion trifft Unternehmen, die selbst gar nicht angegriffen wurden. Juristische und regulatorische Aufarbeitung verschlingt weitere 53 Milliarden Euro. Besonders schwer wiegt der schleichende Ausverkauf deutschen Know-hows: 30,6 Milliarden Euro Schaden durch Produktpiraterie und 23,1 Milliarden durch den Verlust von Wettbewerbsvorteilen.

Ein konkretes Beispiel für die Verwundbarkeit unserer Strukturen: Im Oktober 2023 wurde die Südwestfalen-IT, der kommunale IT-Dienstleister für 72 Gemeinden in Nordrhein-Westfalen, durch einen Ransomware-Angriff lahmgelegt. Bürgerservices fielen wochenlang aus. Die Wiederherstellung dauerte Monate und kostete zweistellige Millionenbeträge.

2. Die Angreifer — Wer greift Deutschland an und warum

Russland: Destabilisierung als Doktrin

Der russische Angriffskrieg gegen die Ukraine hat gezeigt, was wir in Westeuropa bisher nur theoretisch diskutiert hatten: Cyberangriffe sind integraler Bestandteil moderner Kriegsführung. Am 24. Februar 2022, eine Stunde vor Beginn der russischen Bodeninvasion, wurde der Satellitenkommunikationsanbieter Viasat angegriffen. Tausende Modems fielen aus, die Kommunikation der ukrainischen Streitkräfte wurde gestört — und Tausende Windkraftanlagen in Mitteleuropa waren tagelang nicht steuerbar.

Seit Dezember 2022 wurden E-Mail-Konten der SPD-Parteizentrale durch die russische Hackergruppe APT28 kompromittiert. Die Angriffe auf den Deutschen Bundestag im Jahr 2015 und auf zahlreiche Behörden seither folgen demselben Muster: Destabilisierung, Desinformation, Datendiebstahl.

China: Der systematische Technologieraubzug

China verfolgt eine andere, langfristigere Strategie. Nicht Destabilisierung, sondern Akkumulation. Das Ziel ist Chinas Aufstieg zur globalen Technologiemacht durch den Zugriff auf westliches Know-how. Mehr als 5.000 deutsche Unternehmen sind mit Produktionsstätten oder Niederlassungen in China vertreten. Das bedeutet: Jede E-Mail, jedes Meeting-Protokoll, jede Konstruktionszeichnung, die auf chinesischen Servern gespeichert oder über chinesische Netze übertragen wird, ist potenziell zugänglich für staatliche Stellen.

Besonders alarmierend sind Berichte über die Gruppe Salt Typhoon, die gezielt Telekommunikationsinfrastrukturen in westlichen Ländern kompromittiert — nicht um zu stören, sondern um Überwachungskapazitäten dauerhaft zu etablieren.

Organisierte Cyberkriminalität: Cybercrime-as-a-Service

Neben staatlichen Akteuren haben wir es mit einer hochprofessionalisierten kriminellen Industrie zu tun. Dieses Ökosystem imitiert betriebswirtschaftliche Strukturen: Es gibt Entwickler, Vertrieb, Kundendienst und Affiliate-Programme. Am Anfang stehen sogenannte Access Broker — Spezialisten, die ausschließlich darauf spezialisiert sind, Zugänge zu Unternehmensnetzwerken zu verschaffen und diese weiterzuverkaufen. Diese Zugänge werden von Ransomware-Entwicklern und ihren Affiliates genutzt. Parallel dazu existieren Phishing-as-a-Service-Anbieter mit kompletten Betrugsinfrastrukturen zum Mieten. Entscheidend ist: Die Akteure kennen sich nicht persönlich und können nicht gemeinsam verhaftet werden.

3. KI als Brandbeschleuniger

Deepfakes: Wenn man seinen eigenen Augen nicht mehr trauen kann

Stellen Sie sich vor, Sie erhalten morgen früh einen Videoanruf Ihres Vorstandsvorsitzenden. Er sieht aus wie er, seine Stimme klingt wie seine Stimme — er erklärt eine dringende Transaktion, die sofort ausgeführt werden muss. Dies ist kein Gedankenexperiment. Im Jahr 2024 überwiesen Mitarbeiter eines multinationalen Konzerns in Hongkong 25 Millionen Dollar nach solch einem Deepfake-Videogespräch. Die Mitarbeiter glaubten, mit ihrem CFO und weiteren Kollegen zu sprechen — alle waren künstlich generiert.

Deepfake-Inhalte verdoppeln sich alle paar Monate. Identitätsbetrug per Deepfake ist in der Finanz- und Versicherungsbranche bereits die häufigste Form des digitalen Betrugs.

Automatisierte Angriffsschwärme und der Post-Malware-Krieg

KI verändert nicht nur die Täuschung von Menschen, sondern auch die technische Angriffsmethodik fundamental. Zwei besonders besorgniserregende Entwicklungen:

Predator Swarms — der automatisierte Angriffsschwarm: Früher brauchte ein Angreifer Tage oder Wochen, um ein Unternehmensnetzwerk zu erkunden, Schwachstellen zu finden und einen Angriff zu orchestrieren. Heute können KI-gesteuerte Systeme tausende Angriffsvektoren gleichzeitig testen, in Echtzeit lernen und adaptieren — innerhalb von Minuten.

Living-off-the-Land — Angriffe ohne erkennbare Schadsoftware: Angreifer installieren keine fremde Software mehr auf Systemen. Stattdessen nutzen sie die Werkzeuge, die ohnehin vorhanden sind — Windows-Bordmittel, legitime Administrationstools. Herkömmliche Virenscanner können diese Angriffe nicht erkennen, weil keine bekannte Schadsoftware verwendet wird.

SAP-Sicherheit: Die unterschätzte Gefahr

Rund 92 Prozent der deutschen DAX-Unternehmen nutzen SAP als zentrales ERP-System. In diesen Systemen liegen Finanzdaten, Personalinformationen, Produktionspläne, Lieferkettendaten — das gesamte operative Wissen eines Unternehmens. Das Jahr 2025 hat gezeigt, wie real diese Bedrohung ist: Die Schwachstelle CVE-2025-31324 im SAP NetWeaver erhielt den maximal möglichen Schweregrad von 10,0 von 10 Punkten. Sie erlaubte es Angreifern, ohne jede Authentifizierung vollständigen Systemzugriff zu erlangen. Innerhalb von 72 Stunden nach Bekanntwerden wurden weltweit SAP-Systeme aktiv angegriffen.

4. Regulatorische Rahmenbedingungen

NIS-2-Richtlinie: Cybersicherheit ist Chefsache

Die europäische NIS-2-Richtlinie ist in nationales Recht umgesetzt worden. Die wichtigste Botschaft: Die Zahl der betroffenen Unternehmen in Deutschland steigt von rund 2.000 auf über 30.000. Vorstände und Geschäftsführungen haften persönlich für die Umsetzung der Sicherheitsanforderungen. Cybersicherheit ist keine IT-Frage mehr — sie ist eine Führungsaufgabe.

KRITIS-Dachgesetz: Schutz der kritischen Infrastruktur

Das KRITIS-Dachgesetz schafft erstmals einen einheitlichen Rahmen für physische und digitale Sicherheit kritischer Infrastrukturen. Strom, Wasser, Gesundheit, Telekommunikation, Ernährung — all diese Sektoren unterliegen nun klaren Mindestanforderungen und Meldepflichten. Wer die Fristen verpasst, riskiert empfindliche Bußgelder und persönliche Haftung.

5. Was Unternehmen jetzt tun müssen — 10 konkrete Maßnahmen

1. Cybersicherheit zur Chefsache machen. Die Verantwortung für IT-Sicherheit gehört in den Vorstand oder die Geschäftsführung — mit Budget, Entscheidungskompetenz und regelmäßiger Befassung. NIS-2 macht das zur Pflicht.
2. Angriffsfläche kennen. Erstellen Sie ein vollständiges Inventar aller IT-Systeme, Schnittstellen und Zugänge — inklusive der Systeme von Lieferanten und Dienstleistern. Viele Angriffe erfolgen über die Lieferkette.
3. Multi-Faktor-Authentifizierung einführen. Das gestohlene Passwort ist der häufigste Angriffspunkt. MFA reduziert das Risiko einer erfolgreichen Kontoübernahme um über 99 Prozent.
4. Patch-Management automatisieren. Angreifer nutzen bekannte Schwachstellen oft innerhalb von Stunden aus. Automatisiertes Einspielen von Sicherheitsupdates ist keine Kür, sondern Pflicht.
5. Netzwerksegmentierung und Zero-Trust. Gehen Sie davon aus, dass ein Angreifer irgendwann eindringt. Segmentierung und Zero-Trust-Architektur begrenzen den Schaden auf einen Bruchteil des Netzwerks.
6. Notfallplan entwickeln und testen. Jedes Unternehmen braucht einen getesteten Notfallplan: Wer wird wann informiert? Wer hat Entscheidungsbefugnis? Wie kommunizieren wir, wenn die IT ausgefallen ist?
7. Offline-Backups sicherstellen. Backups sind die letzte Verteidigungslinie gegen Ransomware — aber nur, wenn sie offline aufbewahrt und regelmäßig auf Wiederherstellbarkeit getestet werden.
8. Penetrationstests beauftragen. Warten Sie nicht darauf, dass ein Angreifer Ihre Schwachstellen findet. Beauftragen Sie regelmäßige, kontrollierte Angriffe auf Ihre eigene Infrastruktur.
9. Mitarbeiter schulen. Über 80 Prozent aller erfolgreichen Angriffe beginnen mit einem menschlichen Fehler. Regelmäßige Schulungen und simulierte Phishing-Tests sind unverzichtbar.
10. Mit Behörden und Netzwerken kooperieren. Ein Angriff auf Ihr Unternehmen betrifft nicht nur Sie. Melden Sie Angriffe an BKA und BSI — und nutzen Sie Netzwerke wie das GC4C für den Informationsaustausch.

Schluss: Kooperation als Überlebensstrategie

Die wichtigste Erkenntnis aus jahrelanger Arbeit in Sicherheitsbehörden lautet: Kein Unternehmen, keine Behörde, kein Staat kann Cyberkriminalität im Alleingang bekämpfen. Die Gegner kooperieren — wir müssen es auch tun.

Deutschland ist heute das zweitmeist angegriffene Land der Welt, nach den USA. Das liegt an unserer wirtschaftlichen Stärke, unserem Know-how, unserer Rolle als westliche Demokratie. Wir können diese Zielscheibe nicht abmontieren — wir können nur unsere Resilienz stärken. Und das geht nur gemeinsam.

Wenn Sie als Unternehmen angegriffen werden und das den Sicherheitsbehörden melden, helfen Sie damit möglicherweise einem anderen Unternehmen in Ihrer Branche, das noch nicht angegriffen wurde. Genau diese kollektive Intelligenz ist es, die wir im GC4C organisieren.

Genau aus dieser Überzeugung heraus haben wir das German Center for CyberSecurity e.V. (GC4C) gegründet. Das GC4C schließt die Lücke zwischen Unternehmen, die sich schützen müssen, Experten, die schützen können, und Behörden, die den institutionellen Rahmen setzen. Unser Leitmotiv: „Sicherheit gibt es nur gemeinsam."

Das GC4C ist offen für alle, die Cybersicherheit ernst nehmen und aktiv gestalten wollen — von Startups bis zum Konzern, von Behörden bis zu Forschungseinrichtungen. Sprechen Sie uns an: Kontakt aufnehmen oder informieren Sie sich über eine Mitgliedschaft im GC4C.