Kommunen sind mitgemeint - BSI Lagebericht 2025

Bevor wir zur Zusammenfassung des BSI Lageberichts kommen, sei angemerkt, dass die neue Systematik in der Bundespressekonferenz vorgestellt wurde. Der Lagebericht ist nun in die folgenden fünf Dimensionen unterteilt: Bedrohungen, Angriffsfläche, Gefährdungslage, Schadwirkungen und Resilienz. Grundsätzlich ist das zielführend. Die neue Präsentation des Zahlenwerks im Web ist jedoch ein absoluter Totalausfall.

Aus Gründen schaue ich zuerst auf die Kommunen. Während sie im Lagebericht 2023 noch unter dem Kapitel 9.2 „Landes- und Kommunalverwaltungen” aufgeführt waren, wurden sie im Jahr 2024 diffuser untergemischt. Dennoch tauchten die Kommunen 2024 unter den Stichworten „kommunal” oder „Kommune” 27-mal auf.

Und wie sieht es im Lagebericht 2025 aus? Keine Ahnung. Wenn ich am Wochenende Zeit habe, werde ich auf die Suche gehen. Der Lagebericht 2025, das Arbeitspapier für alle, die damit arbeiten und Betroffenheit oder Awareness schaffen, ist jetzt eine „interaktive” Website. Die fünf Dimensionen wurden zu Seiten mit durchschnittlich zehn Unterseiten ausgebaut (Bedrohungen neun, Angriffsfläche elf, Gefährdungslage elf, Schadwirkungen sieben und Resilienz elf Seiten).

Seit dem 29. September 2025 ist es gelungen, neue Anforderungen im maschinenlesbaren Format in der Stand-der-Technik-Bibliothek bereitzustellen. Zunächst wurden die neuen abstrakten Anforderungen des Grundschutz++ eingepflegt und dann ... das hier.

Zurück zum Inhalt: Kommunen sind noch allgemeiner erwähnt als im Jahr 2024.

Aus dem Vorwort

"Insbesondere russische Akteure greifen die IT-Strukturen deutscher Unternehmen, Kommunen und Privatleute an. Auch Kriminelle mit rein monetären Interessen haben es auf unsere Daten abgesehen. Gleichzeitig wollen und müssen wir die Digitalisierung in unserem Land voranbringen und dabei für sichere Informationstechnik sorgen."

"Was uns besonders besorgt, sind Angriffsziele, die wir als vulnerable Gruppen bezeichnen und auf die sich Angreifer im Cyberraum immer häufiger stürzen. Man könnte auch sagen, es gibt einen Trend zu „leichter Beute“. Gemeint sind kleine Unternehmen, Kommunen, Vereine, Verbände, Institutionen des vorpolitischen Raumes sowie Verbraucherinnen und Verbraucher: Sie alle haben gemeinsam, dass es ihnen häufig nicht nur an Wissen, Ressourcen und Fähigkeiten zur IT-Sicherheit mangelt, sondern zu oft auch an der grundsätzlichen Einsicht, dass sie sehr wohl lohnende Ziele für Cyberangriffe sind."

"Für das kommende Jahr ist es nicht nur unsere gesamtstaatliche Aufgabe, Menschen, Institutionen und Organisationen in Deutschland stärker als bisher für Bedrohungen im digitalen Raum zu sensibilisieren. Wir müssen darüber hinaus auch stärker ins Handeln kommen, indem wir aktiv Schutzmaßnahmen umsetzen – und zwar für alle. Dazu gehören neben einer robusteren Cybersicherheitsarchitektur, die auch Länder und Kommunen einbezieht, leicht umsetzbare Hilfestellungen sowie eine vernünftige und unbürokratische Regulierungsdurchsetzung. 

Zusammenfassung

• Kommunen werden angegriffen
• Kommunen sind vulnerabel und leichte Beute
  • es mangelt ihnen häufig nicht nur an Wissen, Ressourcen und Fähigkeiten zur IT-Sicherheit
  • es mangelt ihnen zu oft auch an der grundsätzlichen Einsicht, dass sie sehr wohl lohnende Ziele für Cyberangriffe sind.
• Kommunen bekommen weiter PDFs und Beratung

Was machen wir daraus?

Nehmen wir den vorletzten Punkt und dazu die Frage, die gestellt wurde:

Birthe Sönnichsen, ARD
Kommunen haben auch nochmal mehr Unterstützung gefordert, vom Bund auch Geld auch Unterstützung vom BSI. Das ist ja rechtlich bedingt möglich oder in Grenzen. Braucht es da aus Ihrer Sicht eine Änderung des Grundgesetzes, wie es ja auch schonmal angedacht war und warum oder warum nicht?

Minister Dobrindt: Wir haben gestern mit der NIS2-Richtlinie die notwendigen Rahmenbedingungen, die wir brauchen um die Cybersicherheit im Bereich des Bundes, auch der nachgelagerten Behörden des Bundes, alles was die Bundesverwaltung anbelangt mit zu organisieren und dafür zu sorgen, dass wir gleichgerichtet für eine Stärkung und eine höhere Resilienz sorgen werden. Wir haben ferner den Ländern auch die Bitte und den Auftrag mitgegeben innerhalb ihrer Kompetenz dafür zu sorgen, dass sie vergleichbare Maßstäbe auch anwenden um die Cybersicherheit zu garantieren und in der Aufgabe ist dann auch die Frage der Kommunen zu sehen. Wir streben keine grundgesetzliche Änderung an der Stelle an und sind der Überzeugung, dass aktuell auch gerade was die Mittelvergaben anbelangt durch die 100 Milliarden die notwendige Möglichkeit gegeben ist auch die Cybersicherheit innerhalb der Kommunen zu organisieren. Ich hab das ja zu Beginn auch gesagt, dass die Cybersicherheit ein zentraler Baustein der Sicherheitsarchitektur der Bundesrepublik Deutschland ist und das geht über alle politischen Ebenen, deswegen sind auch die Kommunen - müssen die Kommunen - damit mit betroffen sein, aber die Verantwortung dafür, für die Cybersicherheit zu sorgen, die kann man ihnen jetzt auch nicht von Bundesseite abnehmen.

Tja, dann geht das Ringen um die Mittel wohl weiter. Die Mittel aus dem Sondervermögen sollen für Investitionen in die Modernisierung der Infrastruktur, in den Bildungsbereich, in Krankenhäuser und in die Digitalisierung verwendet werden. Die Verteilung an die Länder erfolgt nach dem Königsteiner Schlüssel, der sich am Steueraufkommen und der Bevölkerungszahl orientiert. Der Anteil eines Landes wird dabei zu zwei Dritteln aus dem Steueraufkommen und zu einem Drittel aus der Bevölkerungszahl ermittelt. Strukturschwache Länder stopfen damit ihre Haushaltslöcher und kümmern sich um ihren Investitionsstau. Ich verweise auf den Kommunalen Finanzreport 2025 der Bertelsmann Stiftung. Tenor: „Kommunale Finanzen – Größtes Defizit in der Geschichte der Bundesrepublik”.

Mehr zur vertanen Chance, Kommunen in NIS-2 aufzunehmen, und zum vielbemühten Mythos, dass es Kommunen zu oft auch an der grundsätzlichen Einsicht mangele, dass sie sehr wohl lohnende Ziele für Cyberangriffe sind, gibt es im kommenden Beitrag nach der NIS-2-Entscheidung im Bundestag am Donnerstag.

Zusammenfassung BSI Lagebericht 2025

Die IT-Sicherheitslage in Deutschland bleibt weiterhin angespannt. Die fortschreitende Digitalisierung vergrößert die Angriffsflächen, die vielfach unzureichend geschützt sind. Vor dem Hintergrund geopolitischer Spannungen nehmen zudem die Aktivitäten staatlich gesteuerter Angreifer (APT) weiter zu.

Viele Organisationen – insbesondere kleine und mittlere Unternehmen sowie Akteure des politischen und vorpolitischen Raums – verfügen noch immer über zu schwache Schutzmechanismen. Angreifer wählen gezielt jene Ziele aus, bei denen der Aufwand im Verhältnis zum möglichen Ertrag am geringsten ist. Grundsätzlich ist jede über das Internet erreichbare Einrichtung oder Person potenziell bedroht. Die Folge sind eine zunehmende Ausnutzung von Schwachstellen und mehr Datenabflüsse. Ein wirksames Management der Angriffsflächen ist daher zentral, um die IT-Sicherheit zu verbessern.

Bedrohungslage: Stabil auf hohem Niveau

Durch internationale Strafverfolgungsmaßnahmen hat sich die Bedrohungslage im Bereich Cybercrime leicht stabilisiert. Gleichzeitig stiegen im Kontext geopolitischer Konflikte APT-Aktivitäten an. Neue IoT-Botnetze zeigten, dass bereits im Produktionsprozess infizierte Geräte ohne Bereinigungsmöglichkeit in Umlauf gelangten – rund 40.000 Geräte waren betroffen.

Angriffsflächen: Wachsende Verwundbarkeit

Mit der Digitalisierung wächst die Zahl der Angriffsflächen. So nutzen etwa 61 % der .de-Domains noch das veraltete IPv4-Protokoll und fast die Hälfte der IP-Adressen offenbart sensible Informationen. Digitale Kommunikationswege – von E-Mail bis Social Media – sind nur schwer zu sichern. Im Berichtszeitraum wurden täglich im Durchschnitt 119 neue Schwachstellen gemeldet, was einem Anstieg von 24 % entspricht. Perimetersysteme bilden weiterhin ein zentrales Einfallstor.

Gefährdungslage: Es kam zu mehr Ausnutzung von Schwachstellen und Datenleaks.

Die Gefährdungslage blieb angespannt. Ransomware-Angriffe verharrten mit 950 gemeldeten Fällen auf hohem Niveau, wobei vor allem KMU betroffen waren. Häufig gingen die Angriffe mit Datenleaks einher. Da Backups zwar Daten wiederherstellen, aber keine Leaks verhindern können, sind Präventionsmaßnahmen entscheidend. Während klassische E-Mail-Angriffe zurückgingen, nahmen Exploits über Web-Angriffsflächen zu – teils aufgrund der Verlagerung auf Social-Media- und Messenger-Kanäle.

Schadwirkungen: Datenlecks dominieren, Lösegelder sinken.

Die größten Schäden wurden durch Ransomware und Datenleaks verursacht. Zwar werden weiterhin Erpressungen durchgeführt, doch der Diebstahl und Verkauf von Zugangsdaten gewinnt zunehmend an Bedeutung. Immer mehr Unternehmen und Privatpersonen sind durch veröffentlichte Kundendaten betroffen. Die Gesamtsumme gezahlter Lösegelder sinkt, da Cyberkriminelle zunehmend kleinere und schlechter geschützte Unternehmen ins Visier nehmen.

Resilienz: Uneinheitlich ausgeprägt

Verbraucher:innen nutzen Sicherheitsmaßnahmen wie starke Passwörter oder Passwortmanager seltener. Passkeys könnten hier Abhilfe schaffen.

Kritische Infrastrukturen: Die Resilienz wächst langsam, insbesondere beim ISMS. Beim Business-Continuity-Management und bei der Angriffserkennung besteht jedoch Nachholbedarf.

KMU: Viele unterschätzen die Bedrohungslage und sehen sich fälschlicherweise als uninteressante Ziele. Ein effektives Angriffsflächenmanagement ist entscheidend, um sich für Angreifer unattraktiv zu machen. Der „CyberRisikoCheck“ nach DIN SPEC 27076 bietet hierfür einen geeigneten Einstieg.

Politische und vorpolitische Institutionen: Parteien, Verbände und Stiftungen erkennen oft nicht, wie attraktiv sie als Ziel strategischer Cyberangriffe sind. Da sie Zugang zu sensiblen Informationen und politischen Entscheidungsprozessen bieten, sind sie zentrale Ziele fremdstaatlicher Destabilisierungsstrategien. Eine gesetzliche Regelung ihrer Cyberresilienz ist überfällig, um die wehrhafte Demokratie zu sichern.