IT-SICHERHEIT 9 Min. Lesezeit Aktualisiert: November 2025

BSI-Lagebericht 2025: Security Awareness – warum sie unverzichtbar ist

Die aktuelle Lage der IT-Sicherheit ist alarmierend: Täglich kommt es zu Cyberangriffen, die jedes Unternehmen treffen können – vom Weltkonzern bis zum lokalen Handwerksbetrieb. Der BSI-Lagebericht 2025 zeigt: Der Mensch spielt eine entscheidende Rolle.

BSI-Lagebericht 2025

Die Bedrohungslage bleibt ernst

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatiert im Lagebericht 2025 weiterhin eine sehr angespannte IT-Sicherheitslage in Deutschland – es besteht „kein Grund zur Entwarnung". Zwar konnten Erfolge im Kampf gegen Cyberkriminalität erzielt werden, doch die zunehmend angespannte geopolitische Lage trägt dazu bei, dass die Bedrohungslage hoch bleibt.

Zentrale Erkenntnisse des BSI-Lageberichts 2025

  • 119 neue Sicherheitslücken täglich – ein Anstieg um 24% gegenüber dem Vorjahr
  • 80% der Ransomware-Angriffe richten sich gegen kleine und mittlere Unternehmen (KMU)
  • 61% aller .de-Domains nur über das veraltete Protokoll IPv4 erreichbar
  • 47% der getesteten Websites hatten sensible Daten offen zugänglich
  • 84% aller schädlichen E-Mails sind Phishing-Versuche

Kleine Unternehmen im Fadenkreuz

Man könnte denken, ein kleiner Handwerksbetrieb oder ein lokaler Sportverein sei für Hacker uninteressant. Leider zeigt die Realität ein anderes Bild. Laut BSI richteten sich 80% der angezeigten Ransomware-Angriffe im letzten Jahr gegen kleine und mittlere Unternehmen (KMU).

Warum? Cyberkriminelle wissen, dass viele kleinere Firmen weniger gut abgesichert sind – oft fehlen ihnen die Mittel und das Fachwissen, um sich professionell zu schützen. Zudem unterschätzen etliche Betriebe die Gefahr und wiegen sich in falscher Sicherheit.

Dabei kann jeder getroffen werden: Erpressungstrojaner legen die Auftragsverwaltung einer Schreinerei lahm oder ein Phishing-Angriff kompromittiert die Patientendaten einer Arztpraxis. Die Konsequenzen – von Betriebsunterbrechungen bis Vertrauensverlust – sind existenzbedrohend.

Was bedeutet Security Awareness?

Unter Security Awareness versteht man das Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter eines Unternehmens. Konkret geht es darum, dass alle im Team die gängigen Cyber-Bedrohungen kennen und wissen, wie sie sich im Alltag sicher verhalten.

Ein geschulter Mitarbeiter erkennt z.B. eine betrügerische E-Mail, bevor er draufklickt, oder verwendet für jeden Account ein starkes individuelles Passwort. Security Awareness zielt darauf ab, den „Faktor Mensch" zur starken Verteidigungslinie zu machen statt zur Schwachstelle.

Der menschliche Faktor ist entscheidend

Viele erfolgreiche Angriffe gelingen nicht wegen fehlender Technik, sondern weil Mitarbeitende unbewusst mithelfen – etwa indem sie auf Phishing-Mails hereinfallen. Das BSI betont: „Die meisten Datenverluste könnten vermieden werden, wenn die Mitarbeiter besser aufgeklärt wären."

"Selbst die beste Technik ist wirkungslos, wenn Ihre Mitarbeitenden die IT-Sicherheitsrisiken nicht kennen."

Warum ist Security Awareness heute essenziell?

1. Phishing-Angriffe nehmen zu

Im Jahr 2025 sind Cyberangriffe so zahlreich und raffiniert wie nie. Täglich werden laut BSI hunderttausende neue Schadprogramme in Umlauf gebracht. Ein Großteil davon erreicht Unternehmen über die E-Mail-Inbox: Rund 84% aller schädlichen Mails sind Phishing-Versuche – also Nachrichten, die Mitarbeiter täuschen sollen, um Passwörter oder Klicks auf infizierte Links zu erlangen.

Kein Filter und keine Firewall kann 100% aller solchen Nachrichten blockieren. Früher oder später landet eine gut gemachte Phishing-Mail im Posteingang Ihrer Belegschaft. Hier entscheidet der Mensch: Erkennt der Empfänger die Gefahr oder tappt er in die Falle?

2. Regulatorische Anforderungen steigen

Rahmenwerke wie NIS2, branchenspezifische Standards (z.B. TISAX im Automotive-Bereich) oder die ISO 27001 verlangen nachweislich geschulte Mitarbeiter in Sachen Informationssicherheit. Unternehmen müssen also nicht nur aus Eigeninteresse, sondern auch aus Compliance-Gründen Security Awareness betreiben.

3. Schadenssummen sind enorm

Ein unbedachter Klick kann zu einem Ransomware-Befall führen, der den Betrieb tage- oder wochenlang lahmlegt. Laut BSI-Lagebericht 2025 wurden zuletzt die höchsten jemals beobachteten Lösegeldforderungen gestellt. Die Durchschnittsforderung bei Ransomware liegt inzwischen im sechs- bis siebenstelligen Bereich – Beträge, die das Aus für viele KMU bedeuten würden.

Positive Entwicklung

Immer weniger Opfer zahlen Lösegeld: Der Anteil sank von ca. 33,5% auf 27,5% der Fälle. Das zeigt: Awareness und Vorbereitung zahlen sich aus.

Wie kann man Security Awareness effektiv umsetzen?

Security Awareness ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Wichtig ist, das Thema regelmäßig und praxisnah in den Arbeitsalltag zu integrieren. Hier einige bewährte Maßnahmen:

1. Schulungen & Trainings

Starten Sie mit grundlegenden Schulungen für alle Mitarbeitenden, z.B. zu den Themen Phishing, sichere Passwörter, Social Engineering und Malware-Erkennung. Dies kann in Präsenz-Workshops oder bequem via E-Learning geschehen. Moderne Security Awareness Trainings sind modular aufgebaut und passen sich dem Kenntnisstand der Teilnehmer an.

2. Phishing-Simulationen

Nichts schärft den Blick besser als ein realitätsnaher Test. Versenden Sie in Absprache mit der Geschäftsleitung von Zeit zu Zeit simulierte Phishing-Mails an Ihre Belegschaft. So lernen Mitarbeiter in geschützter Umgebung, verdächtige Mails zu erkennen. Die Ergebnisse zeigen zugleich, wo noch Nachholbedarf besteht.

3. Awareness im Alltag verankern

Halten Sie IT-Sicherheit präsent. Das kann über kurze monatliche Newsletter oder Intranet-Beiträge zu aktuellen Bedrohungen geschehen, über Poster in der Büroküche oder kleine Quiz zum Thema Security. Wichtig ist, dass Sicherheit nicht als lästige Pflicht rüberkommt, sondern als gemeinsames Anliegen.

4. Vorbildfunktion & Kultur

Das Management sollte Security Awareness vorleben. Wenn Chefs auf Mails von unbekannten Absendern skeptisch reagieren und Sicherheitsrichtlinien einhalten, signalisiert das allen: IT-Sicherheit wird ernst genommen. Fördern Sie eine Kultur, in der Mitarbeiter bei Unsicherheiten lieber einmal mehr nachfragen dürfen.

Wie unterstützt RTC Computer Sie bei der Security Awareness?

Als erfahrener IT-Dienstleister wissen wir: Mitarbeiterschulungen und Awareness-Programme können aufwendig sein. Nicht jedes Unternehmen hat die Ressourcen, um das intern aufzubauen – und hier kommen wir ins Spiel.

100% Managed Security Awareness Service

Unsere Security Awareness Trainings setzen genau dort an, wo Ihr Unternehmen steht. Gemeinsam mit unserem Partner Anqa IT-Security entwickeln wir ein Schulungspaket, das zu Ihrer Firmengröße und Risikolage passt.

Realistische Phishing-Tests: Täuschend echte Phishing-E-Mails in geplanten Abständen – Ihre Mitarbeiter erleben den Ernstfall risikofrei
Interaktive E-Learnings: Abwechslungsreiche Online-Schulungen mit kurzen Modulen, Quizfragen und Praxisbeispielen
Regelmäßige Updates & Newsletter: Monatlich kompakte Awareness-Newsletter mit aktuellen Tipps und Warnungen
Flexible Pakete: Von Basic bis Premium – monatlich kündbar und skalierbar mit Ihren Bedürfnissen
Compliance-Nachweise: Zertifikate für jeden Teilnehmer (wichtig für DSGVO, ISO-Zertifizierungen)
Mehr zu Security Awareness Trainings →

Das Ergebnis: Vom Risikofaktor zum Sicherheitsfaktor

Ihre Mitarbeitenden werden vom Risikofaktor zum Sicherheitsfaktor. Viele unserer Kunden berichten, dass nach einigen Monaten Trainings die Anzahl verdächtiger Vorfälle deutlich zurückgeht – weil Mitarbeiter Phishing-Mails sofort melden oder unsichere Anhänge gar nicht erst öffnen. Dieser menschliche Firewall-Effekt ist unbezahlbar.

Ganzheitlicher Schutz: Technik + Mensch + Prozesse

Natürlich endet IT-Sicherheit nicht beim Faktor Mensch. Als IT-Systemhaus bieten wir Ihnen auf Wunsch ein ganzheitliches Schutzpaket an:

Endpoint Protection

Managed Antivirus & Endpoint Security für all Ihre Geräte mit zentralem Management und Echtzeit-Überwachung.

Mehr erfahren →

Managed Firewall

24/7 überwachte Netzwerksicherheit mit professionellem SOC in Köln – flexible Mietmodelle verfügbar.

Mehr erfahren →

Cloud Backup

Sichere Datensicherung in der Cloud – schützen Sie sich vor Ransomware und Datenverlust.

Mehr erfahren →

Fazit: Security Awareness ist unverzichtbar

Security Awareness ist in der heutigen Zeit genauso wichtig wie Virenschutz und Firewall. Der BSI-Lagebericht 2025 führt eindrücklich vor Augen, dass Unwissen und Sorglosigkeit ein Hauptgrund für erfolgreiche Cyberangriffe sind. Gleichzeitig zeigt er, dass wir alle noch besser werden müssen, um die wachsende Bedrohungslage in den Griff zu bekommen.

Investieren Sie daher in das Wissen und Bewusstsein Ihrer Mitarbeitenden – es ist eine der besten Versicherungen gegen Cybervorfälle. Wir von RTC Computer unterstützen Sie dabei mit Leidenschaft und Expertise.

Schützen Sie Ihr Unternehmen jetzt

Der BSI-Lagebericht macht deutlich: Nur mit einer Kombination aus geschulten Mitarbeitern und professioneller Netzwerksicherheit sind Sie optimal geschützt.

Security Awareness Training → Managed Firewall →
Kostenlose Beratung anfragen Kostenloser IT-Sicherheitscheck →

Quellen

  • BSI – Lage der IT-Sicherheit in Deutschland 2025
  • DIE ZEIT – IT-Sicherheitslage bleibt angespannt (November 2025)

Weitere Artikel

Managed Firewall: 5 überzeugende Gründe für Unternehmen

Warum eine professionell verwaltete Firewall für KMU unverzichtbar ist.

 Managed Services: Der Schlüssel zum Erfolg für KMU

Wie externe IT-Expertise Ihrem Unternehmen zum Wettbewerbsvorteil verhilft.