202 Milliarden: BKA warnt vor wachsender Cybergefahr

Am 6. Februar 2026 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik und das Bundesamt für Verfassungsschutz eine gemeinsame Warnung: Eine laufende Phishing-Kampagne ziele auf Signal-Konten von Politikern, Militärpersonal und Journalisten, mutmaßlich gesteuert von einem staatlichen Akteur. Zwölf Wochen später stellte sich heraus, dass die Konten von Bundestagspräsidentin Julia Klöckner, Bildungs- und Familienministerin Karin Prien und Bauministerin Verena Hubertz kompromittiert worden waren. Am 12. Mai 2026 legte Bundesinnenminister Alexander Dobrindt das Bundeslagebild Cybercrime 2025 vor. Die Kernerkenntnis: 202,4 Milliarden Euro Schaden für die deutsche Wirtschaft im vergangenen Jahr. Der Signal-Angriff auf die Ministerinnen ist einer von vielen Bausteinen.

335.000 Fälle, 202 Milliarden Euro Schaden

Das Bundeskriminalamt registrierte 2025 rund 335.000 Fälle von Cyberkriminalität im engeren Sinne. Etwa zwei Drittel dieser Taten wurden aus dem Ausland oder von unbekannten Tatorten aus begangen. Den Schaden für die deutsche Wirtschaft beziffert das BKA auf 202,4 Milliarden Euro, entsprechend 4,5 Prozent des Bruttoinlandsprodukts. Eine Erhebung des Digitalverbands Bitkom vom September 2025 hatte den Gesamtschaden durch Diebstahl, Spionage und Sabotage auf 289,2 Milliarden Euro geschätzt, davon 70 Prozent durch Cyberangriffe. Das ergibt dieselbe Summe, von zwei Seiten gemessen.

Deutschland ist als drittgrößte Volkswirtschaft der Welt ein bevorzugtes Angriffsziel. Die Betroffenheit ist breit: Laut Bitkom berichteten 87 Prozent der deutschen Unternehmen von Diebstahl, Spionage oder Sabotage. Der Anteil der Unternehmen, die Opfer eines Ransomware-Angriffs wurden, stieg von 12 Prozent im Jahr 2022 auf 34 Prozent 2024, nahezu eine Verdreifachung in zwei Jahren. Phishing betrifft auch Privatpersonen direkt: Die Verbraucherzentrale Nordrhein-Westfalen erfasste 2025 allein 382.470 Phishing-Mails in Deutschland.

Ransomware nimmt zu, DDoS noch stärker

Das BKA zählte 2025 insgesamt 1.041 angezeigte Ransomware-Angriffe, ein Anstieg von zehn Prozent gegenüber dem Vorjahr. Die gemeldeten Lösegeldzahlungen summierten sich auf rund 15,5 Millionen US-Dollar. Zugleich zeigt das Bundeslagebild eine gegenläufige Tendenz: Immer weniger Unternehmen zahlen überhaupt Lösegeld, was das BKA als Zeichen gestiegener Resilienz wertet. Stärker gestiegen ist die Zahl der DDoS-Angriffe, also Überlastungsangriffe, die Server und Online-Dienste gezielt zum Erliegen bringen: 36.706 Fälle im Jahr 2025 bedeuten ein Plus von 25 Prozent gegenüber dem Vorjahr.

Einen erheblichen Teil dieser DDoS-Kampagnen führt das BKA auf die hacktivistische Gruppe NoName057(16) zurück. Das Bundeslagebild hält explizit fest, dass die Gruppe deutsche Einrichtungen angegriffen hat und zwar im direkten Zusammenhang mit der deutschen Unterstützung für die Ukraine. Hacktivismus ist damit kein randständiges Phänomen mehr, sondern ein kalkuliertes Mittel geopolitischer Einschüchterung.

Künstliche Intelligenz verstärkt die Bedrohungslage auf breiter Front. Sie senkt die Einstiegshürden für Angreifer: Phishing-Mails lassen sich damit ohne Sprachfehler und in großer Zahl produzieren, Schwachstellen lassen sich schneller aufspüren und ausnutzen. Das BKA beschreibt KI als Faktor, der Angriffe skalierbarer macht. Die 382.470 erfassten Phishing-Mails sind kein Ergebnis handwerklicher Einzelarbeit.

Die Lücke zwischen Warnung und Reaktion

Der Signal-Fall zeigt, wie ein strukturelles Problem in der Praxis aussieht. BSI und Verfassungsschutz hatten am 6. Februar 2026 nicht nur allgemein gewarnt, sondern konkrete Handlungsempfehlungen gegeben: Nutzerinnen und Nutzer sollten in den Signal-Einstellungen unter dem Menüpunkt Verknüpfte Geräte regelmäßig prüfen, ob unbekannte Geräte angemeldet sind und diese sofort entfernen. Signal selbst wurde bei dem Angriff nicht gehackt. Die Angreifer nutzten eine legitime Funktion des Messengers: Wer eine täuschend echte Support-Nachricht für echt hält und einen QR-Code einscannt, autorisiert damit ein fremdes Gerät für sein Konto. Alle eingehenden Nachrichten lassen sich dann unbemerkt mitlesen.

Klöckner, Prien und Hubertz wurden trotz der Warnung Opfer genau dieser Methode. Betroffen waren insgesamt mindestens 300 Signal-Konten aus Politik, Behörden, Militär und Journalismus. Die Bundesanwaltschaft ermittelt seit Frühjahr wegen Spionageverdachts, Russland gilt als mutmaßlicher Urheber. Die parlamentarische Reaktion kam mit Verzögerung: Erst nach der öffentlichen Bestätigung des Angriffs empfahl Bundestagspräsidentin Klöckner allen Abgeordneten, auf den europäischen Messenger Wire umzusteigen. Die Logik, eine Sicherheitsempfehlung erst nach dem Schaden umzusetzen, steht im Widerspruch zu dem, was das BKA als zentrale Herausforderung beschreibt: KI ermöglicht es Angreifern, schneller zu operieren als Behörden bislang nachziehen können.

BKA-Prognose 2026: Angriffswelle nimmt zu

Das Bundeskriminalamt erwartet für 2026 eine weitere qualitative und quantitative Eskalation. Ransomware, DDoS-Kampagnen, Datenerpressung und Hacktivismus werden zunehmen, KI wird Angriffe noch schwerer erkennbar und skalierbarer machen. BKA-Vizepräsidentin Martina Link betonte bei der Vorstellung des Lagebilds, die Sicherheitsbehörden arbeiteten an der Stärkung ihrer Cyberabwehrfähigkeiten. Konkrete Mittelzusagen oder neue gesetzliche Befugnisse für die Behörden nannte Dobrindt bei der Präsentation nicht.

Was das Bundeslagebild damit auch impliziert: Eine Bundesbehörde hatte zwölf Wochen vor dem Ministerinnen-Angriff explizit gewarnt, mit konkreten Handlungshinweisen. Der Angriff fand trotzdem statt. Die 202,4 Milliarden Euro Schaden sind kein Naturereignis. Sie sind auch der Preis einer Sicherheitsarchitektur, die strukturell hinter der Angriffsgeschwindigkeit zurückbleibt.