GRASP German GRC
Kostenlos testen Kontakt

BSI-Lagebericht 2025: Was er für NIS2 in KMU bedeutet

Veröffentlicht am: 20. November 2025

Max Mustermann

Veröffentlicht am: 20.11.2025

BSI-Lagebericht 2025

So wirklich viele gute Neuigkeiten hatte BSI-Präsidentin Claudia Plattner im BSI-Lagebericht 2025 nicht. Die Lage der IT Sicherheit in Deutschland bleibt angespannt. Der aktuelle Bericht beschreibt eine Situation ohne Entwarnung. Erfolge bei der Bekämpfung einzelner Gruppen stehen einem anhaltend großen Problem gegenüber. Zu viele Angriffsflächen sind unzureichend geschützt. Das führt dazu, dass die Zahl der tatsächlichen Angriffe und Störungen nicht sinkt. Die Beobachtung ist deutlich. Solange bekannte Schwächen offen bleiben, wird das Risiko nicht kleiner. Erfreulich ist aus Sicht des BSI die nun kurz bevorstehende Umsetzung der NIS2-Richtlinie in nationales Gesetz. Zum BSI Lagebericht 2025

Angriffsfläche wächst laut BSI-Lagebericht 2025

Die Angriffsfläche im Web nimmt weiter zu. Der Bericht weist im zweiten Quartal 2025 rund 13,2 Millionen erreichbare Domains unter der Landeskennung aus. Damit steigt die Angriffsfläche und eröffnet vielen Akteuren einfache Ziele. Wer diese Flächen nicht konsequent managt, erhöht die Wahrscheinlichkeit eines erfolgreichen Angriffs.

Dynamik bei Schwachstellen

Die Zahl der Schwachstellen bleibt hoch. Im Berichtszeitraum wurden im Mittel täglich 119 neue Schwachstellen bekannt. Unternehmen müssen daher Priorisierung, Patch Steuerung und Nachweisführung als laufenden Prozess etablieren. Nur so lassen sich die wichtigsten Risiken zuerst abräumen.

Verlagerung der Angriffe ins Web

Laut BSI-Lagebericht 2025 verschiebt sich die Bedrohung. Der Bericht zeigt eine Zunahme von Exploitation Angriffen im Web. Gleichzeitig steigt die Zahl blockierter Zugriffe auf schädliche Seiten. Schutzkonzepte sollten den Web Kanal noch stärker in den Mittelpunkt stellen. Dazu gehören Härtung exponierter Systeme, Einbindung von Schwachstellen Meldungen und konsequente Kontrolle von Patch Fristen.

Folgen von Datenlecks

Die Zahl der mutmaßlich Geschädigten durch Datenlecks erreicht ein neues Allzeithoch. Häufig betroffen sind Geburtsdaten, Adressen und E Mail Adressen. Auch wenn die Bereitschaft zur Lösegeldzahlung insgesamt sinkt, zeigen Auswertungen im Zusammenhang mit Datenlecks nach Ausnutzung von Schwachstellen sehr hohe Durchschnittswerte. Für Unternehmen bedeutet das wachsende rechtliche und finanzielle Risiken, die nur mit belastbaren Nachweisen und geübten Abläufen beherrschbar sind.

KMU besonders betroffen

Rund achtzig Prozent der angezeigten Angriffe richten sich gegen kleine und mittlere Unternehmen. Diese Firmen verfügen oft nicht über ausreichend Ressourcen und Wissen, um sich eigenständig zu schützen. Der Bericht leitet daraus einen klaren Auftrag ab. Angriffsflächen schützen und Resilienz steigern.

Was bedeutet der BSI-Lagebericht 2025 für NIS2?

NIS2 verlangt unter anderem ein durchgängiges Management von Risiken, geübte Behandlung von Vorfällen, Business Continuity, sichere Entwicklung und einen belastbaren Audit Trail. Der Lagebericht macht greifbar, warum diese Pflicht keine reine Formalie ist. Wer Angriffsflächen nicht reduziert und Schwachstellen nicht priorisiert, wird vom Tempo neuer Lücken überholt. Wer Nachweise nicht zentral führt, kann Wirksamkeit nicht zeigen. Prüfungen werden schwerer und Sanktionen wahrscheinlicher.

Einstieg in die Praxis

Ein praxistauglicher Einstieg beginnt mit einem Inventar der exponierten Systeme und einer Bewertung des Risikos. Darauf folgt eine klare Reihenfolge der Maßnahmen. Dazu gehören Mehrfaktorauthentisierung, Härtung privilegierter Zugänge, zeitnahe Aktualisierung und saubere Sicherungen. Diese Schritte sollten von Anfang an mit Verantwortlichen und Fristen verknüpft werden. Ebenso wichtig ist die Nachweisführung. Freigaben, Kommentare und Evidenzen gehören an einen Ort. Nur so lassen sich Fortschritte, Abnahmen und Wirksamkeit belegen.

Warum GRASP hilft

GRASP German GRC ist eine Plattform für Governance Risk Compliance und NIS2, die die organisatorische Umsetzung in mittelständischen Unternehmen unterstützt. Die Lösung ermöglicht die Steuerung von Rollen und Rechten über Standorte und Teams, stellt den Live Status von Risiken und Maßnahmen in Dashboards, Filtern, Listen und Kanban Boards dar, dokumentiert Nachweise in einem revisionssicheren Audit Trail mit Freigaben und Kommentaren und bietet Reporting Funktionen. GRASP wird in Deutschland gehostet, sodass Daten und Nachweise in einem klaren rechtlichen Rahmen verarbeitet werden. Auch wenn Sie sich entscheiden müssen, ob Sie Excel nutzen oder auf eine Software setzen – schauen Sie einmal hier.

  • Zweck: Plattform für Governance Risk Compliance und NIS2 in mittelständischen Unternehmen
  • Organisation: Rollen und Rechte für Standorte, Teams und Verantwortliche
  • Transparenz: Live Status über Dashboards, Filter, Listen und Kanban
  • Nachweise: Revisionssicherer Audit Trail mit Freigaben, Kommentaren und Evidenzen
  • Reporting: Standardberichte und individuelle Auswertungen
  • Hosting: Betrieb in Deutschland für einen klaren rechtlichen Rahmen

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Bundesverband IT-Mittelstand Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Produkte

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Sofware für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Neues bei GRASP

Unternehmen

Über uns

Fragen zu GRASP

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

Zum Kontaktformular

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen