Kontakt aufnehmen

GRASP German GRC
Kostenlos testen

Threat Landscape 2025: Ihr Sicherheitsprogramm – mit GRASP als GRC-Lösung aus Deutschland

Veröffentlicht am: 9. Januar 2026

Max Mustermann

Veröffentlicht am: 09.01.2026

GRC-Lösung aus Deutschland

ENISA hat im Threat Landscape 2025 insgesamt 4.875 bestätigte Vorfälle in Europa ausgewertet und zeigt, wie sich Angreifer professionalisieren, schneller Schwachstellen ausnutzen und gleichzeitig Ransomware, Supply-Chain-Angriffe und OT-Incidents in der Praxis zusammenlaufen. Für Organisationen im deutschen Mittelstand und für Behörden ist das mehr als ein Lagebild. Es ist ein sehr konkreter Hinweis darauf, welche Szenarien Sie heute in Governance, Risiko, Kontrollen, Notfallplanung und Nachweisen beherrschen müssen.

Genau hier setzt GRASP an: als operationaler Layer, der ENISA Erkenntnisse in ein steuerbares, auditfähiges Managementsystem übersetzt. Zeit für ein individuelles Sicherheitsprogramm – mit GRASP als GRC-Lösung aus Deutschland.

Executive Summary: Was Sie aus ENISA 2025 sofort ableiten sollten

  • Ransomware bleibt die wirkungsstärkste Bedrohung, auch wenn die gemeldeten Fälle gegenüber dem vorherigen Report laut ENISA zurückgingen. Entscheidend ist die Impact-Perspektive: Ausfall, Erpressung, Folgeschäden.
  • Phishing und schnelle Schwachstellen-Exploits sind die wichtigsten Initialzugänge. Phishing ist der dominante Eintrittsvektor (ca. 60%), Schwachstellen-Exploitation liegt bei 21,3%.
  • Public Administration ist der am stärksten betroffene Sektor (38,2% Anteil), dominiert von Low-Impact-DDoS, mit Ransomware besonders bei Kommunen.
  • Viele Vorfälle treffen Sektoren, die stark mit NIS2-„kritischen Sektoren“ überlappen und damit Compliance- und Nachweispflichten verschärfen.
  • Der Engpass ist selten „zu wenig Wissen“. Der Engpass ist die Umsetzung in einem durchgängigen System: Risiken, Controls, Maßnahmen, BCM-Pläne, Audits und Reports ohne Medienbrüche.
  • Schauen Sie sich nach Softwarelösungen um, die Ihnen einen vollumfänglichen Ansatz liefern, die Risiken zu minimieren und zu beherrschen. Beispielsweise mit GRASP als GRC-Lösung aus Deutschland.

Warum ENISA für NIS2 und Cyber-Risikobewertung so relevant ist

ENISA ist die Cybersicherheitsagentur der EU und liefert eine zentrale Referenz für europäische Cyber-Risikobewertung, Best Practices und die Ausgestaltung von Cyber-Regulierung. Die Threat Landscape 2025 betrachtet den Zeitraum 1. Juli 2024 bis 30. Juni 2025 und analysiert die Vorfälle in einem threat-zentrierten Ansatz.

Das ist für Sie als Organisation besonders wertvoll, weil es einen direkten Brückenschlag erlaubt: Von realen Vorfällen und Taktiken hin zu priorisierten, prüfbaren Resilienzmaßnahmen.

NIS2-Richtlinie
Wenn NIS2 für Sie relevant ist, dann fordern Sie jetzt das „NIS2 im Mittelstand“-Playbook an.

Welche Sektoren besonders betroffen sind und warum das für Sie zählt

ENISA zeigt im Sektorüberblick, dass Public Administration in der EU mit Abstand am häufigsten betroffen ist (38,2%). Danach folgen unter anderem Transport (7,5%), Digital Infrastructure & Services (4,8%) und Finance (4,5%).

Für den deutschen Mittelstand und Behörden ist das aus zwei Gründen relevant:

  • Operational: Diese Sektoren sind häufig eng verzahnt. Supply-Chain-Abhängigkeiten und digitale Dienstleister machen „Sektorgrenzen“ im Incident schnell irrelevant.
  • Regulatorisch: NIS2 etabliert einen EU-weiten Rahmen für Cybersicherheit in 18 kritischen Sektoren. Viele Organisationen müssen deshalb Governance, Risiko und Nachweise deutlich strukturierter darstellen.

ENISA verweist zudem darauf, dass „essential entities“ einen erheblichen Anteil der erfassten Vorfälle ausmachen (53,7%).

5 Schritte: Vom ENISA-Vorfall zum umsetzbaren Programm in GRASP

Schritt 1: Scope und Risikoanlage

Sie bilden Ihre kritischen Werke, Standorte, Dienste oder Fachverfahren als Scopes ab und verknüpfen Assets, Prozesse und Lieferanten. Danach legen Sie die ENISA-spezifischen Bedrohungen als Risikoszenarien an, zum Beispiel:

  • Ransomware mit Ausfall und Erpressung
  • Supply-Chain-Angriff über kompromittierten Dienstleister
  • OT Incident durch IT-OT-Übersprung oder exponierte OT-Systeme

ENISA betont, dass internet-exponierte Services und OT-Systeme besonders hochwertige Ziele bleiben.

Schritt 2: Anforderungen und Controls verknüpfen

Im zweiten Schritt verknüpfen Sie Anforderungen aus NIS2 und internen Policies mit konkreten Kontrollen, Verantwortlichkeiten und Nachweisen. ENISA zeigt, dass Phishing und Schwachstellen-Exploitation die dominanten Eintrittspunkte sind.

Typische Controls, die sich direkt daraus ableiten:

  • Patch- und Vulnerability-Management mit klaren SLAs
  • Security Awareness und Phishing-Resilienz, inklusive vishing und malvertising
  • Backup-Konzept mit Wiederherstellungs-Tests für Ransomware-Szenarien
  • Drittanbieter Due Diligence und Lieferanten-Reviews
  • OT-IT-Segmentierung und abgesicherte Fernwartung

Schritt 3: Maßnahmensteuerung und Reifegrad-Dashboards

Für jedes Risikoszenario planen Sie Maßnahmen mit Fälligkeiten, Zuständigkeiten und Status. So entsteht ein klarer Überblick, was pro Scope bereits umgesetzt ist und wo Lücken bleiben. Das ist wichtig, weil ENISA explizit zeigt, wie schnell Schwachstellen ausgenutzt werden und wie stark ein einzelner Einstiegspunkt in Folgeschäden münden kann.

Schritt 4: Incident- und BCM-Bezug

ENISA bewertet Ransomware als die „most impactful threat“ und beschreibt, dass Vorfälle oft nicht nur Security betreffen, sondern Betriebsfähigkeit und Kontinuität.

Deshalb verknüpfen Sie Maßnahmen mit Notfall- und Wiederanlaufplänen:

  • Ransomware-Notfallplan und Wiederanlaufplan
  • OT-Ausfall-Szenario mit manuellen Workarounds
  • Kommunikations- und Meldeprozesse

Wichtig ist die Rückkopplung: Lessons Learned aus realen oder simulierten Vorfällen erzeugen automatisch neue Maßnahmen oder ändern bestehende Kontrollen.

Schritt 5: Audit und prüffähige Nachweise

ENISA liefert die Storyline für Ihren Auditfokus: Ransomware-Resilienz, Lieferkettensicherheit, OT-Sicherheit, Schwachstellen-Management und Phishing. Für Aufsicht, Kunden oder Versicherer zählt am Ende: Kann die Organisation nachvollziehbar zeigen, was sie tut, was wirkt und was als nächstes kommt?

Im Audit-Modul planen Sie Audits, führen sie durch, dokumentieren Findings und schließen sie mit Maßnahmen im gleichen System. So entsteht ein prüffähiger Report ohne Excel-Brüche.

Warum eine integrierte Plattform besser skaliert als Datenschutz- oder ISMS-Insellösungen

Viele Organisationen arbeiten weiterhin mit Excel-Listen, lokalen Dokumenten und mehreren Tools. Das Problem ist nicht nur Effizienz. Das Problem ist Inkonsistenz: unterschiedliche Statusstände, doppelte Pflege, keine durchgängige Nachweisführung.

Eine integrierte GRC Lösung aus Deutschland wie GRASP ist deshalb ein strategischer Vorteil, weil Sie:

  • Risiken, Kontrollen, Maßnahmen, BCM-Pläne und Audits in einem Datenmodell verbinden
  • Management-Transparenz über Scopes und Standorte liefern
  • NIS2-Reife und Nachweise strukturiert darstellen können
  • später ohne Toolwechsel auf zusätzliche Managementsysteme skalieren, zum Beispiel ISMS und BCM

Praktische Startpunkte: Was Sie morgen umsetzen können

Wenn Sie aus ENISA 2025 in wenigen Tagen konkreten Nutzen ziehen wollen, starten Sie mit einem kompakten Set an Maßnahmen:

  • Phishing und Social Engineering: Trainings, klare Meldewege, technische Kontrollen und messbare KPI-Verbesserung, weil Phishing der häufigste Eintrittsvektor ist.
  • Vulnerability-Exploitation: Asset-Transparenz und Patch-SLAs priorisieren, weil Exploits ein zentraler Initialzugang sind.
  • Ransomware-Resilienz: Wiederherstellungsfähigkeit testen, weil Ransomware laut ENISA der größte Impact-Treiber bleibt.
  • Lieferkette: Kritische Dienstleister identifizieren, Reviews planen, Findings nachhalten
  • OT-Scope: OT-Assets als eigenen Scope behandeln, Segmentierung und Fernzugriff absichern

Jetzt GRASP 30 Tage kostenlos testen!

Text auf Button: Get Started Free Trial starten

Weitere Beiträge zum Thema

GRASP ist ein Produkt der DextraData GmbH

Siegel Software Made and Hosted in Germany
Siegel Allianz für Cyber-Sicherheit Siegel Lizensierte IT-Grundschutz-Inhalte Siegel ISO 27001 Zertifizierung

Module

ISMS - Software für Informationssicherheit

DSMS - Software für Datenschutzmanagement

Internal Audit - Software für Auditmanagement

QM - Software für Qualitätsmanagement

BCM - Software für Business Continuity Management

Verknüpfung von GRASP mit Business-Apps

Regularien & Zertifizierungen

NIS2 Umsetzungsgesetz erfüllen

Zertifizierung nach ISO/IEC 27001 umsetzen

BSI-Standard 200-4 etablieren

DSGVO-Anforderungen umsetzen

Neues bei GRASP

Unternehmen

Über uns

GRASP FAQs

Trust Center - Unser Versprechen

Sie haben noch Fragen?
Kontaktieren Sie uns gerne!

© DextraData GmbH

Impressum

AGB

Datenschutzerklärung

Cookie-Einstellungen