[datensicherheit.de, 14.12.2025] Eine Flut von Passwörtern begleitet in der Regel den Alltag von Verbrauchern, sind diese doch für die Nutzung zahlreicher Online-Dienste, wie z.B. Online-Shopping, „Social Media“ oder E-Mail-Dienste, zwingend erforderlich. Passwort-Manager stellen nun eine Möglichkeit zu deren Verwaltung dar und können somit einen signifikanten Beitrag zur Absicherung von Online-Konten leisten. Indes aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit. So hat zur Prüfung der Umsetzung dieser Anforderungen das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik in den Blick genommen und die IT-Sicherheitseigenschaften von zehn ausgewählten Passwort-Managern untersucht. Der Abschlussbericht „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager“ der Untersuchung enthält weitere Informationen zu sicherheitsrelevanten Eigenschaften der Produkte.

Abbildung: BDI & VZ NRW

Produktübersicht aus dem Abschlussbericht zur Untersuchung des BSI und der VZ NRW zur Sicherheit und Datenschutzkonformität ausgewählter Passwort-Manager

Defizite einiger Passwort-Manager kein Grund für grundsätzlichen Verzicht

Wie bei jeder anderen Software gebe es auch bei einzelnen Passwort-Managern Verbesserungsbedarf. „Drei von zehn der untersuchten Passwort-Manager speicherten Passwörter in einer Weise, die Herstellern theoretisch den Zugriff ermöglicht.“ Dies erweitere prinzipiell die Angriffsfläche auf Seiten des Herstellers, welche durch ergänzende kompensatorische Maßnahmen mitigiert werden müsse.

• Nutzer müssten diesen zusätzlich ergriffenen Maßnahmen vertrauen. Bei „cloud“-basierter Speicherung der Daten im Passwort-Manager sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren: „Diese finden sich zum Beispiel auf der Website des Herstellers, in den AGBs zur Nutzung des Produktes oder in den Datenschutzhinweisen.“

Doch die Defizite der Passwort-Manager seien kein Grund, auf diese zu verzichten. Aus Sicht des BSI überwiegt der Nutzen bei weitem. Passwörter wiederzuverwenden oder schwache Passwörter zu nutzen, könne zu erhöhten Phishing-Anfälligkeiten führen, so dass die Risiken, keine Passwort-Manager zu nutzen, deutlich größer seien als die Implementierungsmängel einzelner Produkte.

Passwort-Manager als essenzielles Sicherheitstool für Verbraucher

Trotz einiger Implementierungsmängel bei einzelnen Produkten bleibe die BSI-Empfehlung klar: „Passwort-Manager sind ein essenzielles Sicherheitstool und können für viele Verbraucherinnen und Verbraucher ein wichtiger Begleiter im digitalen Alltag sein!“

• Die vorliegende Untersuchung ermögliche es, sich vor der Auswahl eines Passwort-Managers gründlich über die Funktionalitäten und Sicherheitsmerkmale einer präferierten Anwendung zu informieren. Hierzu enthält der BSI-Abschlussbericht eine tabellarische Darstellung für Verbraucher.

Es ist demnach zu beachten, dass regelmäßige Programm-Aktualisierungen seitens der Hersteller ein zusätzlicher wichtiger Schutz sind: Verbraucher sollten daher Updates zeitnah übernehmen. Weitere Tipps und Erläuterungen rund um das Thema Passwort-Manager stehen auf der Website des BSI zur Verfügung.

Mehrere Anbieter von Passwort-Managern haben bereits Verbesserungen eingeleitet bzw. zugesagt

Transparenz schaffe Vertrauen und Sicherheit. Im kooperativen Herstellerdialog des BSI hätten mehrere Unternehmen bereits Verbesserungen eingeleitet oder zugesagt. Es sei erfreulich, dass sich nach dieser Untersuchung nahezu alle beteiligten Hersteller offen und fachlich fundiert über die Erkenntnisse der Untersuchung mit dem BSI ausgetauscht hätten. „Dies trug dazu bei, identifizierte Defizite zu beheben und damit die IT-Sicherheit im Bereich der Passwort-Manager voranzubringen.“

• Zur Unterstützung unabhängiger Prüfungen sollten Hersteller die von ihnen eingesetzten Konzepte möglichst vollständig öffentlich dokumentieren. „Dies beinhaltet insbesondere die Sicherheitskonzepte, die wesentlichen Züge der Systemarchitektur, Details der eingesetzten Kryptographie sowie den Software-Entwicklungsprozess und die darin eingesetzten Schutzmechanismen.“ Diese Art von Transparenz ermögliche detailliertere Überprüfungen und erhöhe somit das Vertrauen der Verbraucher.

Auf Basis der aktuellen Untersuchungserkenntnisse empfiehlt das BSI den Herstellern, stets etablierte kryptographische Konzepte und Algorithmen einzusetzen. Die „BSI TR-02102-1“ soll hierzu eine passgenaue Übersicht über empfohlene kryptographische Mechanismen, Schlüssellängen und Betriebsmodi bieten.

Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ online

Das BSI unterstreicht die Schlussfolgerungen für die Branche: „Sicherheitskonzepte und Audit-Berichte öffentlich dokumentieren, den Herstellerzugriff technisch ausschließen, etablierte Kryptographie nutzen und alle Daten, einschließlich Metadaten, vollständig verschlüsseln!“

• Die Nutzung eines Passwort-Managers habe für Verbraucher auch datenschutzrechtliche Relevanz. Im Rahmen einer Kooperation hat die Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) jene vom BSI ausgewählten Passwort-Manager einer datenschutzrechtlichen Prüfung unterzogen.

Hierfür habe die VZ NRW sowohl die Datenschutzhinweise, als auch die für den Registrierungsprozess erhobenen Daten begutachtet. Die Ergebnisse dieser Untersuchungen durch das BSI und der VZ NRW wurden in der Veröffentlichung „Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus“ zusammengefasst.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Passwortverwaltung: Wie merke ich mir viele verschiedene Passwörter?

Bundesamt für Sicherheit in der Informationstechnik
Passwörter verwalten mit einem Passwort-Manager

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwortmanager

FZI
FZI Forschungszentrum Informatik: Ihr Forschungspartner für eine digitale Zukunft / Mit Neugier, Know-how und Leidenschaft bringen wir Forschung in die Praxis und erwecken Zukunftsvisionen zum Leben

Bundesamt für Sicherheit in der Informationstechnik, 04.03.2025
BSI TR-02102-1 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ / Version: 2025-01

Bundesamt für Sicherheit in der Informationstechnik & Verbraucherzentrale Nordrhein-Westfalen
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus / Ergebnisse einer Untersuchung des BSI und der VZ NRW

Verbraucherzentrale Nordrhein-Westfalen
Verbraucherzentrale NRW: Wir über uns / Von Jahresberichten und Leitbild bis zur Satzung oder aktuellen Stellenangeboten: Informationen der Verbraucherzentrale NRW „in eigener Sache“

datensicherheit.de, 11.12.2025
Passwort-Manager – nicht alle Produkte sicher und datensparsam / Die Verbraucherzentrale NRW und das BSI untersuchten im Rahmen einer Kooperation, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

[datensicherheit.de, 14.12.2025] Da viele Verbraucher im Alltag identische oder zu einfache Passwörter verwenden, riskieren sie damit den Missbrauch ihrer Daten bzw. Opfer eines Betrugs zu werden. Passwort-Manager könnten nun dabei helfen, diese Gefahr durch die Verwaltung starker und individueller Passwörter zu verringern. Doch nicht alle Produkte schützten gleich gut und datensparsam – dies hat demnach eine gemeinsame Untersuchung der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) gezeigt. Zehn weit verbreitete Passwort-Manager seien daraufhin überprüft worden, wie sicher sie Passwörter speichern und wie sie mit den sensiblen Nutzerdaten umgehen.

Abbildung: BDI & VZ NRW

Abschlussbericht der Untersuchung des BSI und der VZ NRW zur Sicherheit und Datenschutzkonformität ausgewählter Passwort-Manager

IT-Sicherheit und Datenschutz der Passwort-Manager auf dem Prüfstand

Im Rahmen einer Kooperation zwischen der VZ NRW und dem BSI sei im ersten Halbjahr 2025 untersucht worden, wie sicher und datenschutzkonform ausgewählte Passwort-Manager sind. Auf Grundlage einer systematischen Marktanalyse habe das BSI zehn ausgewählte Passwort-Manager einer Gefährdungsanalyse unterzogen und die Ergebnisse den Herstellern mit Gelegenheit zur Stellungnahme vorab zur Verfügung gestellt. Ziel dieser Untersuchung sei es gewesen, die IT-Sicherheit der Passwort-Manager zu bewerten.

• Die VZ NRW habe dann die vom BSI ausgewählten Passwort-Manager hinsichtlich der Frage untersucht, wie diese mit dem Thema Datenschutz umgehen. Dazu seien zum einen die Datenschutzhinweise und zum anderen der Registrierungsprozess begutachtet worden.

Ergänzend habe die VZ NRW eine Verbraucherumfrage zum Thema Passwortverwaltung durchgeführt, um konkrete Treiber und Barrieren für die Nutzung von Passwort-Managern zu erheben. An dieser Umfrage haben laut VZ NRW 1.203 Internet-Nutzer teilgenommen.

Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam

„Die Auswertung der Datenschutzhinweise zeigt, dass ungefähr die Hälfte der geprüften Passwort-Manager erfreulicherweise datensparsam sind und entweder keinerlei personenbezogene Daten erfassen oder vornehmlich nur für die Bereitstellung des Dienstes erforderliche Daten erheben und verarbeiten“, berichtet Dr. Ayten Öksüz, Expertin für Datenschutz bei der VZ NRW.

• Einige Anbieter erfassten zusätzlich Nutzungsdaten wie beispielsweise die Webseiten, für welche die Zugangsdaten gespeichert wurden, sowie die Häufigkeit ihrer Aufrufe. Diese Daten würden teilweise zur Verbesserung der Dienste ausgewertet. Nur wenige Anbieter nutzten Daten auch zu Marketingzwecken oder teilten sie mit Marketingpartnern.

Vor der Wahl des Passwort-Managers sollten Verbraucher daher laut Öksüz unbedingt die Datenschutzhinweise der jeweiligen Anbieter prüfen und darauf achten, dass die Passwort-Manager keine unnötigen Daten erheben und weitergeben.

Drei der zehn untersuchten Passwort-Manager speicherten Passwörter in bedenklicher Weise

Mehr Mängel seien bei der Prüfung der IT-Sicherheit durch das BSI festgestellt worden. Drei der zehn untersuchten Passwort-Manager speicherten Passwörter in einer Weise, welche Herstellern einen Zugriff zumindest theoretisch ermöglichten – wenn auch teilweise nur unter gewissen Bedingungen.

• Dies erweitere aber prinzipiell die Angriffsfläche und erfordere zusätzliche Schutzmaßnahmen des Anbieters. Bei zwei Passwort-Managern sei eine Bewertung nicht möglich gewesen.

Lediglich drei der untersuchten Passwort-Manager verschlüsselten den kompletten Inhalt. Bei anderen würden teilweise Daten wie Benutzername und die Webseiten der gespeicherten Zugänge unverschlüsselt abgelegt.

Kriterien für einen guten Passwort-Manager

Um eine sichere und effektive Verwaltung unterschiedlicher Passwörter zu gewährleisten, seien Passwort-Manager sinnvoll. Wie diese Untersuchung gezeigt habe, gebe es aber auch Schwachstellen bei einzelnen Anbietern. Bei der Auswahl sollte der Fokus auf Sicherheit und Datenschutz gelegt werden.

• Die Passwort-Manager sollten sämtliche Daten nach aktuellem Stand der Technik verschlüsseln und nur die notwendigsten Daten verarbeiten, welche zur Bereitstellung des Dienstes unumgänglich sind. Bei der anschließenden Nutzung sollte auf die Einrichtung eines starken Master-Passworts, die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA), automatische Backups der gespeicherten Passwörter sowie eine automatische Sperrung bei Nichtnutzung geachtet werden, um einen unberechtigten Zugriff zu verhindern.

Werden die Daten im Passwort-Manager in einer „Cloud“ gespeichert, sollten Verbraucher sich über den Ort der Speicherung und dessen Schutzniveau beim Hersteller informieren.

Anbieter in der Pflicht, Passwort-Manager datensparsam und sicher zu gestalten

Eine Umfrage der Verbraucherzentrale NRW habe zudem weitere Erkenntnisse über den Umgang mit Passwörtern und die Nutzung von Passwort-Managern unter Verbraucher erbracht. Die Mehrheit der Befragten, die keinen Passwort-Manager nutzen, habe als Grund dafür angegeben, dass sie Angst hätten, die darin gespeicherten Passwörter könnten gestohlen oder vom Anbieter eingesehen werden.

• Diese Angst teile bei den Nutzern von Passwort-Managern immerhin noch ein Fünftel der Befragten. Sowohl unter denjenigen, die einen Passwort-Manager nutzen, als auch unter denjenigen, die keinen nutzen, sei die Sicherheit mit Abstand die am häufigsten genannte Eigenschaft, welche bei der Wahl eine Rolle spiele.

„Damit Passwort-Manager genutzt werden, ist es unerlässlich, dass dem Produkt und dem Hersteller Vertrauen geschenkt werden kann und kein Zugriff auf die Daten möglich ist, auch nicht seitens des Anbieters!“, betont Öksüz und fordert abschließend: „Hier sehen wir die Hersteller in der Pflicht, durch hohe Sicherheits- und Datenschutzstandards vertrauenswürdige Produkte anzubieten.“

Weitere Informationen zum Thema:

Verbraucherzentrale Nordrhein-Westfalen
Verbraucherzentrale NRW: Wir über uns / Von Jahresberichten und Leitbild bis zur Satzung oder aktuellen Stellenangeboten: Informationen der Verbraucherzentrale NRW „in eigener Sache“

Verbraucherzentrale Nordrhein-Westfalen, 09.12.2025
10 Passwort-Manager im Vergleich: Wie datenschutzfreundlich und sicher sind Passwort-Manager? Die Verbraucherzentrale NRW und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben 10 Passwort-Speicher geprüft – darunter die der Browser Chrome und Firefox

Verbraucherzentrale, 09.12.2025
Passwort-Manager: So verwalten Sie Passwörter sicher und einfach / Ein Passwort-Manager hilft, sichere Passwörter zu erstellen und zu speichern. In diesem Artikel der Verbraucherzentralen erfahren Sie, welche Vorteile ein solches Tool hat, wie Sie es sicher nutzen und welche Alternativen es gibt.

lpb.nrw
Frau Dr. Öksüz, sollen wir KI im Alltag nutzen oder nicht? / Wie jede Technologie birgt die Künstliche Intelligenz Chancen und Risiken. Wir haben Dr. Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, um ihre Einschätzung gebeten…

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
Passwortverwaltung: Wie merke ich mir viele verschiedene Passwörter?

Bundesamt für Sicherheit in der Informationstechnik
Passwörter verwalten mit einem Passwort-Manager

Bundesamt für Sicherheit in der Informationstechnik & Verbraucherzentrale Nordrhein-Westfalen
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus / Ergebnisse einer Untersuchung des BSI und der VZ NRW

datensicherheit.de, 11.12.2025
Passwort-Manager: BSI-Untersuchung identifiziert Verbesserungsbedarf / Aufgrund der Sensibilität der in Passwort-Managern gespeicherten Daten bestehen hohe Anforderungen an deren IT-Sicherheit – das BSI hat diese Produktkategorie gemeinsam mit dem FZI Forschungszentrum Informatik untersucht

datensicherheit.de, 24.04.2025
Welt-Passwort-Tag am 1. Mai 2025: Sicherheit und Benutzererfahrung ausbalancieren / Tom Haak rät, bei Passwort-Regelungen stets die alltägliche Benutzererfahrung mitzudenken

datensicherheit.de, 29.01.2024
Ändere Dein Passwort: eco-Tipps zum Thementag am 1. Februar 2024 / Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

[datensicherheit.de, 06.12.2025] Mit der Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab dem 6. Dezember 2025 „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft. Dieses Gesetz erhöhe die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Foto: BMI, Hennig Schacht

BSI-Präsidentin Claudia Plattner warnt: Die Cybersicherheitslage Deutschlands ist angespannt – insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar!

Inkrafttreten des NIS-2-Umsetzungsgesetzes erweitert BSIG Anwendungsbereich deutlich

Die nationale Umsetzung der EU-Richtlinie erfolgt demnach insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen müssten selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, „für welche neue gesetzliche Pflichten in der IT-Sicherheit gelten“.

• Bislang seien etwa 4.500 Organisationen durch das BSI-Gesetz reguliert worden – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes werde der Anwendungsbereich des BSIG deutlich erweitert: „Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien ,wichtige Einrichtungen’ und ,besonders wichtige Einrichtungen’.“

Auch Einrichtungen der Bundesverwaltung fallen unter das NIS-2-Umsetzungsgesetz

Diese Unternehmen müssten fortan auch drei zentralen Pflichten nachkommen: Sie seien gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren! KRITIS-Betriebe gälten automatisch als „besonders wichtige Einrichtungen“.

• Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind laut BSI Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.

Von den Einrichtungen der Bundesverwaltung verlange das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf „IT-Grundschutz“-Basis. Zusätzlich müsse die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, welche das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der BSI-Website abrufbar.

BSI-Präsidentin erwartet von NIS-2-Umsetzung deutliche Stärkung der Resilienz unseres Landes

Die BSI-Präsidentin, Claudia Plattner, kommentiert: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar! Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

• Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst müsse eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handele es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es diene juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stelle das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiere auf der „ELSTER“-Technologie und nutze „ELSTER“-Organisationszertifikate, welche üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI online bereit.

Das BSI empfiehlt, ein eigenes Konto unter der Rubrik „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Dieses BSI-Portal sollam 6. Januar 2026 freigeschaltet werden und u.a. als Meldestelle für erhebliche Sicherheitsvorfälle dienen. „Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Betroffenheitsprüfung

Bundesamt für Sicherheit in der Informationstechnik
#nis2know für Unternehmen: Viele Unternehmen und Einrichtungen, die mit NIS-2 erstmals durch das BSI reguliert werden, stehen vor der Frage, was sie jetzt tun müssen. / Lesen Sie hier, auf welche neuen Pflichten Sie sich einstellen müssen.

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: NIS-2-Meldepflicht / NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Informationssicherheit mit System

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

Bundesamt für Sicherheit in der Informationstechnik
Das NI2-Umsetzungsgesetz in der Bundesverwaltung

Bundesamt für Sicherheit in der Informationstechnik
Mein Unternehmenskonto (MUK) / Erster Schritt der NIS-2-Registrierung

Bundesamt für Sicherheit in der Informationstechnik, Melde- und Informationsportal
Meldung ohne Registrierung abgeben/ Bitte wählen Sie zunächst die Meldestelle, bei der Sie eine Meldung abgeben möchten. Anschließend werden Ihnen die verfügbaren Formulare angezeigt.

Bundesgesetzblatt, BGBl. 2025 I Nr. 301, 05.12.2025
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

MEIN UNTERNEHMENS-KONTO
Das Unternehmenskonto auf Basis von ELSTER / Die digitale Identität für Unternehmen in Deutschland

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 30.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den „Call for Papers“ für den „21. Deutschen IT-Sicherheitskongress“ gestartet. Unter dem Motto „Cybernation Deutschland: gemeinsam, sicher, digital“ lädt das BSI vom 15. bis 16. April 2026 ein. Bis zum 7. Januar 2026 werden Unternehmen, Behörden und Forschungseinrichtungen dazu aufgerufen, Vorträge zum Thema Computersicherheit einzureichen.

Abbildung: BSI

„Cybernation Deutschland: gemeinsam, sicher, digital“ vom 15. bis 16. April 2026

BSI bietet virtuellen und analogen Austausch

An zwei virtuellen Kongresstagen sollen dann aktuelle Themen der Cybersicherheit interaktiv diskutiert werden. Die Teilnehmer können Live-Vorträge sowie Podiumsdiskussionen verfolgen und sich auf einer digitalen Plattform zu aktuellen Trends und Perspektiven der IT-Sicherheit austauschen.

• Gleichzeitig wird das BSI im Rahmen des Kongresses in einen persönlichen, analogen Austausch treten: In vier Präsenzworkshops sollen Schwerpunktthemen des Kongresses in einem ausgewählten Teilnehmerkreis noch intensiver diskutiert werden.

Dieser Kongress findet alle zwei Jahre statt – die 20. Auflage im Jahr 2024 hatte laut BSI mehr als 10.000 Teilnehmer angezogen.

BSI adressiert Mitarbeiter in Unternehmen, Behörden und Forschungseinrichtungen sowie Studenten als Sprecher

Mit dem „Call for Papers“ sucht das BSI jetzt nach Mitarbeitern in Unternehmen, Behörden und Forschungseinrichtungen sowie Studenten, welche sich mit praxisnahen Beiträgen in die Agenda der Veranstaltung einbringen möchten.

• Die Themengebiete möglicher Beiträge seien vielfältig: Die Rubriken sind demnach „Resilienz stärken“, „Technologiekompetenzen nutzen“, „Digitalisierung voranbringen“, „Cybersicherheit gestalten“ und „Cybermarkt Deutschland“.

Darunter fächerten sich die Themen weiter auf und reichten von „Cybersicherheitsarchitektur“ und „Krisenmanagement“ über „Künstliche Intelligenz“ (KI) sowie „Maschinelles Lernen“ (ML) bis hin zu „OT-Sicherheit“ und „Sicheren Lieferketten“.

Details auf der BSI-Webseite zum „21. Deutschen IT-Sicherheitskongress“

„Bis zum 7. Januar 2026 können Vortragsideen in Form eines Papers eingereicht werden.“ Ein Programmbeirat begutachte und bewerte die vorliegenden Einreichungen dann anonym und wähle die besten Einreichungen für den Kongress aus.

• „Der Programmbeirat legt im Rahmen der Begutachtung auch fest, welche Themen für die Präsenzworkshops ausgewählt werden.“

Teilnahmebedingungen, Themengebiete und weitere Informationen zum Weg der Einreichung sind online auf der BSI-Webseite zum „21. Deutschen IT-Sicherheitskongress“ zu finden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Vision: Wir bauen gemeinsam die Cybernation Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
21. Deutscher IT-Sicherheitskongress

BSI 21. IT-SICHERHEITSKONGRESS 2026
CALL FOR PAPERS – Herzlich Willkommen!

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 26.11.2025] Aus saisonalem Anlass warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zunehmender Cyberkriminalität insbesondere im Umfeld von „Cyber Week“, „Black Friday“ und Weihnachtseinkäufen – mit einem deutlich erhöhten Aufkommen betrügerischer Webshop-Angebote sei zu rechnen. So haben laut „Cybersicherheitsmonitor 2025“ 22 Prozent der im Vorjahr – 2024 – von Cyberkriminalität betroffenen Personen Betrug beim Onlineshopping erlebt.

Abbildung: BSI

Der aktuelle BSI-„Cybersicherheitsmonitor“ steht zur Verfügung

BSI warnt vor zunehmender Professionalisierung der Fake-Shops

Cyberkriminelle nutzten die starke Nachfrage und den hohen Zeitdruck in solchen hochfrequenten Rabattwochen, um gefälschte Webshops, manipulierte Produkt-Webseiten oder dubiose Online-Werbeanzeigen zu platzieren.

Kunden würden gezielt mit knappen Countdown-Timern und extremen Rabatten zum Kauf gelockt. Das BSI beobachtet demnach „eine zunehmende Professionalisierung“: Fake-Shops imitierten Marken-Bildsprache immer überzeugender, zeigten echte Produktfotos, verwendeten nunmehr korrektes Deutsch und kopierten sogar Impressumsangaben existierender Unternehmen.

BSI gibt Online-Einkäufern Sicherheitstipps – nicht nur für die Shopping-Hochsaison

Verbraucher sollten daher bei der Auswahl eines Webshops laut BSI auf Folgendes achten:

• Preise
  Diese sollten nicht nur realistisch, sondern auch inklusive Versand-, Rücksende- und möglicher Zusatzkosten transparent aufgeschlüsselt sein!
• Domain
  Mitunter änderten Cyberkriminelle die Adresse (URL) eines bekannten Webshops nur minimal ab, um Kunden hinters Licht zu führen.
• Vorhängeschloss in der Browserzeile
  Das dortige „https://“ kennzeichne eine sichere Verbindung, die jeder Webshop haben sollte!
• Impressum
  Dort sollten Telefonnummer und E-Mail-Adresse ebenso wie eine vollständige Anschrift und weitere Informationen wie etwa die Rechtsform zu finden sein!
• Gütesiegel
  Dieses sollte ein bekanntes Siegel eines größeren Anbieters sein – ein Klick auf dieses Siegel sollte dann zu weiteren Informationen führen! Betrüger erfänden aber oft neue Siegel oder kopierten ein bestehendes – im letzteren Fall sei dieses dann meist nicht anklickbar.
• Zahlungsmöglichkeiten
  Kunden sollten darauf achten, welche Daten sie angeben sollen und ob diese an mögliche Dienstleister weitergegeben werden! Auch beim Kauf auf Rechnung griffen Webshop-Betreiber zum Beispiel oft auf externe Zahlungsdienstleister zurück. Einige speicherten Daten und werteten diese gegebenenfalls auch aus. Andere Bezahlverfahren gäben nur einen sogenannten Token an den Webshop weiter, so dass dieser keine Daten über Käufer erhalte.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Cybersicherheitsmonitor 2025: Menschen nutzen weniger Schutzmaßnahmen / Befragung zur Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
CyMon Der Cybersicherheitsmonitor / Befragung zur Cybersicherheit 2025

Bundesamt für Sicherheit in der Informationstechnik
Accountschutz beim Onlineshopping / Besonderes Augenmerk sollte man auf die Absicherung des persönlichen Zugangs legen

Bundesamt für Sicherheit in der Informationstechnik
Newsletter „Einfach • Cybersicher“

datensicherheit.de, 18.11.2025
Black Friday bei Verbrauchern immer beliebter – bei Cyberkriminellen auch / Was es beim „Shoppen“ – vor allem online und zu besonderen Verkaufsaktionen wie rund um den „Black Friday“ – zu beachten gibt, erörtert Sabine Brandl, Juristin der ERGO Rechtsschutz Leistungs-GmbH, in ihrer aktuellen Stellungnahme

datensicherheit.de, 04.12.2024
Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen / 5 Darktrace-Tipps für Einzelhändler zum Schutz vor Cyber-Angriffen

datensicherheit.de, 28.11.2024
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf / Die populäre Rabatt-Saison hat begonnen – und mit ihr Cyber-Betrügereien

datensicherheit.de, 28.11.2024
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen / Rund um populäre Rabattaktion locken Webshops mit exklusiven Angeboten – dabei wittern auch Cyber-Kriminelle ihre Chance

[datensicherheit.de, 25.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. November 2025 in seiner Whitepaper-Reihe des „Digitalen Verbraucherschutzes“ als vierte Edition den Titel „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste“ herausgegeben. Das BSI fordert von den Anbietern, dass diese wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionieren und einen elementaren Sicherheitsgewinn darstellen sollen.

Abbildung: BSI

E-Mail-Dienste seien ein zentraler Baustein digitaler Kommunikation und Identitätsverwaltung – doch der Schutz der Verbraucher vor Sicherheitsrisiken wie Phishing und Identitätsdiebstahl sei bei Webmail-Anbietern teilweise noch lückenhaft umgesetzt…

BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern

E-Mail-Dienste – vor allem sogenannte Webmailer, über einen Webbrowser genutzte E-Mail-Dienste – gelten inzwischen als integraler Bestandteil des Alltagslebens. Diese ermöglichen das Erstellen von E-Mails, ihren Versand an beliebige Kontakte sowie die Verwaltung eines Postfachs. Zu beachten ist, dass E-Mail-Adressen auch als Zugang für viele weitere Dienste genutzt werden.

• Somit sind sie eine wesentliche Schnittstelle digitaler Kommunikation und Identitätsverwaltung. Der Schutz der Verbraucher vor Sicherheitsrisiken wie zum Beispiel unsicheren Authentisierungsverfahren und Identitätsdiebstahl ist bei Webmail-Anbietern laut BSI „jedoch mitunter lückenhaft umgesetzt“.

Das neue BSI-Whitepaper beschreibt Anforderungen an Sicherheit, Transparenz und Benutzerfreundlichkeit von Webmailern, um die Sicherheit der Verbraucher systematisch und zukunftsorientiert zu erhöhen.

BSI-Marktbeobachtung: Zahlreiche E-Mail-Dienste setzen noch in ihrer Standardkonfiguration allein auf Passwörter

„Das Whitepaper betrachtet dabei nicht nur technische Sicherheitsfunktionen, sondern auch ,Usability’, Transparenz und Vertrauen als wesentliche Bestandteile Digitaler Souveränität.“

• Marktsichtungen des BSI hätten ergeben, dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzten, um die Zugänge ihrer Kunden zu schützen – zumeist eben ohne Zwei-Faktor-Authentisierung (2FA). Eine solche müssten Nutzer dann oftmals erst in den „Einstellungen“ aktivieren.

Auch seien nachweislich sichere und praktische Alternativen zum Passwort – wie etwa die passwortlose Authentisierung mittels Passkey – immer noch wenig verbreitet oder würden nicht proaktiv angeboten.

BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“ fordert alltagstaugliche Schutzmaßnahmen

Die BSI-Fachbereichsleiterin „Digitaler Verbraucherschutz“, Caroline Krohn, kommentiert: „Ein elementarer Teil der E-Mail-Sicherheit lastet derzeit noch auf den Schultern der Anwenderinnen und Anwender. Sie sollen sich mit Zwei-Faktor-Authentisierung, Passkey und Verschlüsselung auskennen. Wir sehen die Verantwortung bei den Anbietern!“

• Diese müssten wirksame Verfahren bezüglich Authentisierung, Verschlüsselung, Spam-Schutz und Account-Wiederherstellung bereitstellen, welche ohne größeres Zutun der Nutzer funktionierten und einen elementaren Sicherheitsgewinn darstellten. „Nur wenn Schutzmaßnahmen verständlich, interoperabel und alltagstauglich sind, entfalten sie ihre volle Wirkung“, betont Krohn.

Das nun publizierte Whitepaper „Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienst“ sei zugleich Ansporn für E-Mail-Dienste und eine Einladung zur Zusammenarbeit: Seit Jahresbeginn 2025 habe das BSI den Dialog mit den E-Mail-Anbietern intensiviert – dieser Austausch solle nun ausgebaut werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Dialog für Cybersicherheit
Dialogteam des BSI / Caroline Krohn

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
Whitepaper des Digitalen Verbraucherschutzes #4: Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2025
WHITEPAPER #04:Anforderungen an sichere, transparente und benutzerfreundliche Webmail-Dienste / DIGITALER VERBRAUCHERSCHUTZ

datensicherheit.de, 22.08.2025
„E-Mail-Sicherheitsjahr 2025“ – gemeinsame BSI-eco-Bitkom-Aktionskampagne / Initiatoren veröffentlichen erstmals „Hall of Fame der E-Mail-Sicherheit“ und zeichnen damit rund 150 Unternehmen aus, welche sich aktiv an der Umsetzung moderner E-Mail-Sicherheitsmaßnahmen beteiligen

datensicherheit.de, 25.07.2025
Digitale Resilienz erfordert auch E-Mail-Sicherheit: Bewerbungsphase für BSI Hall of Fame läuft / Mit dem „E-Mail-Sicherheitsjahr 2025“ möchten das BSI, der eco sowie der Bitkom ein starkes Zeichen für eine sichere digitale Kommunikation setzen

datensicherheit.de, 13.02.2025
Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand / Bundesamt für Sicherheit in der Informationstechnik und Deutschland sicher im Netz klären gemeinsam Verbraucher über Sicherheitsaspekte der E-Mails-Nutzung auf

[datensicherheit.de, 12.11.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 11. November 2025 seinen diesjährigen Lagebericht vorgelegt. „Durch Cyberangriffe ist der deutschen Wirtschaft zuletzt ein Rekordschaden von 202 Milliarden Euro entstanden. Der heute vorgestellte Lagebericht des BSI unterstreicht die angespannte Sicherheitslage“, kommentiert der Bitkom–Präsident, Dr. Ralf Wintergerst. Er betont: „Deutschland ist eines der Top-Ziele von Cyberkriminellen. Um so wichtiger ist es, dass Unternehmen Cybersicherheit als Kernaufgabe begreifen!“

Foto: Bitkom

Dr. Ralf Wintergerst: Unternehmen müssen ihre Angriffsflächen weiter vermindern!

Bitkom moniert noch unzureichendes Notfallmanagement

Zwar schulten 79 Prozent der Unternehmen inzwischen Beschäftigte regelmäßig zu IT-Sicherheitsfragen, etwa zum Erkennen von Phishing-Mails.

• Aber nur 24 Prozent böten solche Schulungen allen Beschäftigten an, 55 Prozent nur für ausgewählte Positionen – und jedes Fünfte (20%) verzichte sogar vollständig darauf.

Außerdem verfügten 39 Prozent noch immer über kein Notfallmanagement für den Fall von Datendiebstahl, Industriespionage oder Sabotage.

Bitkom nimmt Unternehmen und Politik in die Pflicht

Wintergerst rät dringend: „Unternehmen müssen ihre Angriffsflächen weiter vermindern, den technischen Schutz hochfahren und sich zugleich auf den Fall einer erfolgreichen Cyberattacke vorbereiten!“

• Aber auch die Politik sei gefordert: Sie müsse dafür sorgen, „dass das Schutzniveau der öffentlichen Verwaltung dem der Wirtschaft nicht hinterherhinkt und dass die Sicherheitsbehörden personell und technisch gut ausgestattet sind, um ihre Aufgaben auch im Cyberraum erfüllen zu können“.

Grundlage der o.g. Umfrageergebnisse ist demnach eine von Bitkom Research im Auftrag durchgeführte repräsentative Erhebung: 1.002 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland seien telefonisch im Zeitraum der Kalenderwochen 16 bis KW 24 2025 befragt worden.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst – Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2025 / Berichtszeitraum: 01.07.2024 – 30.06.2025

datensicherheit.de, 12.11.2025
BSI-Jahresbericht 2025: Trotz Fortschritten bei der Cybersicherheit weiterhin hohe Verwundbarkeit / Immer mehr KRITIS-Betreiber erfüllten die Mindestanforderungen und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung – dennoch bleibt die Lage weiter angespannt

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

[datensicherheit.de, 12.11.2025] Laut dem aktuellen Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für den Berichtszeitraum 1. Juli 2024 bis 30. Juni 2025 können Fortschritte bei der Cybersicherheit in Deutschland gemeldet werden – immer mehr Betreiber Kritischer Infrastrukturen (KRITIS) erfüllten die Mindestanforderungen und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung. Dennoch bleibe die Lage angespannt, da die mangelnde Umsetzung von Schutzmaßnahmen dazu führe, dass digitale Systeme angreifbar blieben.

Foto: BMI, Hennig Schacht

Claudia Plattner warnt: Wir haben festgestellt, dass Cyberkriminelle überall dort eindringen, wo es ihnen möglich ist, und erst danach eruieren, welchen Schaden sie anrichten können… 

Bundesinnenminister und BSI-Präsidentin stellten BSI-Jahreslagebericht 2025 zur Cybersicherheit vor

Die KRITIS-Widerstandsfähigkeit nehme zu, indes bleibe Deutschland im Digitalen Raum immer noch verwundbar. Dies betonten Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner bei der Vorstellung des BSI-Jahreslageberichts 2025 zur Cybersicherheit.

• Das bedeutet demnach: Viele digitale Systeme, Server und Online-Dienste sind weiterhin unzureichend geschützt und ermöglichen Angreifern, in Netzwerke einzudringen oder Daten zu stehlen.

Webanwendungen seien besonders häufig schlecht geschützt, auch Server oft falsch konfiguriert oder ungeschützt, und bekannte Sicherheitslücken würden oft zu spät oder gar nicht behoben.

Jede aus dem Internet erreichbare Institution oder Person prinzipiell bedroht

Zwischen Juli 2024 und Juni 2025 sei die Zahl der täglich neu entdeckten Schwachstellen um 24 Prozent gestiegen. Ein Grund sei: Mit fortschreitender Digitalisierung entstünden neue internetbasierte Anwendungen und Systeme. Werden diese nicht oder nicht gut genug geschützt, eröffneten sich potenzielle Einstiegspunkte für Cyberangriffe.

• Bundesinnenminister Dobrindt unterstrich: „Digitale Sicherheit ist eine Kernfrage staatlicher Souveränität. Deshalb geben wir unseren Sicherheitsbehörden die Befugnisse, die sie brauchen, um das Land wirksam zu schützen. Mit dem ,Cyberdome’ schaffen wir ein starkes Schild gegen Angriffe aus dem Netz. Der Schutz Deutschlands bleibt eine gemeinsame Aufgabe – von Staat, Wirtschaft und Gesellschaft!“

BSI-Präsidentin Plattner führte aus: „Wir müssen die ,Cybernation Deutschland’ weiterbauen und uns klarmachen: Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht, Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen. Ganz banal gesagt bedeutet das: ,Die Letzten beißen die Hunde!‘ Wir haben festgestellt, dass Cyberkriminelle überall dort eindringen, wo es ihnen möglich ist, und erst danach eruieren, welchen Schaden sie anrichten können. Nur, wer sich aktiv schützt, erhöht die Chancen, Gefährdungen zu entgehen oder Schadwirkungen zu minimieren!“

Organisierte Ransomware-Erpressergruppen bleiben größte Bedrohung

Finanziell motivierte Cyberangriffe (Cyber Crime) seien im Vergleich zum Vorjahr, 2024, um neun Prozent zurückgegangen. Dies sei unter anderem auf erfolgreiche internationale Ermittlungen unter Beteiligung von BKA und BSI zurückzuführen. Trotzdem blieben professionell organisierte Erpressergruppen, die mit Schadsoftware (Ransomware) arbeiteten, die größte Bedrohung.

• Auch staatlich gesteuerte Akteure, welche mit komplexen und langfristigen Attacken politische oder wirtschaftliche Ziele verfolgten, seien zunehmend aktiv. Angesichts globaler Konflikte träten weitere Risiken in den Vordergrund. Besonders im „Cloud“-Bereich, in der Energieversorgung und in der Fahrzeugindustrie bestehe die Gefahr, dass Hersteller oder Anbieter dauerhaft und unkontrolliert Zugriff auf Systeme und Daten behielten.

Während große Betreiber ihre Schutzmaßnahmen zunehmend ausbauten, fehlten Kleineren und Mittleren Unternehmen (KMU) dafür oft die Ressourcen und das Bewusstsein für die eigene Verwundbarkeit. Ähnliche Herausforderungen zeigten sich bei Kommunen, politischen Organisationen, Vereinen und Parteien.

Verbraucher noch immer zu sorglos hinsichtlich ihrer IT-Sicherheit

Auch viele Verbraucher gingen noch zu sorglos mit IT-Sicherheit um. Schutzmaßnahmen wie Passkeys oder starke Passwörter in Kombination mit Zwei-Faktor-Authentisierung (2fA) und regelmäßige Updates müssten Teil einer Verbesserung des Schutzes vor Angriffen werden.

• Hierbei seien insbesondere auch Hersteller und Anbieter in der Verantwortung, ihre Produkte und Dienste standardmäßig mit entsprechenden Schutzmaßnahmen auszustatten.

Zur weiteren Verbesserung der Widerstandsfähigkeit im Cyberbereich werde das Bundesministerium des Innern (BMI) den „Cyberdome“ aufbauen – ein teilautomatisiertes System zur Detektion und Analyse von Angriffen sowie zur Reaktion darauf. Außerdem würden die Cyberabwehrbefugnisse der Sicherheitsbehörden gestärkt, damit schwerwiegende Angriffe aktiv verhindert, abgemildert oder gestoppt werden könnten.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag / Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI / Die Präsidentin – Claudia Plattner

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2025 / Berichtszeitraum: 01.07.2024 – 30.06.2025

Bundesamt für Sicherheit in der Informationstechnik
Vision: Wir bauen gemeinsam die Cybernation Deutschland

Die Bundesregierung
Alexander Dobrindt – Bundesminister des Innern

heise online, Martin Holland, 30.06.2025
Kooperation mit Israel: Bundesinnenminister plant „Cyberdome“ für Deutschland / Alexander Dobrindt hat bei einem Besuch in Israel eine engere Zusammenarbeit im Bereich Cyberabwehr und Zivilschutz vereinbart. Er nennt das einen „Cyberdome“.

datensicherheit.de, 12.11.2025
Bitkom-Kommentar zum BSI-Lagebericht 2025: Deutschland eines der Top-Ziele Cyberkrimineller / Durch Cyberangriffe ist der deutschen Wirtschaft laut Bitkom zuletzt ein Rekordschaden von 202 Milliarden Euro entstanden

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 10.09.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Medienpaket für den Einsatz im (Schul-)Unterricht zum Thema Cybersicherheit für Zehn- bis 14-Jährige veröffentlicht. Motivation dafür ist demnach die Erkenntnis, dass Cyberkriminalität auch junge Menschen betrifft: „Im ,Cybersicherheitsmonitor 2025‘ gibt in der dort jüngsten Altersgruppe der 16- bis 22-Jährigen fast jede bzw. jeder Fünfte (19%) an, schon einmal von Kriminalität im Internet betroffen gewesen zu sein.“ Das umfassende BSI-Medienpaket soll nun der Vermittlung grundlegender Cybersicherheitskompetenzen dienen. „Mit diesem Angebot möchte das BSI Lehrkräfte und weiteres pädagogisches Fachpersonal dabei unterstützen, Jugendliche frühzeitig für digitale Risiken zu sensibilisieren und ihnen einen sicheren Umgang mit digitalen Medien zu vermitteln.“

Abbildung: BSI

Begleitmaterial für Lehrkräfte zum BSI-Medienpaket

BSI-Materialien auf Lebenswelt der Zehn- bis 14-Jährigen ausgerichtet

Das Medienpaket umfasst laut BSI didaktisch aufbereitete Arbeitsblätter, interaktive Aufgaben und Hintergrundinformationen für Pädagogen ebenso wie für Eltern.

• Es decke die drei Themen „Smartphone- und App-Sicherheit“, „Methoden der Cyberkriminalität“ und „Accountschutz“ ab.

Diese Materialien seien auf die Lebenswelt von Zehn- bis 14-Jährigen ausgerichtet und eigneten sich für den Einsatz in verschiedensten Unterrichtsfächern, wie etwa Informatik und Gesellschaftslehre ebenso wie für die außerschulische Nutzung, z.B. in Volkshochschulen und Jugendzentren.

Medienpaket ab sofort kostenlos auf der Website des BSI zum Download

Larissa Hänzgen, Expertin für Verbraucherschutz im BSI, erläutert: „Cybersicherheit ist ein grundlegender Bestandteil digitaler Bildung. Unser Ziel ist, Kinder und Jugendliche nicht nur technisch fit, sondern auch sicher durch die digitale Welt zu führen. Mit dem neuen Medienpaket geben wir Lehrkräften ein praxistaugliches und strukturiertes Werkzeug an die Hand, mit dem sie Wissen und Handlungskompetenz im Bereich IT-Sicherheit nachhaltig vermitteln können.“

• Das Medienpaket stehe ab sofort kostenlos auf der Website des BSI zum Download bereit.

Das Informationsangebot des Digitalen Verbraucherschutzes im BSI biete darüber hinaus auch Eltern ein niedrigschwelliges Informationsangebot: „Auf einer speziellen Webseite für Eltern informiert das BSI u.a. über Jugendschutzeinstellungen, ,Smart Toys’ und Cybermobbing.“ Weitere Handlungsempfehlungen biete der „Wegweiser kompakt: 8 Tipps für den digitalen Familienalltag“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Medienpaket zur Cybersicherheit / Lern- und Unterrichtseinheiten

Bundesamt für Sicherheit in der Informationstechnik
BEGLEITMATERIAL FÜR PÄDAGOGINNEN UND PÄDAGOGEN: CYBERSICHERHEIT FÜR FÜR 10- BIS !4-JÄHRIGE

Bundesamt für Sicherheit in der Informationstechnik
Cybersicherheitsmonitor 2025: Menschen nutzen weniger Schutzmaßnahmen / Befragung zur Cybersicherheit

Bundesamt für Sicherheit in der Informationstechnik
8 Tipps für den digitalen Familienalltag

Bundesamt für Sicherheit in der Informationstechnik
Kinder und Jugendliche im digitalen Alltag absichern und unterstützen / Digitaler Kinder- und Jugendschutz für Eltern und Erziehungsberechtige

datensicherheit.de, 27.05.2025
Medienkompetenz und digitales Know-how für Kinder werden immer wichtiger / 2024 nutzten bereits über 50 Prozent der sechs- bis siebenjährigen Kinder ein Smartphone – bei den zehn- bis elfjährigen sogar 90 Prozent

datensicherheit.de, 24.01.2024
Weltweit 72 Prozent aller Kinder bereits Ziel einer Cyber-Bedrohung / International Day of Education am 24. Januar soll wachsende Bedeutung der Cyber-Sicherheitserziehung für Kinder thematisieren

datensicherheit.de, 30.07.2020
eco-Beschwerdestelle: Surfguide für Kinder und Jugendliche veröffentlicht / Plädoyer und Informationen für eine verantwortungsvolle Internetnutzung

[datensicherheit.de, 09.09.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum Start der diesjährigen „Internationalen Automobil-Ausstellung“ (IAA) einen Bericht zur Cybersicherheit im Straßenverkehr 2025 veröffentlicht, der demnach verdeutlicht, warum es sich dabei um eine Aufgabe mit wachsender Relevanz handelt: Digitale Dienste, Over-the-Air-Updates und vernetzte Steuergeräte prägten zunehmend die Fahrzeugarchitekturen und der Einsatz Künstlicher Intelligenz (KI) in Assistenzsystemen und automatisierten Fahrfunktionen nehme kontinuierlich zu. „Das bedeutet: Fahrzeuge werden immer vernetzter, Systeme werden immer komplexer, Fortbewegung wird immer digitaler.“

Abbildung: BSI

Automobilindustrie: Mit zunehmender Systemkomplexität und steigendem Vernetzungsgrad rücken Fragen der Cybersicherheit mehr und mehr in den Fokus

BSI wertet auch Schwachstellen- und Vorfallsmeldungen der Automobilindustrie aus

Im Rahmen der Analyse der Cybersicherheitslage Deutschlands insgesamt habe das BSI auch Schwachstellen- und Vorfallsmeldungen im Bereich der Automobilindustrie ausgewertet.

• Im Zeitraum von Februar 2024 bis März 2025 seien in diesem Zusammenhang 107 entsprechende Meldungen bearbeitet worden, wobei für den überwiegenden Teil der betrachteten Fälle ein physischer Zugriff auf die betroffene Komponente oder zumindest räumliche Nähe zum Fahrzeug erforderlich gewesen sei – z.B. bei Angriffen über „Bluetooth“ oder WLAN.

In 18 Meldungen seien auch über das Internet ausnutzbare Schwachstellen beschrieben worden. Insgesamt verzeichnet das BSI nach eigenen Angaben eine Zunahme von Schwachstellen in Hersteller-Software und externen Applikationen.

„Cyber Dominance“ laut BSI relevante Bedrohung

Eine Ausnutzung der genannten Schwachstellen mit kriminellem Hintergrund finde nach den dem BSI vorliegenden Informationen im Fahrzeugkontext gegenwärtig eher selten statt. Weitere Bedrohungen ergäben sich im Zusammenhang mit „Cyber Dominance“, also der Möglichkeit der Einflussnahme durch digitale Produkte, welche Herstellern Zugriff auf Informationen und Funktionen ermöglichten.

• Vor dem Hintergrund aktueller geopolitischer Konfliktlagen vergrößerten zudem komplizierte Lieferketten die Angriffsflächen von Fahrzeugen und Verkehrsinfrastruktur. Des weiteren seien mit neuartigen Angriffsmöglichkeiten auf KI-Komponenten und Fahrzeugsensorik durch manipulative Eingaben auch neue Risiken verbunden.

Hinsichtlich der üblicherweise langen Lebenszyklen sowohl von Fahrzeugen als auch der Verkehrsinfrastruktur stelle darüber hinaus die Migration zu neuen kryptographischen Verfahren, „die gegen die potenziell wachsende Bedrohung durch Quantencomputer resistent sind“, eine wichtige Aufgabe dar.

BSI bietet auch Herstellern sowie Kunden der Automobilindustrie Unterstützung

Der BSI-Vizepräsident, Thomas Caspers, kommentiert: „Die digitalen Angriffsflächen im Automobilsektor wachsen rasant. Nicht nur für die Cybersicherheit im Straßenverkehr, sondern auch mit Blick auf die Digitale Souveränität Deutschlands und Europas ist ein vertrauensvoller Informationsaustausch zwischen Unternehmen, Forschungseinrichtungen und Behörden von entscheidender Bedeutung!“

• Cybersicherheit müsse dabei als Treiber für Innovationen innerhalb der digitalisierten Automobilbranche betrachtet werden – insbesondere, wenn die Prinzipien von „Security-by-Design“ und „Security-by-Default“ konsequent umgesetzt würden.

Das BSI als Cybersicherheitsbehörde Deutschlands biete Herstellern sowie deren Kunden dazu umfassende Informationen, Hilfestellungen und Austauschformate.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Unser Leitbild: Das BSI als die Cybersicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft

Bundesamt für Sicherheit in der Informationstechnik, 08.09.2025
Cybersicherheit im Straßenverkehr 2025

Bundesamt für Sicherheit in der Informationstechnik, September 2025
Cybersicherheit im Straßenverkehr 2025

Bundesamt für Sicherheit in der Informationstechnik, Cybernation-Blog, 21.03.2025
Claudia Plattner: Positionierung des BSI zu Digitaler Souveränität in Zeiten von Cyber Dominance

Bundesamt für Sicherheit in der Informationstechnik
Vernetztes Fahren – Chancen und Risiken

Bundesamt für Sicherheit in der Informationstechnik
Die Leitung des BSI

IAA MOBILITY
IAA MOBILITY 2025 / IT’S ALL ABOUT MOBILITY

datensicherheit.de, 07.05.2024
Phishing-Angriffe auf Automobilbranche: 54 Prozent der Unternehmen betroffen / Kaspersky-Studie zur Cyber-Sicherheit in der Automobilbranche erschienen

datensicherheit.de, 14.09.2021
CybelAngel-Studie als Weckruf: Automobil-Industrie im Fokus Cyber-Krimineller / Entwicklungsdaten und Produktionsanlagen laut CybelAngel-Erkenntnissen nicht ausreichend geschützt

datensicherheit.de, 24.07.2018
Leck bei Automobil-Zulieferer: 47.000 Dateien online zugänglich gewesen / Daten müssen auch jenseits der Unternehmensgrenzen geschützt werden, fordert Thomas Ehrlich

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen / Experten-Kommentar von Thomas Ehrlich, Country Manager DACH von Varonis

datensicherheit.de, 18.04.2016
Noch weitgehend nebulös: IoT-Sicherheit in der Automobilindustrie / Die Verheißungen und Gefahren selbstfahrender Fahrzeuge