Wo Deutschlands digitale Sicherheit wirklich steht
Der BSI-Lagebericht 2024 fasst die Situation nüchtern zusammen: Die IT-Sicherheitslage in Deutschland bleibt angespannt. Angriffe sind professioneller geworden, Ransomware-Banden agieren arbeitsteilig, und viele Organisationen kämpfen noch immer mit veralteten Systemen. Das ist die offizielle Diagnose – doch wie lässt sie sich in der Praxis belegen?
Antworten darauf liefert der Analysebericht KRITIS 3.0, den der Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G. erstellt hat. Auf Basis einer breiten Stichprobe von 3 088 öffentlich erreichbaren Domains in Deutschland – darunter Energie-, Bildungs- und Wohlfahrtseinrichtungen – wurde untersucht, wie sicher die digitale Basis tatsächlich ist. Die Ergebnisse bestätigen vieles, was das BSI beschreibt, machen aber zugleich sichtbar, wo die Lücken konkret liegen.
Von abstrakten Trends zu messbaren Befunden
Während der BSI seine Lageeinschätzung aus gemeldeten Vorfällen und Trenddaten gewinnt, arbeitet KRITIS 3.0 mit technischen Messwerten. Die Untersuchung nutzte ausschließlich passive Verfahren. So konnten reale Zustände erfasst werden, ohne Systeme zu verändern oder zu gefährden.
Das zentrale Ergebnis: Rund 41 Prozent der untersuchten Systeme wiesen mindestens eine bekannte Sicherheitslücke auf. In vielen Fällen handelte es sich um Schwachstellen, die in der öffentlichen CVE-Datenbank bereits seit Monaten dokumentiert waren. Diese Zahlen untermauern die BSI-Feststellung, dass fehlendes Patch-Management eines der größten strukturellen Probleme bleibt.
Volkswirtschaftliche Auswirkungen der Sicherheitslücken
Auf Basis der empirischen Ergebnisse und ergänzender Marktanalysen wurde eine Hochrechnung für den deutschen .de-TLD-Raum erstellt:
- Geschätzte WordPress-Installationen in Deutschland: ca. 1,74 Millionen
- Davon mit kritischen oder hohen Schwachstellen (CVSS ≥ 7,0): ca. 609 000 Installationen
- Davon mit Remote-Code-Execution-Risiko (RCE): ca. 291 000 Installationen
Ökonomische Schadensprojektion
Laut Studien von BSI (2024) und ENISA (2025) verursachen erfolgreiche Cyberangriffe in Deutschland durchschnittliche direkte Schadenskosten von etwa 35 000 € pro Vorfall in der Privatwirtschaft und bis zu 120 000 € im KRITIS-Umfeld. Unter der Annahme, dass rund die Hälfte dieser Installationen von Unternehmen, Organisationen, öffentlichen Einrichtungen oder Stiftungen betrieben wird, ergibt sich ein akutes Risiko für 25 000 bis 75 000 wirtschaftlich relevante Akteure in Deutschland. Nicht jede Schwachstelle führt zwangsläufig zu einer vollständigen Kompromittierung, doch die hohe Zahl potenziell verwundbarer Systeme verdeutlicht das erhebliche Risiko unautorisierter Zugriffe, Datenabflüsse und Manipulationen im deutschen Web-Ökosystem. Wird konservativ angenommen, dass nur 5 Prozent der gefährdeten Systeme tatsächlich kompromittiert werden,
ergibt sich folgende Modellrechnung:
| Kategorie | Potenzielle Systeme | Vorfälle (5 %) | Ø-Schaden (€) | Gesamtschaden (€) |
|---|---|---|---|---|
| Unternehmens-Websites | 304 500 | 15 225 | 35 000 | ≈ 533 Mio. |
| KRITIS-nahe Infrastrukturen | 50 000 | 2 500 | 120 000 | ≈ 300 Mio. |
| Gesamt (konservativ) | – | ≈ 17 700 | – | ≈ 833 Mio. € p.a. |
| Variable | Quelle / Ableitung | Wert |
|---|---|---|
| WordPress-Installationen in DE (.de-TLD) | Marktanalyse (W3Techs, BuiltWith) + Skalierung im KRITIS 3.0-Rahmen | ≈ 1 740 000 |
| Verwundbarkeitsrate | Empirisch nach KRITIS 3.0 (N = 3 088; verwundbar: 1 284) | 41,6 % → ≈ 609 000 verwundbare Installationen |
| Anteil kritischer / hoher CVSS-Scores | Bericht (35 % der verwundbaren Domains; CVSS ≥ 7) | ≈ 213 000 Systeme mit CVSS ≥ 7 |
| Anteil mit RCE-Gefährdung1 | Indikatorisch aus Malware-Befunden (Web-Shells + Backdoors) und Bezugsgröße2 | ≈ 28 000 – 33 000 (indikativ)3 |
| Anteil wirtschaftlich relevanter Akteure | Annahme gemäß Auswertung (Unternehmen, Öffentliche, NGOs) | ≈ 50 % → ≈ 25 000 – 75 000 Organisationen |
Selbst unter defensiven Annahmen entstehen dadurch jährliche volkswirtschaftliche Verluste von rund 0,8 Milliarden Euro – ohne Folgekosten durch Betriebsunterbrechungen, Reputationsverluste oder regulatorische Sanktionen. Steigt die Kompromittierungsquote auf 10 – 15 Prozent, liegt der ökonomische Gesamtschaden bei 2 bis 2,5 Milliarden Euro jährlich.
Veraltete Komponenten als Risiko
Das KRITIS-Team ermittelte außerdem einen „Component Age Risk“ von 10 von 10 Punkten im Median – ein deutliches Signal für überalterte Software-Bibliotheken. Das deckt sich mit der BSI-Analyse, die eine hohe Abhängigkeit von Standardkomponenten beschreibt. Besonders betroffen: Content-Management-Systeme. Laut Untersuchung gehen mehr als die Hälfte aller Schwachstellen (54,5 Prozent) auf CMS-Plugins und Themes zurück. WordPress ist hier der häufigste Vertreter – nicht wegen seiner Plattform selbst, sondern wegen fehlender Wartung durch Betreiber.
Fehlende Web-Härtung: Sicherheitslücken im Alltag
Auch bei der Basiskonfiguration vieler Websites zeigt sich Handlungsbedarf. Das BSI nennt „unzureichende Web-Härtung“ als wiederkehrendes Problem – KRITIS 3.0 liefert die Belege: In der Hälfte aller Fälle fehlten sämtliche wichtigen HTTP-Header, die Browser vor Angriffen wie Cross-Site-Scripting oder Clickjacking schützen sollen. Das sogenannte „Header Deficit“ lag im Median bei 6 von 6 fehlenden Headern. Diese Zahl steht nicht für technische Spitzfindigkeit, sondern für ein reales Risiko: Schon eine manipulierte Werbeanzeige oder ein kompromittiertes Skript kann so Schadcode einschleusen.
Ransomware und Schadsoftware bleiben präsent
Der BSI-Bericht spricht von einem anhaltend hohen Niveau bei Ransomware-Angriffen. Auch die KRITIS-Analyse bestätigt dies: In etwa 6 Prozent der untersuchten Systeme wurden Spuren aktiver Schadsoftware gefunden – hauptsächlich Fragmente bekannter Ransomware-Ketten und Datendiebstahl-Skripte. Diese Befunde zeigen, dass nicht nur abstrakte Risiken bestehen, sondern echte Kompromittierungen auftreten.
Attack-Surface: Wie sichtbar ist das Risiko?
Ein besonderes Merkmal der KRITIS-Studie ist der Attack Surface Score, der bewertet, wie groß die digitale Angriffsfläche eines Systems ist. Der Mittelwert lag bei 3,89 von 10 Punkten – eine Zahl, die verdeutlicht, dass viele Betreiber noch über offene Dienste, alte Schnittstellen oder unsichere Protokolle verfügen. Der BSI-Bericht weist darauf hin, dass Angreifer zunehmend Schwachstellen in vernetzten Infrastrukturen ausnutzen – der gemessene Score zeigt, wie leicht das in der Praxis tatsächlich möglich ist.
Gemeinsamkeiten und Abweichungen
Vergleicht man beide Berichte, ergibt sich ein klares Bild. Die Bewertung des BSI ist zutreffend – die Dimension der Probleme ist jedoch größer, als viele erwarten. Beide Analysen beschreiben dieselben Ursachen, doch KRITIS 3.0 liefert die empirische Tiefe:
- Patch-Management: Der BSI-Lagebericht 2024 bezeichnet das Patch-Management als „unzureichend“ und sieht darin eine der zentralen Ursachen für Sicherheitsvorfälle. Das KRITIS 3.0-Framework bestätigt diese Einschätzung mit klaren Messwerten: 41,6 % der untersuchten Systeme wiesen bekannte Schwachstellen auf, 35,0 % davon waren kritisch oder hoch bewertet (CVSS ≥ 7,0). Der Median des Component Age Risk lag bei 10 / 10 – ein Hinweis auf stark überalterte Softwarestände.
- CMS-Abhängigkeit: Das BSI warnt vor der wachsenden Abhängigkeit von Standardsoftware und der daraus resultierenden „Multiplikation von Schwachstellen“ über ganze Ökosysteme hinweg. Die Messungen von KRITIS 3.0 belegen das: 54,5 % aller identifizierten Lücken stammen aus CMS-Komponenten wie Plugins oder Themes, weitere 29,0 % aus JavaScript-Bibliotheken. Damit wird deutlich, dass gerade Standardsoftware der größte Risikotreiber im realen Betrieb ist.
- Web-Härtung: Der BSI-Lagebericht fordert, Härtungsmaßnahmen konsequent umzusetzen und Fehlkonfigurationen zu vermeiden. KRITIS 3.0 liefert den Nachweis: Das Header-Deficit lag im Median bei 6 / 6 – auf der Hälfte aller geprüften Systeme fehlten sämtliche essenziellen HTTP-Sicherheits-Header. Diese Konfiguration erhöht die Anfälligkeit für Angriffe wie Cross-Site-Scripting, Clickjacking und MIME-Sniffing erheblich.
Damit lässt sich erstmals quantitativ zeigen, wo allgemeine Empfehlungen auf konkrete Schwachstellen treffen. Die Diskrepanz liegt nicht in der Bewertung, sondern in der praktischen Umsetzung.
Vom Lagebild zur Handlung
Beide Berichte verfolgen dasselbe Ziel: mehr Resilienz für Deutschlands digitale Infrastrukturen. Während das BSI das strategische Lagebild zeichnet, liefert KRITIS 3.0 die operative Grundlage. Die Daten ermöglichen es Betreibern, Prioritäten festzulegen – etwa, welche Systeme zuerst aktualisiert, welche Zertifikate erneuert und welche Konfigurationen gehärtet werden müssen.
So wird aus einem abstrakten Risiko ein konkreter Arbeitsplan. Statt allgemeiner Warnungen bietet das Framework reproduzierbare Messwerte und nachvollziehbare Kennzahlen – eine Voraussetzung für Compliance mit NIS-2, ISO 27001 und § 8a BSIG.
Real gemessen statt nur berichtet
Der BSI-Lagebericht 2024 und das KRITIS 3.0-Framework widersprechen sich nicht – sie ergänzen sich. Der eine beschreibt die strategische Situation, der andere misst sie technisch. Gemeinsam zeigen sie, dass digitale Sicherheit in Deutschland kein Randthema mehr ist, sondern eine infrastrukturelle Aufgabe.
Die Zahlen sprechen für sich: 41 Prozent der Systeme verwundbar, 54 Prozent CMS-basiert, 27 Prozent fehlerhafte Zertifikate. Das sind keine abstrakten Trends, sondern reale Zustände. Und sie belegen: Sicherheit entsteht nicht durch Vorschriften, sondern durch Sichtbarkeit.
Der Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G. setzt sich dafür ein, diese Sichtbarkeit dauerhaft zu schaffen – mit KRITIS 3.0 als Werkzeug, das Risiken messbar macht und Verantwortung konkretisiert.
Nur wer weiß, wo die Schwachstellen liegen, kann sie auch schließen.
Kooperationen und wissenschaftliche Partnerschaften
Im Rahmen des Projekts KRITIS 3.0 – Empirische Untersuchung der Cybersicherheitslage kritischer Infrastrukturen strebt der Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G. eine enge Zusammenarbeit mit wissenschaftlichen Institutionen, Hochschulen und Forschungseinrichtungen an.
Ziel dieser Kooperationen ist es, die im Projekt entwickelten Analysemetriken und Verfahren – darunter automatisierte Schwachstellenbewertungen, multidimensionale Risikokennzahlen (DVI, ESS, Component Age Risk, ASS) sowie integrierte Malware-Analysen – weiter zu validieren und methodisch zu verfeinern.
Unsere Projektdaten und Auswertungsergebnisse liegen in einer gesicherten Cloud-Umgebung vor und können nach Freischaltung interessierten Forschungspartnern zur Verfügung gestellt werden. Dadurch möchten wir eine transparente, nachvollziehbare und reproduzierbare wissenschaftliche Zusammenarbeit ermöglichen.
Wir streben insbesondere Kooperationen mit Forschungseinrichtungen, Instituten und Hochschulen an, die Expertise in den Bereichen IT-Sicherheit, Vulnerability Analysis, Incident Response und Kritische Infrastrukturen besitzen. Gemeinsam möchten wir die empirische Grundlage für eine objektiv messbare digitale Resilienz in Deutschland weiter stärken.
Unser Ziel ist es, Erkenntnisse aus Forschung und Praxis zusammenzuführen, um ein belastbares, wissenschaftlich fundiertes Lagebild der Cybersicherheit aufzubauen – unabhängig, faktenbasiert und offen für institutionelle Zusammenarbeit.
Interessierte Einrichtungen oder Forschungspartner sind herzlich eingeladen, mit uns Kontakt aufzunehmen, um mögliche Kooperations- oder Validierungsprojekte zu besprechen.
Kontakt:
Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G.
📧 r.woick@cg-soft.de
🌐 www.cg-soft.de