Der BSI Cybersicherheitsmonitor 2026 zeichnet ein nüchternes Bild. Jeder vierte deutsche Internetnutzer war bereits Opfer von Cyberkriminalität, elf Prozent allein in den vergangenen zwölf Monaten. 86 Prozent der Phishing-Angriffe nutzen 2026 KI-Generatoren, die Spyware-as-a-Service-Industrie startet bei 60 Euro pro Monat.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wann haben Sie zuletzt die 2FA-Aktivierung Ihrer Hauptkonten geprüft? Genau diese Hausaufgabe nennt der BSI Cybersicherheitsmonitor als wichtigste Lücke zwischen Selbsteinschätzung und Realität.
Das Wichtigste in Kürze
- 27 Prozent der deutschen Internetnutzer waren bereits Cyber-Opfer
- 86 Prozent der Phishing-Angriffe basieren 2026 auf generativer KI
- Spyware-as-a-Service kostet ab 60 Euro pro Monat
- 74 Prozent halten Passwörter für sicher, nur 25 bis 40 Prozent nutzen 2FA
Welche Delikte dominieren?
Drei Angriffsformen treffen Privatpersonen am häufigsten. Zunächst Online-Shopping-Betrug, der über gefälschte Shops, manipulierte Marktplatz-Anzeigen und überzeugend wirkende Bestätigungsmails läuft. Parallel der unbefugte Kontozugriff, oft Folge eines früheren Datenlecks. Schließlich Probleme beim Online-Banking, die in vielen Fällen mit SIM-Swap oder QR-Code-Manipulation beginnen.
Die Schadensbilanz fällt deutlich aus. 88 Prozent der Betroffenen erlitten Schäden, 33 Prozent direkte finanzielle Verluste. Im KMU-Umfeld liegt die Quote der erfolgreichen Angriffe laut ergänzendem Cyber Security Report 2026 von Schwarz Digits bei 20 Prozent, in Großunternehmen bereits bei 33 Prozent.
Wie verschärft KI die Bedrohungslage?
Die 86-Prozent-Quote KI-gestützter Phishing-Mails verändert die Spielregeln. Klassische Erkennungsmuster wie Rechtschreibfehler, holprige Anrede oder generische Betreffzeilen verschwinden. Gleichzeitig sinkt die Eintrittsschwelle für Angreifer: Phishing-Kits mit personalisierten Mails kosten weniger als ein Streaming-Abo, kommerzielle Überwachungssoftware wie das beworbene Programm KidsProtect startet laut Monitor bei 60 Euro monatlich.
Cyberkriminalität ist 2026 keine Boulevardgeschichte mehr, sondern eine Frage der persönlichen Routine. Zwei-Faktor-Authentifizierung kostet zwei Klicks und schützt vor 90 Prozent der Standardangriffe.
— Michael Dobler, Herausgeber Dr. Web
BSI-Präsidentin Claudia Plattner hat in der Vorstellung der Studie eine Verschiebung der Verantwortung gefordert. Hersteller müssten stärker in die Pflicht genommen werden, weil Endnutzer das Risiko allein nicht tragen können. Genau diese Argumentation steckt auch hinter dem EU Cyber Resilience Act, dessen Meldepflichten ab dem 11. September 2026 wirksam werden.
Lesetipp: Mobile Geräte in Unternehmen: Was müssen Chefs und Mitarbeiter beachten?
Welche drei Maßnahmen haben echten Effekt?
Die Passkey-Migration steht oben auf der BSI-Empfehlung. Apple, Google und Microsoft unterstützen den Standard, große Online-Dienste wie Amazon, PayPal, eBay haben ihn integriert. Wer Passkeys aktiviert, ersetzt das Passwort durch ein kryptografisches Schlüsselpaar auf dem Gerät, das Phishing-resistent bleibt.
Parallel gehört 2FA überall dort eingeschaltet, wo Konten Wert haben. Bezahlsysteme, Mail-Provider, Cloud-Speicher, Social-Media-Accounts. Eine TOTP-App wie Aegis oder die hauseigene Lösung des Anbieters reicht, SMS-Codes sind die schwächere Option. Im dritten Schritt die Auto-Updates: System, Browser und kritische Apps wie Banking-Software profitieren von zeitnahen Patches. Wer den März-Patch-Reigen verfolgt hat, weiß warum: 29 Millionen WordPress-Sites waren nach vier stillen Plugin-Patches im März 2026 betroffen.
Für Geschäftsführer mit Mitarbeiterzahl ab 50 oder Umsatz über 10 Millionen Euro greift parallel die NIS-2-Pflicht, die persönliche Vorstandshaftung vorsieht. Der NKR hat das Tempo der Umsetzung kürzlich in einem aktuellen Bericht deutlich kritisiert. Die Lücke schließen Unternehmen selbst, sie müssen es nur tun.
Mehr Newshunger?
