Unter dem Stichwort Bedrohungen werden Phänomene in der Cyberwelt beschrieben, die eine Gefahr für die Cybersicherheit darstellen können. Diese Bedrohungen existieren unabhängig von konkreten Opfern oder konkreten Angriffen und können sich potenziell jederzeit in einem konkreten Angriff manifestieren. Zu den Bedrohungen gehören beispielsweise Ransomware-Gruppen, Malware und Botnetze, Exploits, APT-Gruppen und vieles mehr. Der Begriff umfasst also die Angreifer, deren Angriffsstrukturen sowie deren konkrete Angriffsmittel.

Im Rahmen der Dimension Bedrohungen wird hierbei ein Überblick zur aktuellen Gefährdungslage erstellt, auf Grundlage der Analyse folgender Cyberbedrohungen und deren spezifischen Messgrößen: Malware, Botnetze.

Malware

• Rund 8,73 Mio. neue Schadprogramm-Varianten im Mai 2025.
• Durchschnittlich 281.000 neue Malware-Varianten pro Tag ( - 27 % zum April).
• Die Bedrohungslage war durchschnittlich bedrohlich.

Sachverhalt

Im Mai 2025 wurden rund 8,73 Millionen neue Schadprogramm-Varianten bekannt. Hinzu kamen rund 0,4 Millionen neue Varianten potenziell unerwünschter Anwendungssoftware PUA (Potentially Unwanted Application or Applications).

Das entsprach einem durchschnittlichen Zuwachs von 281.000 neuen Malware-Varianten pro Tag.

Anmerkung: Die Malware-Statistik wurde umfangreich revidiert. Änderungen am Datenbestand, die durch verbesserte Detektionsmethoden bedingt waren, sind rückwirkend berücksichtigt. Ausgewiesene Häufigkeiten für Zeiträume vor März 2023 können sich daher von früheren Berichten über diese Zeiträume unterscheiden.

Bewertung

Die Lage bei neuen Malware-Varianten war im Mai 2025 durchschnittlich bedrohlich. Es zeigt sich nach drei Monaten (Februar - April 2025) wieder ein erneut Leicht absteigender Trend der Malware-Zahlen.

Maßnahmenempfehlungen

Eingesetzte Sicherheitssoftware sollte auf den aktuellsten Stand aktualisiert werden.

Schutz gegen Angriffe mit Schadprogrammen bietet neben regelmäßigen Sicherheitsupdates unter anderem Antivirensoftware, die die Schadsoftware entdecken, an einer erfolgreichen Ausführung hindern und vom System wieder entfernen kann.

Auf klassische AV-Lösungen und Firewalls allein sollten sich IT-Administratoren daher nicht verlassen, sondern IT-Sicherheit als Gesamtkonzept unter Einbeziehung der Nutzer umsetzen. Dazu liefern die Basismaßnahmen der Cyber-Sicherheit [2] pragmatische Handlungsempfehlungen, deren Beachtung die Grundlagen für robuste Netze und resistente IT-Systeme legt.

Botnetze

• Unique-IP-Index im Mai 2025 bei durchschnittlich 1376 Punkten (+ 6% zum April).
• badbox ist aktivstes Botnetz

Sachverhalt

Das BSI beobachtet mittels Sinkholing Botnetze in Deutschland. Der Unique-IP-Index, der das Aufkommen und die Entwicklung der infizierten Systeme in den vom BSI beobachteten Botnetzen misst, lag im Mai 2025 bei durchschnittlich 1376 Punkten. Das bedeutet, dass die Zahl der beobachteten infizierten Systeme, die täglich in Botnetzen aktiv sind, 13,76-mal so hoch war wie im Jahresdurchschnitt 2019 (Durch eine Erweiterung der Botnetz-Beobachtungen seit Mai 2020 wurde das Hellfeld deutlich vergrößert. Die Zahl der Detektionen infizierter Systeme hat sich dadurch etwa verzehnfacht. Aufgrund dieser Weiterentwicklung der Datenerhebungs- und Auswertungsmethoden sind die Werte bis 10. Mai 2020 mit denen ab 11. Mai 2020 nicht vergleichbar). Im Vergleich zum Vormonat lag der Index im Monatsdurchschnitt auf einem vergleichbaren Niveau.

Das größte der im Sinkholing beobachteten Botnetze in Deutschland war mit 47,0 Prozent der Unique IPs das Botnetz badbox. Hierbei handelt es sich um eine Android Schadsoftware, die mit der Firmware des Geräts ausgeliefert wird. Infizierte Geräte verbinden sich unverzüglich mit einem Command-and-Control (C2) Server und ermöglichen den Angreifern Zweifaktor Schlüssel abzufangen, weitere Schadsoftware zu installieren sowie Zugriff auf das IT-Netz, in dem sich das infizierte Gerät befindet (Proxy), zu erhalten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei bis zu 30.000 solcher Geräte in Deutschland die Kommunikation zwischen der Schadsoftware BadBox und den Tätern unterbunden. Die Schadsoftware BadBox war in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten installiert. Das BSI leitet derzeit im Rahmen einer Sinkholing-Maßnahme nach §7c BSI-Gesetz (BSIG) die Kommunikation betroffener Geräte mit den Kontrollservern der Täter um. Dies betrifft Provider, die über 100.000 Kundinnen und Kunden haben. Für diese Geräte besteht keine akute Gefahr, solange das BSI die Sinkholing-Maßnahme aufrechterhält. Grundsätzlich besteht aber für alle IT-Produkte mit veralteten Firmware-Versionen das Risiko, dass sie für Schadsoftware anfällig sind. Weitere Informationen sind der Pressemitteilung zu entnehmen [3].

Bewertung

Das Botnetz badbox ist auf Platz 1 der beobachteten Botnetze. Der Anteil in % an allen Unique IPs hat mit 47,0 % den mit Abstand größten Anteil. Badbox wurde im Oktober 2024 neu in das Sinkholing aufgenommen.

Die Dunkelziffer der in Botnetz aktiven infizierten Systeme ist weiterhin hoch.

Maßnahmenempfehlungen

Das BSI unterrichtet regelmäßig die zuständigen Netzbetreiber und Internet-Provider über die in den beobachteten Botnetzen detektierten infizierten Systeme, damit diese ihrerseits bei den Betreibern dieser Systeme auf eine Bereinigung hinwirken können.

Hinweise und Maßnahmen zu badbox sind dem BSI-Botnetz-Steckbrief zu entnehmen.

Das BSI geht von einer sehr hohen Dunkelziffer betroffener Geräte aus und ruft dazu auf, entsprechende Geräte vom Internet zu trennen oder nicht weiter zu benutzen.

Quellen

[1] Malware-Statistik des BSI auf Basis von Rohdaten des Instituts AV-Test GmbH

[2] Basismaßnahmen der Cyber-Sicherheit

[3] Pressemitteilung BSI weist auf vorinstallierte Schadsoftware auf IoT-Geräten hin

[4] Steckbriefe aktueller Bots