Verein zur Förderung technischer Sicherheit und digitaler Resilienz i. G.
VTDR

Digitale Resilienz der Demokratie

Zivilgesellschaftliches Monitoring für sichere Infrastrukturen

180.000 deutsche Unternehmens-Websites sind aktuell bedroht.

Die Betreiber wissen es nicht. –

Wenn Sie eine WordPress-Website betreiben – für Ihre Praxis, Ihre Kanzlei, Ihren Onlineshop, Ihren Verein – dann lesen Sie diesen Artikel bis zum Ende. Denn möglicherweise ist Ihre Website eine von geschätzt 180.000 in Deutschland, die in diesem Moment mit einem einzigen Befehl vollständig übernommen werden kann. Ohne Passwort. Ohne dass Sie es bemerken.

Wir wissen das, weil wir diese Schwachstellen gefunden, nachgebaut, verifiziert und dokumentiert haben. Wir haben versucht, die Betroffenen zu warnen. Wir haben das BSI informiert, Forschungsinstitute angesprochen, Branchenverbände kontaktiert, politische Strukturen benachrichtigt. Monatelang.

Niemand hat zugehört.

Die Bedrohungslage

WordPress betreibt über 40 % aller Websites weltweit. In Deutschland liegt der Marktanteil unter CMS-basierten Websites bei über 60 %. Vom Bäcker um die Ecke bis zum Bundestagsabgeordneten, von der Hausarztpraxis bis zum mittelständischen Maschinenbauer – WordPress ist das Fundament des deutschen Webauftritts.

Dieses Fundament hat Risse. Tiefe Risse.

2025 wurden laut dem Sicherheitsunternehmen Patchstack 11.334 neue Sicherheitslücken im WordPress-Ökosystem entdeckt – 42 % mehr als im Vorjahr. 91 % stecken in Plugins: Kontaktformulare, Shop-Systeme, Seitenbuilder, Sicherheits-Plugins, Buchungssysteme, Newsletter-Tools. Erweiterungen, die auf praktisch jeder WordPress-Website laufen. Die durchschnittliche WordPress-Installation nutzt zwischen 20 und 30 Plugins. Jedes einzelne ist ein potenzielles Einfallstor.

Fast die Hälfte dieser Schwachstellen war zum Zeitpunkt der Veröffentlichung noch nicht gepatcht. Das bedeutet: Die Sicherheitslücke wird öffentlich bekannt – aber das Plugin-Update, das sie schließt, existiert noch nicht. In dieser Zeitspanne ist jede Website mit dem betroffenen Plugin offen wie ein Scheunentor.

Und diese Zeitspanne wird immer kürzer – für die Angreifer.

Laut Patchstack nutzen Angreifer neu veröffentlichte Schwachstellen inzwischen innerhalb von 5 Stunden aus. 20 % aller Schwachstellen werden in den ersten 6 Stunden nach Bekanntwerden angegriffen. 45 % am ersten Tag. 70 % innerhalb einer Woche. Automatisierte Skripte scannen das Internet rund um die Uhr nach verwundbaren Installationen. Ein Angreifer muss heute nichts mehr von Hand tun – er lässt seine Bots arbeiten, und die finden Ihre Website schneller, als Sie Ihren Plugin-Ordner aktualisieren können.

Das passiert gerade – nicht irgendwann

Erst im März 2026 – vor wenigen Wochen – wurden über 250 gehackte WordPress-Websites in 12 Ländern entdeckt, die Schadsoftware an ihre Besucher auslieferten. Die Betreiber wussten nichts davon. Ihre Seiten sahen völlig normal aus. Aber jeder Besucher bekam im Hintergrund Schadcode ausgeliefert – Infostealer, die Passwörter, Bankdaten und Kreditkarteninformationen abgreifen.

Seit August 2025 läuft die ShadowCaptcha-Kampagne: Über 100 kompromittierte WordPress-Seiten liefern Ransomware und Infostealer aus – getarnt als harmlose Captcha-Abfragen. Sie kennen das: „Klicken Sie auf alle Bilder mit Ampeln.“ Nur dass in diesem Fall der Klick einen Trojaner installiert.

Im Januar 2026 wurde eine kritische Schwachstelle im Plugin „Modular DS“ öffentlich – unauthentifizierte Rechteeskalation, betrifft über 40.000 Installationen. Angreifer konnten sich ohne jede Anmeldung als Administrator eintragen. Im Dezember 2025 dasselbe Muster bei „King Addons for Elementor“: Innerhalb von Stunden nach Bekanntwerden zählte Wordfence über 50.000 Angriffsversuche.

Das sind keine Einzelfälle. Das ist der Normalzustand.

Was das in Euro bedeutet

Laut der Bitkom-Studie Wirtschaftsschutz 2025 entstand deutschen Unternehmen ein Gesamtschaden von 289,2 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage – 8 % mehr als im Vorjahr. Davon entfielen 202,4 Milliarden Euro direkt auf digitale Angriffe. 87 % der deutschen Unternehmen waren betroffen. Nicht ein Drittel. Nicht die Hälfte. 87 Prozent.

34 % der Unternehmen wurden Opfer von Ransomware – dreimal so viele wie 2023. Die Angriffe werden nicht weniger. Sie werden mehr, schneller und gezielter. Über zwei Drittel aller Ransomware-Angriffe richten sich gezielt gegen Unternehmen mit weniger als 500 Mitarbeitern – den klassischen deutschen Mittelstand. Genau die Unternehmen, die sich keine eigene IT-Sicherheitsabteilung leisten können und deren WordPress-Website oft von einem externen Dienstleister „nebenbei“ betreut wird.

Was Ransomware für ein kleines Unternehmen bedeutet: Eines Morgens schalten Sie Ihren Computer ein. Statt Ihres Desktops sehen Sie eine Nachricht: Alle Daten verschlüsselt. Kundendaten, Rechnungen, E-Mails, Bestellungen – alles weg. Sie sollen zahlen. In Bitcoin. Innerhalb von 72 Stunden. Durchschnittlicher Schaden: zwischen 120.000 und 1,24 Millionen Euro. Für einen Handwerksbetrieb mit 15 Mitarbeitern kann das das Ende sein.

Das BSI schreibt in seinem Lagebericht 2025: „Unzureichend geschützte Angriffsflächen machen Deutschland im digitalen Raum verwundbar.“ Im Berichtszeitraum Juli 2024 bis Juni 2025 wurden durchschnittlich 119 neue Schwachstellen pro Tag bekannt – 24 % mehr als im Vorjahreszeitraum. 47 % aller erreichbaren IP-Adressen von .de-Domains hatten sensible Informationen öffentlich sichtbar im Internet. 35 % der Unternehmen erwarten 2026 eine deutliche Zunahme von Angriffen. Kein einziges erwartet eine Verbesserung.

Was wir gefunden haben

Wir – VTDR, ein Verein zur Förderung technischer Sicherheit aus Brandenburg – haben in den vergangenen Monaten 3.389 WordPress-Plugins systematisch auf Schwachstellen untersucht.

Nicht mit einem Scanner, der Versionsnummern abgleicht – davon gibt es genug, und sie produzieren oft nur „False Positives“, die das BSI zu Recht kritisiert hat. Sondern mit einer selbstentwickelten Plattform, die etwas tut, was kein anderes System in dieser Form kann:

  • Sie liest den Quellcode jedes Plugins und sucht nach verdächtigen Mustern.
  • Sie baut automatisch eine isolierte WordPress-Testumgebung auf und installiert das Plugin.
  • Sie führt den Angriff real aus – nicht simuliert, nicht theoretisch, sondern tatsächlich.
  • Sie zeichnet jeden Schritt auf: jeden HTTP-Request, jede Server-Antwort, jede Datenbankänderung.
  • Sie prüft das Ergebnis gegen 34 automatische Validierungsregeln und eine sechsstufige Eskalationskette, bevor eine Schwachstelle als verifiziert gilt.

Das Ergebnis ist kein Scan-Bericht voller Vermutungen, sondern ein forensisch verwertbarer Beweis. Aufgezeichnet in standardisierten HAR-Dateien – dem internationalen Format für die Aufzeichnung von Netzwerkverkehr. Ein BSI-Analyst, ein CERT-Mitarbeiter oder ein Plugin-Hersteller kann jeden einzelnen Angriff allein anhand unserer Dokumentation nachvollziehen und reproduzieren. Ohne Rückfragen. Ohne Interpretationsspielraum. Genau so, wie es die CVD-Richtlinie des BSI fordert.

457 echte Angriffe als Lerngrundlage

Um die Plattform zu trainieren, haben wir 457 bekannte Schwachstellen (CVEs) in 283 Plugins nicht einfach gesammelt, sondern jeden einzelnen Exploit in Sandbox-Umgebungen nachgebaut und real ausgeführt. Jeder mit vollständiger HAR-Aufzeichnung, Vorher-Nachher-Vergleich und CVSS-Bewertung. Diese Plugins laufen auf zusammen 45,8 Millionen Websites weltweit.

Aus diesen 457 verifizierten Angriffen hat die Plattform 189 Erkennungsregeln abgeleitet. Jede Regel wird automatisch auf Treffsicherheit geprüft – Fehlalarme fliegen raus, nur was nachweislich funktioniert, bleibt. Das System lernt mit jeder Analyse dazu: Bestätigte Muster verstärken die Erkennung, Fehlalarme reduzieren sie. So entsteht eine Plattform, die immer besser darin wird, Schwachstellen zu finden, die noch niemand kennt.

Eine vergleichbare Trainings-Datenbasis existiert online nicht. Es gibt CVE-Datenbanken mit textlichen Beschreibungen. Es gibt lose Sammlungen von Proof-of-Concept-Skripten auf GitHub. Aber eine geschlossene Sammlung aus verifiziertem Exploit, vollständiger HAR-Aufzeichnung, Vorher-Nachher-Beweis und daraus abgeleiteten Erkennungsregeln für hunderte Schwachstellen? Das gibt es nirgendwo. Nicht bei Fraunhofer, nicht bei ATHENE, nicht bei CISPA, nicht bei Google Project Zero. Wir haben es allein aufgebaut. Ohne Förderung, ohne Partner, ohne einen Cent öffentliches Geld.

44 unbekannte Schwachstellen – gefunden von KRITS 3.0

Auf Basis dieser Trainings-Datenbasis hat die Plattform dann eigenständig 44 bislang völlig unbekannte Sicherheitslücken in 37 weiteren Plugins entdeckt – sogenannte 0-Day-Schwachstellen. Lücken, für die es keinen Patch gibt. Lücken, von denen die Hersteller bis heute nichts wissen. Darunter Plugins aus den Bereichen Seitengestaltung, Caching, Sicherheit, E-Commerce, Zahlungsabwicklung und Benutzerverwaltung – einige davon mit Millionen aktiver Installationen.

Zusätzlich befinden sich über 6.000 weitere Verdachtsfälle in der Analyse-Pipeline – Findings, die noch verifiziert werden müssen, aber auf potenzielle Schwachstellen hindeuten.

Plugin-Namen nennen wir nicht, solange die Hersteller keine Patches bereitgestellt haben. Das ist verantwortungsvolle Offenlegung – Responsible Disclosure. Daran halten wir uns, auch wenn uns niemand dabei unterstützt.

Der Schweregrad: Fast ausschließlich kritisch

82 % der Schwachstellen in unserer Datenbank erreichen einen CVSS-Score von 9.0 bis 10.0 – die höchste Kategorie auf der internationalen Bewertungsskala. Der Maximalwert 10.0 wurde mehrfach erreicht. 43 % aller Schwachstellen erlauben die vollständige Übernahme des Servers – Remote Code Execution, der schlimmste anzunehmende Fall. Und über 99 % funktionieren komplett ohne Anmeldung – ein Angreifer braucht kein Passwort, keinen Benutzernamen, keinen Zugang. Er braucht nur die URL Ihrer Website.

Die Angriffstypen verteilen sich wie folgt:

  • SQL-Injection (33 %) – Der Angreifer greift direkt auf Ihre Datenbank zu. Er kann Benutzernamen und Passwörter auslesen, Kundendaten herunterladen, Bestellungen und Zahlungsinformationen einsehen – oder die gesamte Datenbank löschen.
  • Datei-Upload (14 %) – Der Angreifer lädt eine Datei auf Ihren Server hoch, die beliebigen Code ausführt. Damit hat er die vollständige Kontrolle über Ihr System. Er kann Dateien lesen, ändern, löschen. Er kann Hintertüren einbauen, die auch nach einem Update bestehen bleiben.
  • Fehlerhafte Zugriffskontrolle (13 %) – Funktionen, die nur für Administratoren gedacht sind, sind für jeden im Internet erreichbar. Ein Besucher Ihrer Website kann Admin-Aktionen ausführen, ohne sich jemals angemeldet zu haben.
  • Privilege Escalation (8 %) – Ein normaler Benutzer – zum Beispiel jemand, der sich für Ihren Newsletter registriert hat – kann sich selbst zum Administrator befördern. Ein Klick, und er hat volle Kontrolle.
  • LFI und SSRF (12 %) – Der Angreifer kann interne Dateien Ihres Servers lesen – darunter Konfigurationsdateien mit Datenbank-Passwörtern. Oder er kann Ihren Server dazu bringen, Anfragen an interne Systeme zu schicken, die von außen nicht erreichbar sein sollten.
  • Cross-Site Scripting und weitere (20 %) – Der Angreifer injiziert Schadcode in Ihre Website, der bei jedem Besucher ausgeführt wird. Damit kann er Sitzungen kapern, Formulardaten abfangen oder Ihre Besucher auf Phishing-Seiten umleiten.

Die Hochrechnung für Deutschland

In Deutschland laufen nach Branchenschätzungen rund 1,5 bis 2 Millionen Unternehmens-Websites auf WordPress.

Im Rahmen unserer KRITIS-3.0-Analyse haben wir eine Stichprobe durchgeführt: 83 deutsche Websites im Bereich Gesundheits- und Sozialwesen – Organisationen des Deutschen Roten Kreuzes – wurden detailliert untersucht. Das Ergebnis:

  • 45 % waren verwundbar. Jede einzelne.
  • 28 % mit Schwachstellen der Kategorie kritisch oder hoch.
  • 111 WordPress-Schwachstellen allein in dieser kleinen Stichprobe.

Es gibt keinen Grund anzunehmen, dass Ihr Handwerksbetrieb, Ihre Arztpraxis, Ihr Onlineshop oder Ihre Kanzlei besser geschützt ist als eine DRK-Organisation. Im Gegenteil: DRK-Verbände verfügen in der Regel über hauptamtliche IT-Betreuung. Viele kleine Unternehmen nicht einmal über das.

Wenn wir diese Verwundbarkeitsrate konservativ hochrechnen:

  • ~1,5 Millionen deutsche Unternehmens-Websites mit WordPress potenziell verwundbar
  • ~420.000 davon mit kritischen oder hohen Schwachstellen
  • ~180.000 davon mit Schwachstellen, die eine vollständige Serverübernahme erlauben

Was „vollständige Serverübernahme“ für Sie bedeutet

Nicht abstrakt, sondern ganz konkret – das kann ein Angreifer mit Ihrer Website tun:

  • Ihre komplette Kundendatenbank herunterladen. Namen, Adressen, E-Mail-Adressen, Bestellhistorie, im schlimmsten Fall Zahlungsdaten. Die Daten tauchen dann in Darknet-Foren auf – oder werden für gezielte Phishing-Angriffe gegen Ihre Kunden genutzt.
  • Unsichtbaren Schadcode einbauen. Ihre Website sieht normal aus. Aber jeder Besucher bekommt im Hintergrund Malware ausgeliefert. Sie merken nichts – bis Google Ihre Seite sperrt und Ihre Kunden eine Warnmeldung sehen.
  • Sich als Administrator eintragen und Sie aussperren. Sie verlieren den Zugriff auf Ihre eigene Website. Der Angreifer kann Inhalte verändern, Seiten löschen, Weiterleitungen einrichten – auf Phishing-Seiten, auf Konkurrenz-Websites, auf illegale Inhalte.
  • Ransomware installieren. Alle Daten auf dem Server werden verschlüsselt. Datenbank, Bilder, Dokumente, Backups (wenn sie auf demselben Server liegen). Dann kommt die Erpressungsnachricht. Zahlen oder Totalverlust.
  • Ihre Website als Angriffsplattform missbrauchen. Von Ihrem Server aus werden andere Unternehmen angegriffen. Spam-Mails mit Ihrem Absender. DDoS-Angriffe über Ihre IP-Adresse. Die Spur führt zu Ihnen – nicht zum Angreifer.
  • Vertrauliche E-Mails mitlesen, wenn Ihr Mailserver auf demselben System läuft. Bei vielen kleinen Unternehmen ist das der Fall.

Was das bei verschiedenen Branchen bedeutet:

  • Arztpraxis: Patientendaten nach Art. 9 DSGVO – besondere Kategorie. Meldepflicht an die Datenschutzbehörde innerhalb von 72 Stunden. Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes.
  • Anwaltskanzlei: Mandantenakten, Schriftsätze, vertrauliche Korrespondenz. Verstoß gegen die anwaltliche Schweigepflicht.
  • Onlineshop: Kreditkartendaten, Bestellhistorien, Kundenkonten. PCI-DSS-Compliance-Verletzung. Haftungsansprüche der betroffenen Kunden.
  • Apotheke: Rezeptinformationen, Medikationshistorie, Kundenstammdaten. Gesundheitsdaten – höchste Schutzstufe.
  • Politische Website: Mitgliederlisten, interne Kommunikation, Spenderdaten. In Zeiten gezielter Desinformationskampagnen ein Einfallstor für Manipulation.

Das alles ist kein hypothetisches Szenario. Das sind die dokumentierten Fähigkeiten der Schwachstellen in unserer Datenbank. Verifiziert, reproduzierbar, forensisch aufgezeichnet.

Warum Sie davon erst jetzt erfahren

Hier beginnt der Teil, der wirklich entsetzlich ist. Nicht die Schwachstellen – Schwachstellen gibt es immer, und wer sie findet, leistet einen Dienst. Entsetzlich ist, was danach passiert: nämlich nichts.

Wir haben seit Monaten versucht, diese Informationen an die richtigen Stellen zu bringen. Hier ist die vollständige Chronologie unserer Versuche – und ihres Scheiterns.

Januar 2026 – BSI / CERT-Bund: Wir melden dem CERT-Bund sicherheitsrelevante Auffälligkeiten bei 290 Domains im Umfeld von Bundesbehörden. Das BSI antwortet: zu viele False Positives, „unverifizierte Ergebnisse aus automatisierten Scans“. Kein CVD-Verfahren. Die Kritik ist berechtigt – und wir nehmen sie ernst. Wir bauen daraufhin die gesamte BSI-konforme Beweiskette mit HAR-Dokumentation, CVSS-Scores und Bedrohungsmodellen. Das BSI informiert auf unsere Meldung hin verwundbare Stadtwerke – die fallen unter KRITIS. Für alle anderen – Arztpraxen, Apotheken, Handwerksbetriebe, Onlineshops, Mittelständler: nicht zuständig. Für die überwiegende Mehrheit der verwundbaren Unternehmen in Deutschland fühlt sich keine einzige Behörde zuständig.

November 2025 – Fraunhofer SIT / ATHENE: Wir bewerben uns beim BMBF-Förderprogramm StartUpSecure, betreut vom Fraunhofer-Institut für Sichere Informationstechnologie und dem Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE. Wir legen unsere empirische Analyse von über 3.000 KRITIS-Domains vor und verweisen auf die aktive Zusammenarbeit mit BSI und LKA Brandenburg. Das Gutachten fällt vernichtend aus: „Es ist keine Innovation erkennbar.“ Die Techniken seien „etabliert und nicht neuartig“, der Antrag „fachlich mangelhaft und unzureichend“. Es fehlten „Theoretischer Rahmen und Literaturintegration“, „Definitionen“, „Methodische Validierung“. Unsere Daten seien „nicht intersubjektiv nachvollziehbar“ – dieselben Daten, die das BSI zu diesem Zeitpunkt bereits sichtete und die das LKA Brandenburg als relevant einstufte.

Dezember 2025 – Fraunhofer SIT: Wir bitten nicht um Geld, sondern um Hilfe. Viele verwundbare Organisationen fallen nicht unter KRITIS, das BSI erklärt sich für nicht zuständig. Ob ATHENE uns an geeignete Stellen vermitteln könne, um diese Unternehmen zu erreichen. Wir erhalten keine Antwort.

Februar 2026 – CISPA Helmholtz-Zentrum: Wir stellen die inzwischen weiterentwickelte Plattform dem CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken vor – einer der renommiertesten Cybersicherheits-Einrichtungen Europas. Die Reaktion ist eine völlig andere als bei Fraunhofer: „Solide angewandte Ingenieursgrundlage“, „überzeugende empirische Datenbasis“, Marktpotenzial ausdrücklich anerkannt. Aber auch das CISPA kann nicht helfen – unser Ansatz sei der „angewandten Entwicklungsebene“ zuzuordnen, nicht dem „Forschungsfrontbereich“. Zu praktisch für die Wissenschaft, nicht förderbar. Zwei Institute, dasselbe Förderprogramm, dieselbe Forschung. Fraunhofer sagt: mangelhaft. CISPA sagt: überzeugend. Für beide: nicht förderbar.

November 2025 – Bundesverband Deutscher Apotheker (BVDA): Im Rahmen unserer KRITIS-3.0-Analyse haben wir eine empirische Untersuchung der IT-Sicherheitslage deutscher Apotheken-Websites durchgeführt. Erheblicher Anteil verwundbar – in einem Sektor, der besonders sensible Gesundheitsdaten verarbeitet. Wir bieten dem BVDA einen fachlichen Austausch an und stellen Analysedaten über eine gesicherte Cloud-Umgebung bereit. Keine Rückmeldung.

Januar 2026 – Apothekerkammer Nordrhein: Kurz zuvor wurde die Apothekerkammer Nordrhein selbst Opfer eines Cyberangriffs. Wir bieten an, unser vollständiges Datenmaterial zur IT-Sicherheitslage von Apotheken-Websites bereitzustellen, damit betroffene Mitglieder frühzeitig informiert werden können. Keine Rückmeldung. Eine Kammer, die gerade selbst gehackt wurde, reagiert nicht auf ein Angebot, ihre Mitglieder vor dem gleichen Schicksal zu schützen.

2026 – CDU-Strukturen: Wir untersuchen 597 Domains im Umfeld der CDU – Kreisverbände, Landesverbände, Websites von Mandatsträgern. 193 davon weisen Schwachstellen oder sicherheitsrelevante Auffälligkeiten auf: veraltete Systemkomponenten, fehlende Sicherheitsheader, bekannte Schwachstellen in eingesetzten Plugins. In einer Zeit, in der die Manipulation politischer Websites ein reales Risiko für Desinformationskampagnen darstellt. Wir informieren die zuständige Arbeitsgruppe. Keine Reaktion.

Fortlaufend – LKA Brandenburg: Das Landeskriminalamt Brandenburg begleitet unsere Forschung von Beginn an mit Interesse und hat die Relevanz unserer Befunde bestätigt. Aber auch das LKA kann uns nicht weiterhelfen – es verfügt schlicht nicht über die personellen Kapazitäten, einen Datenbestand dieser Größenordnung zu sichten und hunderte Unternehmen einzeln zu informieren. Das ist kein Vorwurf an die Beamten. Das ist ein Symptom eines Systems, das für diese Aufgabe nicht ausgestattet ist.

Fortlaufend – Dutzende weitere Unternehmen und Institutionen: Wir haben deutschlandweit bei zahlreichen Unternehmen und Institutionen Schwachstellen identifiziert und gemeldet. Nicht ein einziger Akteur unterstützt unsere Forschung.

Das Versagen – in Zahlen

Die folgenden Zahlen sind keine Meinungen. Sie stammen aus dem BSI-Lagebericht 2025, der Bitkom-Studie Wirtschaftsschutz 2025, dem Bundeshaushalt 2026 und öffentlichen Angaben der beteiligten Institutionen.

Was Deutschland ausgibt

Deutschland gibt 2026 12,2 Milliarden Euro für IT-Sicherheit aus – ein zweistelliges Wachstum gegenüber dem Vorjahr. Das BSI erhält einen Rekordhaushalt von 379 Millionen Euro – mehr als jemals zuvor. Das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE bekommt 37 Millionen Euro, verdreifacht gegenüber 2019. Die Fraunhofer-Gesellschaft – zu der das Institut gehört, das unsere Arbeit als „nicht innovativ“ eingestuft hat – wird mit über 3 Milliarden Euro jährlich aus Steuergeldern finanziert. Für „Disruptive Innovationen in der Cybersicherheit“ stellt der Bund 40 Millionen Euro bereit. Über die ATHENE-Inkubatoren flossen in fünf Jahren insgesamt 15 Millionen Euro an Sicherheits-Startups.

Dazu kommen Hunderte Millionen für weitere Cybersicherheitszentren, Helmholtz-Institute, Exzellenzinitiativen, Sonderprogramme. Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) erhält 2026 89 Millionen Euro. Aus einem Sondervermögen für Digitalisierung stehen dem Bundesministerium für Digitales und Staatsmodernisierung vier Milliarden Euro zur Verfügung.

Was Deutschland verliert

202,4 Milliarden Euro Schaden durch Cyberangriffe. In einem einzigen Jahr. Das ist das 17-Fache der gesamten deutschen IT-Sicherheitsausgaben. Für jeden Euro, den Deutschland in Cybersicherheit investiert, verliert die Wirtschaft 17 Euro durch Angriffe.

Stellen Sie sich das als Unternehmen vor: Sie investieren 12 Euro in einen Tresor und verlieren 202 Euro durch Einbrüche. Jedes Jahr. Und jedes Jahr investieren Sie ein bisschen mehr in den Tresor – aber die Verluste steigen noch schneller.

Was Deutschland fehlt

In Deutschland sind 120.000 Stellen im Bereich Cybersicherheit unbesetzt. 120.000. Das ist nicht eine Lücke – das ist ein Abgrund. Das NIS-2-Umsetzungsgesetz verpflichtet seit Ende 2025 Zehntausende Unternehmen zu verschärften Sicherheitsmaßnahmen – aber die Fachkräfte, die diese umsetzen sollen, existieren nicht.

Das BSI hat rund 1.500 Mitarbeiter und plant auf 1.700 aufzustocken. Zum Vergleich: Die US-amerikanische CISA beschäftigt allein über 3.000 Mitarbeiter – und ist nur eine von Dutzenden US-Bundesbehörden im Bereich Cybersicherheit.

Im Gesundheitswesen ist die Lage besonders dramatisch: Ein Drittel der deutschen Krankenhäuser hat unbesetzte IT-Sicherheitsstellen. 70 % der Kliniken verfügen über zu geringe finanzielle Mittel für angemessene IT-Sicherheit. Gleichzeitig sind Cyberangriffe auf Krankenhäuser zwischen 2020 und 2024 um 74 % gestiegen. 90 % der Kliniken stufen die Bedrohung als hoch oder sehr hoch ein. Krankenhäuser, die Operationen verschieben müssen, weil ihre IT verschlüsselt wurde – das ist in Deutschland bereits Realität.

Was Deutschland dafür bekommt

Milliarden fließen jährlich in Forschungszentren, Helmholtz-Institute, Fraunhofer-Abteilungen, Exzellenzinitiativen. Die Frage, die sich jeder Steuerzahler stellen sollte: Was kommt dabei heraus?

Wir haben nach vergleichbaren Plattformen gesucht – Systeme, die WordPress-Schwachstellen automatisiert erkennen, in Testumgebungen verifizieren und forensisch dokumentieren. In Deutschland. In Europa. Es gibt keine.

Es gibt akademische Paper über theoretische Schwachstellenanalyse. Es gibt Konferenzvorträge über mögliche Ansätze. Es gibt Förderanträge für geplante Forschung. Es gibt Workshops, Arbeitsgruppen, Positionspapiere, Strategiedokumente. Aber eine funktionierende Plattform, die tatsächlich unbekannte Schwachstellen findet, real ausnutzt und gerichtsfest dokumentiert?

Die hat ein ehrenamtlicher Verein aus Brandenburg gebaut. Ohne einen Cent Förderung. Und bekommt dafür von Fraunhofer – finanziert mit drei Milliarden Euro Steuergeldern pro Jahr – bescheinigt: „Keine Innovation erkennbar.“

Was andere Länder schaffen

Die Niederlande – 17 Millionen Einwohner, ein Fünftel der deutschen Bevölkerung – betreiben mit dem NCSC (Nationaal Cyber Security Centrum) eine zentrale Anlaufstelle für alle Schwachstellenmeldungen. Nicht nur KRITIS. Alle. Wenn ein Forscher in den Niederlanden eine Lücke findet, hat er einen Ansprechpartner, einen definierten Prozess und die Garantie, dass die Information koordiniert an die Betroffenen weitergeleitet wird. Das nennt sich Coordinated Vulnerability Disclosure – und es funktioniert.

Die USA betreiben mit der CISA (Cybersecurity and Infrastructure Security Agency) nicht nur eine Meldestelle, sondern aktive Partnerprogramme mit unabhängigen Forschern. Die CISA veröffentlicht wöchentlich den „Known Exploited Vulnerabilities Catalog“ – eine Liste aktiv ausgenutzter Schwachstellen. Bundesbehörden sind per Anordnung verpflichtet, diese Schwachstellen innerhalb definierter Fristen zu patchen. Es gibt Bug-Bounty-Programme, bei denen Forscher für das Finden von Schwachstellen bezahlt werden – statt ignoriert.

Israel – 9 Millionen Einwohner – hat Cybersicherheitsforschung zur nationalen Strategie erklärt. Das Israeli National Cyber Directorate koordiniert Echtzeit-Incident-Response und arbeitet eng mit privaten Forschern zusammen. Ehemalige Mitglieder der Einheit 8200 – der Cyber-Einheit des Militärs – gründen Startups, die weltweit führend sind. Israel exportiert Sicherheitstechnologie im Wert von Milliarden. Der Staat fördert aktiv den Übergang von Forschung zu marktfähigen Produkten – genau die „angewandte Entwicklungsebene“, für die es in Deutschland kein Förderprogramm gibt.

Frankreich betreibt mit der ANSSI (Agence nationale de la sécurité des systèmes d’information) eine Behörde, die aktiv unabhängige Forscher unterstützt und ein öffentliches Meldeportal für Schwachstellen betreibt.

In all diesen Ländern wäre ein Datensatz wie unserer – 457 verifizierte Exploits, 44 0-Days, über 6.000 Findings, BSI-konforme Dokumentation – innerhalb von Wochen gesichtet, priorisiert und koordiniert an die Betroffenen weitergeleitet worden. In Deutschland liegen die Daten seit Monaten vor. Die betroffenen Unternehmen wissen bis heute nicht, dass ihre Systeme offen sind.

Die Bilanz

Deutschland gibt 12,2 Milliarden für IT-Sicherheit aus und verliert 202,4 Milliarden durch Cyberangriffe. Finanziert Forschungszentren mit Hunderten Millionen und produziert keine einzige vergleichbare Plattform. Hat 120.000 unbesetzte Cybersicherheitsstellen und erklärt einem Verein, der kostenlos Schwachstellen meldet, er sei nicht zuständig. Ruft 2026 zum „Jahr des Angriffsflächenmanagements“ aus und ignoriert eine Plattform, die genau diese Angriffsflächen identifiziert. Verabschiedet NIS-2, das Zehntausende Unternehmen zu mehr Sicherheit verpflichtet – und hat weder die Fachkräfte noch die Strukturen, um das umzusetzen.

Das Versagen ist nicht individuell. Die Mitarbeiter beim BSI, beim LKA, beim CISPA leisten in ihren Zuständigkeiten solide Arbeit. Das Versagen ist politisch und strukturell. Es ist die Entscheidung, Milliarden in Strukturen zu investieren, die Paper produzieren statt Ergebnisse. Zuständigkeitsgrenzen höher zu bewerten als den Schutz von Unternehmen. Innovation nach dem Vorhandensein einer Literaturliste zu beurteilen statt nach der Fähigkeit, reale Bedrohungen zu finden. Und es ist die Weigerung, auch nur eine einzige zentrale Anlaufstelle zu schaffen, an die ein Forscher verifizierte Schwachstellen melden kann – eine Aufgabe, die die Niederlande mit 17 Millionen Einwohnern seit Jahren erfolgreich bewältigen.

180.000 deutsche Unternehmens-Websites sind jetzt übernehmbar. Die Werkzeuge existieren, die Beweise liegen vor, die Dokumentation erfüllt BSI-Standards. Und das System, das diese Bedrohung aufgedeckt hat, wird von einer Institution, die mit drei Milliarden Euro Steuergeldern finanziert wird, als „nicht innovativ“ eingestuft – ohne selbst eine vergleichbare Lösung hervorgebracht zu haben.

Während wir Anträge schreiben, Gutachten abwarten und auf Antworten warten, die nie kommen, scannen Angreifer dieselben Systeme. Die brauchen keine Förderung, keine Genehmigung und keine Literaturliste. Die handeln einfach.

Was Sie jetzt tun sollten

Wenn Sie eine WordPress-Website betreiben – und die Wahrscheinlichkeit ist hoch:

  • Aktualisieren Sie alle Plugins. Heute. Jetzt. Nicht nächste Woche. Nicht wenn der Webentwickler Zeit hat. Heute. Angreifer brauchen 5 Stunden nach Bekanntwerden einer Lücke. Ihr nächstes Update könnte bereits zu spät sein.
  • Löschen Sie jedes Plugin, das Sie nicht aktiv nutzen. Auch deaktivierte Plugins enthalten ausführbaren Code und sind angreifbar. Jedes Plugin, das Sie nicht brauchen, ist ein Risiko ohne Nutzen.
  • Aktivieren Sie Zwei-Faktor-Authentifizierung für jeden Admin-Zugang. Nicht optional. Nicht „demnächst“. Jetzt. Es gibt kostenlose Plugins dafür – die Einrichtung dauert fünf Minuten.
  • Erstellen Sie jetzt ein Backup. Nicht auf demselben Server. Getrennt. Auf einer externen Festplatte, in einer separaten Cloud, bei einem anderen Anbieter. Wenn morgen der Erpresserbrief kommt, ist dieses Backup der Unterschied zwischen einer Stunde Wiederherstellung und dem Totalverlust Ihres Geschäfts.
  • Prüfen Sie, ob Ihr Hoster automatische Updates anbietet – und aktivieren Sie diese. Viele Hosting-Anbieter bieten inzwischen automatische Plugin-Updates an. Nutzen Sie das.
  • Lassen Sie Ihre Website professionell prüfen. Wenn Sie Kundendaten, Patientendaten, Zahlungsdaten oder andere sensible Informationen verarbeiten, sind Sie es Ihren Kunden und Ihrer DSGVO-Compliance schuldig.

Wie es weitergeht

Wir machen weiter. Nicht weil es einfach ist – es ist das Gegenteil. Sondern weil die Schwachstellen real sind, die Betroffenen es nicht wissen und sonst niemand diese Arbeit macht.

Sobald Hersteller Patches veröffentlichen, veröffentlichen wir die technischen Details zu den einzelnen Schwachstellen – einschließlich CVE-Nummern, betroffener Versionen und konkreter Handlungsempfehlungen. Wir arbeiten darüber hinaus an einer öffentlichen Übersichtsseite, auf der Website-Betreiber prüfen können, ob ihre installierten Plugins von den entdeckten Schwachstellen betroffen sind.

Wir haben diesen Artikel geschrieben, weil Monate vertraulicher E-Mails, höflicher Angebote und formaler Anträge ins Leere geführt haben. Weil die Apothekerkammer nicht antwortet, obwohl sie selbst gehackt wurde. Weil die CDU nicht reagiert, obwohl 193 ihrer Websites verwundbar sind. Weil Fraunhofer „keine Innovation“ erkennt, während unsere Plattform 44 Schwachstellen findet, die die gesamte Forschungslandschaft übersehen hat.

Also reden wir jetzt öffentlich. Vielleicht hilft Transparenz, wo Diskretion gescheitert ist.

Die Schwachstellen sind real. Die Beweise liegen vor. Die Plattform funktioniert. Was fehlt, ist jemand auf der anderen Seite.

Deutschlands digitale Sicherheit wird nicht in Förderprogrammen entschieden. Sie wird entschieden in den Stunden zwischen dem Moment, in dem eine Schwachstelle entdeckt wird, und dem Moment, in dem sie geschlossen wird. Und genau da versagt Deutschland gerade.

Über VTDR

VTDR – Verein zur Förderung der technischen Sicherheit und digitalen Resilienz i.G. identifiziert systematisch Sicherheitslücken in weit verbreiteter Web-Software und meldet sie verantwortungsvoll an Hersteller und Behörden. Alle Tests finden ausschließlich in isolierten Laborumgebungen statt – vollständig konform mit §202c StGB.

Quellen: Patchstack State of WordPress Security 2026 | BSI-Lagebericht 2025 | Bitkom Wirtschaftsschutz 2025 | Bundeshaushalt 2026 | ATHENE Imagebericht | The Register, März 2026 | The Hacker News, ShadowCaptcha August 2025 | SecurityWeek, King Addons Dezember 2025