Mittelständische Unternehmen begegnen der allgegenwärtigen Bedrohung durch Cyberkriminalität seit Jahren mit einer unguten Mischung: Die Gefahr wird verharmlost, die Qualität der eigenen IT-Sicherheit überschätzt – obwohl echte Fortschritte seit Jahren nicht erkennbar sind. Welche Risiken die Unternehmen mit dieser Strategie eingehen, hat zuletzt der Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für das Jahr 2025 deutlich gemacht: Die Behörde beschreibt die IT-Sicherheitslage weiterhin als angespannt, führt dies aber ausdrücklich nicht auf wachsende Bedrohungen zurück, sondern auf den unverändert mangelhaften Schutz der Opfer. Die Angreifer, so das BSI, gingen mehr und mehr den Weg des geringsten Widerstandes. Sie suchen sich jene Ziele aus, die am leichtesten angreifbar sind – und genau das betreffe insbesondere kleine und mittlere Unternehmen.
Spätestens die Warnung des BSI sollte ein Weckruf für die Entscheider in diesen Unternehmen sein. Dass mittelständische Firmen vom Rand der Aufmerksamkeit mitten ins Fadenkreuz gut organisierter, international agierender Banden von Cyberkriminellen geraten sind, war bei ihnen bisher noch nicht angekommen. Im Gegenteil: In einer repräsentativen Forsa-Umfrage im Auftrag des GDV gaben in diesem Jahr 61% der befragten Mittelständler an, dass sie für ihr Unternehmen nur ein geringes Risiko eines Cyberangriffs sehen (Abb. 1).
Gefragt nach dem Warum, geben die Entscheider wenig überzeugende Antworten. Viele beruhigen sich weiterhin damit, dass ihr Unternehmen zu klein und ihre Daten zu uninteressant seien, um angegriffen zu werden. Beides sind Argumente, die noch nie der Realität entsprachen und spätestens nach dem jüngsten Befund des BSI korrigiert werden müssten.
Weitere 78% der Befragten führen das angeblich geringe Risiko auf die hohe Qualität ihrer IT-Sicherheit zurück. Aber sind die IT-Systeme wirklich so umfassend geschützt, wie die Entscheider glauben? Leider nein. Die hohe Meinung von der eigenen IT-Sicherheit besteht bei der Mehrheit der Unternehmen völlig zu Unrecht. Vielmehr klaffen bei mehr als zwei Dritteln der befragten Unternehmen große Sicherheitslücken.
Schwächen bei Prävention und Reaktion
Es beginnt bei der Prävention. Starke Passwörter, die regelmäßige Schulung und Sensibilisierung der Belegschaft und stets aktuelle Soft- und Hardware sollten inzwischen überall Standard sein, fehlen aber vielerorts. 64% der befragten Unternehmen verzichten komplett auf Schulungen ihrer Beschäftigten – obwohl genau diese Mitarbeiterinnen und Mitarbeiter als „Human Firewall“ eines der wichtigsten Schutzschilder gegen Cyberkriminalität sein könnten. Denn: Viele Angriffe auf mittelständische Unternehmen sind breit gestreut und gar nicht gegen ein spezielles Unternehmen gerichtet. Die Kriminellen verschicken stattdessen ganz einfach zehntausende Phishing-Mails – und erpressen dann die Unternehmen, in denen ein mit Schadsoftware verseuchter Anhang geöffnet oder ein schädlicher Link angeklickt wurde. Nach den Ergebnissen unserer Umfrage kamen die Angreifer in 68% der erfolgreichen Cyberangriffe auf den Mittelstand genau über diesen Weg an ihr Ziel (Abb. 2).
Haben die Hacker sich erst einmal den Zutritt zu den IT-Systemen mittelständischer Unternehmen verschafft, reagieren die betroffenen Unternehmen zudem oft kopf- und hilflos. Jedes zweite Unternehmen hat keinen Notfallplan. Auch die Datensicherungen helfen nicht in jedem Fall weiter, da sie teilweise zu selten aktualisiert, schlecht geschützt, falsch aufbewahrt oder nie auf ihre Wiederherstellbarkeit geprüft wurden. Das Ergebnis: Die Ausfallzeiten sind länger, die wirtschaftlichen Schäden höher als nötig.
Unter dem Strich haben Cyberkriminelle ein seit Jahren erfolgreiches Geschäftsmodell, weil zu viele Unternehmen es ihnen ermöglichen. Von einem technischen Wettlauf zwischen den kriminellen Angreifern und den Verteidigern kann im Mittelstand kaum die Rede sein; die Mehrheit der kleinen und mittleren Unternehmen hat bis heute nicht angefangen, sich wirklich entschlossen zu wehren.
Vom betrieblichen Einzel- zum volkswirtschaftlichen Systemrisiko
Dieser Befund ist in zweierlei Hinsicht besorgniserregend. Zum einen für jedes einzelne Unternehmen, das früher oder später Opfer von Cyberkriminellen werden und in wirtschaftliche Existenzprobleme geraten kann. Zum anderen sind die vielen Einzelrisiken in der Gesamtschau ein Problem für den Wirtschaftsstandort Deutschland. Gerade in Zeiten wachsender geopolitischer Spannungen und hybrider Bedrohungen stellt sich die deutsche Wirtschaft böswilligen Akteuren als breite Angriffsfläche dar. Schon ein koordinierter Angriff auf wenige hundert sehr wichtige, aber schlecht geschützte Unternehmen könnte zu Dominoeffekten in Lieferketten und Märkten führen.
Den Unternehmen ist dieses hohe Risiko durchaus bewusst: 89% der Befragten halten es für wahrscheinlich, dass eine gezielte Attacke zu massiven volkswirtschaftlichen Schäden führen könnte. Nur eine Minderheit glaubt, dass Wirtschaft (31%) oder Behörden (29%) auf eine solche Cyberkatastrophe vorbereitet sind. Paradoxerweise sind die Erwartungen an staatliche Stellen trotzdem hoch. Im Fall einer Cyberkatastrophe sehen 73% der Befragten es als Aufgabe des Staates an, konkrete technische Hilfe zu leisten. 57% sehen den Staat sogar in der Pflicht, betroffenen Unternehmen finanziell zu helfen – eine Erwartungshaltung, die in scharfem Kontrast zur mangelhaften Cybersicherheit vieler Unternehmen steht (Abb. 3).
Die beschriebenen Diskrepanzen zwischen wahrgenommenem und tatsächlichem Schutz, zwischen hohen Erwartungen an den Staat und geringen Ansprüchen an die eigene Vorsorge gefährden die Sicherheit und Wettbewerbsfähigkeit des Standortes Deutschland. Umso dringlicher ist es, dass Unternehmen ihre Rolle im gemeinsamen Sicherheitsgefüge anerkennen und entschlossen in Prävention, Reaktion und Resilienz investieren. Cybersicherheit ist heute eine Grundvoraussetzung wirtschaftlicher Stärke – und sie entsteht nur dann, wenn alle Beteiligten ihren Beitrag leisten.
