Mittelstand im Fokus der Cyberkriminalität

Die Cybersecurity bei kleinen und mittleren Unternehmen ist besorgniserregend, warnt das BSI. Laut dem BSI-Lagebericht 2025 entfallen rund 80 Prozent aller gemeldeten Sicherheitsvorfälle auf diese Unternehmen. Die aktuelle Studie "it-sa Cyber Security Barometer: Cybersecurity im Mittelstand" offenbart dazu Versäumnisse und Defizite.

Von der Ukraine über Trump bis zur Nexperia-Chipkrise: Die Trends der letzten Jahre waren stärker als zuvor von geopolitischen Veränderungen geprägt. Viele Unternehmen sind dadurch verunsichert und blicken sorgenvoll auf das neue Jahr. Sie beobachten sehr genau die Entwicklungen.

Während große Unternehmen dazu dank entsprechender Ressourcen Trend-Analysen einkaufen oder im eigenen Haus erstellen lassen können, sind kleine und mittlere Unternehmen (KMU) hingegen auf vorhandene Lagebilder angewiesen. In diesen unsicheren Zeiten richten sie ihre IT-Strategie daher eher zurückhaltend aus. Dabei betrachten sie IT- und Cybersicherheit sehr wohl als größte und dringendste Herausforderung, weit vor steigenden Energiepreisen, globalen Krisen oder bürokratischen Herausforderungen. Das ergab eine Untersuchung, die die Security-Fachmesse it-sa Expo&Congress von puls Marktforschung erstellen ließ. Das trifft auf alle in der Studie untersuchten europäischen Länder zu, das sind Deutschland, Spanien, Italien, Polen und Frankreich.

 

KMU haben höheres Risiko als große Unternehmen

Gleichzeitig stehen mittelständische Unternehmen massiv im Visier von Cyberkriminellen, da diese hier lukrative Ziele mit vergleichsweise schwacher Verteidigung vermuten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt daher: „Das Risiko von KMU, von einem Cybervorfall betroffen zu sein, ist wesentlich höher als bei den großen Unternehmen“.

Bedingt durch kleinere Budgets und fehlendes Fachpersonal stehen KMU häufig vor größeren IT-Sicherheitsproblemen als große Unternehmen. Veraltete Software, unzureichender Zugriffsschutz und mangelnder Awareness bei Mitarbeitern machen sie zu leichten Zielen für Angreifer. Wurden dann auch noch Backups vernachlässigt, ist der Schaden nach einem erfolgreichen Angriff oft immens. Fehlt ein professionelles Notfall- oder Business Continuity-Management, kommt es schneller zur Insolvenz als gedacht. Das BSI kommt zu dem Schluss: „Die Situation in Bezug auf Cybersicherheit ist in der überwiegenden Zahl der KMU besorgniserregend“. Laut dem BSI-Lagebericht 2025 entfallen rund 80 Prozent aller gemeldeten Sicherheitsvorfälle auf KMU.

In der genannten Studie zeigt sich, dass die Befragten sich ihrer Situation durchaus bewusst sind. Fast zwei Drittel von ihnen schätzen die eigene Bedrohungslage als ziemlich hoch ein und 80 Prozent meinen, dass Cybersecurity im letzten Jahr für sie an Bedeutung gewonnen hat. Sie betrachten als größtes Risiko menschliche Fehler und technische Schwachstellen. Auch die Komplexität der IT-Infrastruktur stellt für viele eine schwer überwindbare Hürde dar, denn dadurch bieten sich zum Beispiel vielfältige Möglichkeiten für Fehlkonfigurationen.

In der Wahrnehmung von Sicherheitsbedrohungen liegen bei den Befragten Phishing und Malware ganz weit vorne. Das ist verständlich, denn die anderen Bedrohungen wirken meist verdeckter, wie etwa Lieferkettenangriffe oder Zero-Day-Exploits, also Angriffe auf Sicherheitslücken, für die noch kein Patch existiert. Auch der Missbrauch gestohlener Zugangsdaten wird häufig erst verspätet wahrgenommen, oft erst, wenn Merkwürdigkeiten in der IT-Umgebung auffallen. Der Diebstahl der zum Einbruch genutzten Login-Daten kann dabei schon weit zurückliegen. Angreifer verwenden ihre Beute manchmal erst Monate später. Das fällt dann aber immer noch nicht unbedingt auf, denn häufig werden keine dazu notwendigen Abwehr- und Erkennungs-Tools eingesetzt. Wenn Intrusion-Detection-Systeme nicht vorhanden sind, Unregelmäßigkeiten im Netzwerkverkehr sowie ungewöhnliches Nutzerverhalten nicht überwacht werden, dann können Angreifer lange unbemerkt im Unternehmensnetz agieren. Nicht selten fällt das erst auf, wenn der Schaden bereits groß ist.

 

Mangelhafte Abwehrmaßnahmen

Verstärkt wird die Gefahrenlage durch fehlende organisatorische Vorkehrungen. Die Ergebnisse der Studie offenbaren ein defizitäres Bild: Rund ein Drittel der Befragten hat bisher nur grundlegende Maßnahmen umgesetzt. IT-Sicherheit ist häufig nicht strukturiert organisiert, Verantwortlichkeiten sind nicht definiert, Maßnahmen erfolgen nicht geplant, sondern eher sporadisch. Außerdem ist IT-Sicherheit nicht strategisch verankert und es erfolgen auch keine regelmäßigen Überprüfungen. Nur bei den wenigsten, etwa zehn Prozent, ist IT-Sicherheit integraler Bestandteil aller Geschäftsprozesse. Hingegen rüsten Angreifer immer weiter auf, verwenden für Angriffe eigene KI-Systeme, arbeiten stark arbeitsteilig und kaufen bei Bedarf zusätzliches Know-how ein. Hingegen greift die Mehrheit in den befragten Unternehmen laut Befragung vornehmlich auf die interne IT-Abteilung und Kollegen als Informationsquelle zurück.

Kleine und mittlere Unternehmen können sich durch regelmäßige Updates und Mitarbeiterschulungen schützen. Eine Backup-Strategie ist ebenso unerlässlich wie Notfallpläne für den Ernstfall. Viele Einrichtungen liefern Unterstützung und Informationen, etwa das BSI mit speziellen Leitfäden für KMU. Die Transferstelle Cybersicherheit im Mittelstand hat zahlreiche Hilfen auf einem eigenen Portal zusammengestellt. Je nach Einzelfall und Bundesland sind sogar Fördermittel für die Verbesserung der Cybersecurity verfügbar.

Die alljährlich im Herbst stattfindende it-sa Expo&Congress und der Newsletter von Europas größter Security-Fachmesse bilden gute Ausgangspunkte, um sich schnell und übersichtlich im Cybersecurity-Sektor zu informieren. Die große Mehrheit der Befragten aus mehreren europäischen Ländern kennt oder besucht deshalb die it-sa Expo&Congress und die Online-Veranstaltungen der Plattform it-sa 365.

 

Quellen:

puls-Marktforschung Studie: „it-sa Cyber Security Barometer – Cybersecurity im Mittelstand: Wo stehen Europas Unternehmen wirklich“

BSI: Cybersicherheit für KMU

BSI-Lagebericht 2025

Transferstelle Cybersicherheit im Mittelstand: Cybersicherheit für den Mittelstand

Nationales Koordinierungszentren für Cybersicherheit