Deutsche Unternehmen investieren viel Geld in Sicherheit. Doch viele scheitern oft an einfachsten Basics. Der Hiscox Cyber Readiness Report 2025 zeigt: Wiederholte Angriffe wären häufig vermeidbar gewesen. Cybersecurity wird damit weniger zur Technik-, sondern zur Führungsfrage, mahnt Roman Potyka, Head of Product & Underwriting von Hiscox Deutschland.
Während viele Unternehmen Millionen in Sicherheitsarchitektur investieren, scheitern sie oft an profanen Versäumnissen: nicht eingespielte Patches, recycelte Passwörter oder vernachlässigte Backups. 67 Prozent der deutschen kleinen und mittleren Unternehmen wurden laut dem Hiscox Cyber Readiness Report 2025 innerhalb von zwölf Monaten mehrfach attackiert. Die bittere Wahrheit? Die meisten Angriffe hätten durch konsequente Grundlagendisziplin verhindert werden können.
Die Illusion der technologischen Überlegenheit
81 Prozent identifizieren ihre eigene IT-Infrastruktur als primäres Einfallstor – nicht, weil Systeme grundsätzlich unsicher sind, sondern inkonsistent verwaltet werden. Das Paradoxon: Während 52 Prozent in moderne Sicherheitssoftware investieren, fehlt häufig die organisatorische Reife, diese wirksam einzusetzen. KI-gestützte Frühwarnsysteme funktionieren nur bei konsequenter Anwendung und lückenloser Überwachung. Gute Sicherheitskonzepte scheitern in der Praxis oft an nachlässiger Ausführung.
Von Awareness zu Behavioral Security
75 Prozent intensivieren deswegen Schulungen – doch Awareness-Trainings greifen zu kurz. Die Antwort: Simulation, Gamification, kontextbezogene Micro-Learnings am Point of Risk. Verhaltensänderung erfordert systemisches Design, bei dem sichere Entscheidungen die einfachsten sind.
Zugangsmanagement als kritischer Faktor
Die „KI-Demokratisierung“ verschärft mangelhaftes Berechtigungsmanagement. 22 Prozent der Firmen sorgen sich um unbefugte Datenübernahme, 21 Prozent um kompromittierte KI-Modelle. Führende Unternehmen setzen nicht nur bei Dokumenten, sondern auch bei Künstlicher Intelligenz auf durchdachte Rollenkonzepte und mehrstufige Authentifizierung. Die eigentliche Herausforderung: Sicherheit muss vom lästigen Protokoll zum selbstverständlichen Arbeitsablauf werden.
Widerstandsfähigkeit: Vom Verhindern zum Verkraften
Es braucht aber nicht nur präventive Maßnahmen, sondern ein ganzheitliches Konzept: Denn 32 Prozent verloren bereits Zugriff auf verschlüsselte, 31 Prozent sogar auf unverschlüsselte Daten. Ransomware ist dabei ein zentraler Schadentreiber: 22 Prozent aller Schadenfälle sind Erpressungsversuche. Diese Zahlen belegen: Absolute Sicherheit ist unmöglich. Moderne Cyber-Strategie heißt: Mit Angriffen rechnen und Wiederherstellungsfähigkeit aufbauen – durch getrennte Datensicherung, unveränderbare Sicherheitskopien und regelmäßige Wiederherstellungstests. Entscheidend ist nicht ob, sondern wie schnell ein Unternehmen wieder arbeitsfähig wird.
Das Versicherungsparadoxon
Im Ernstfall können sich Unternehmen auf ihre Cyber-Versicherung verlassen. Hier gibt es allerdings großen Handlungsbedarf: Nur 40 Prozent verfügen über dezidierte Cyber-Versicherungen, 38 Prozent nur über teilweise Abdeckung von Cyber-Risiken im Rahmen anderer Policen – und 22 Prozent operieren völlig ohne Sicherheitsnetz. Unternehmen sollten sich die strategische Frage stellen: Wie stünden wir ohne Versicherungsschutz im Cyber-Angriffsfall da? Sofort verfügbare Assistance-Leistungen wie IT-Forensik und Krisenkommunikation können entscheidender sein als reine Schadensdeckung.
Fazit: Cybersicherheit als Teil des Business Modells
Gut gemacht, wird Cybersicherheit vom regulatorischen Muss zum strategischen Wettbewerbsvorteil. Wer operative Exzellenz in Security-Grundlagen demonstriert, signalisiert organisatorische Reife. Dafür muss sich die Investitionslogik wandeln: Weniger weitere Tools, mehr konsequente Operationalisierung. Automatisierung und Monitoring sind nicht optional, sondern essenziell für Unternehmen. Cybersicherheit ist Chefsache – nicht als Budget-Genehmigung, sondern als strategischer Imperativ.