Cyberangriffe gehören für deutsche Mittelständler inzwischen zum Tagesgeschäft. Sechs von zehn kleinen und mittelständischen Unternehmen stufen Cyberschäden als relevantes Risiko ein. Zwar sinken die durchschnittlichen Schäden, die Bedrohung bleibt jedoch hoch. Das gilt insbesondere für kleinere Unternehmen.
Cyberkriminalität ist für kleine und mittelständische Unternehmen längst keine Ausnahme mehr, sondern Teil des unternehmerischen Alltags. Das zeigt die aktuelle Cyberstudie 2026 der HDI Versicherung, für die rund 1.100 Entscheider aus IT- und Versicherungsfragen sowie Selbstständige und Freiberufler befragt wurden. Demnach betrachten 60 Prozent der Unternehmen Cyberschäden mittlerweile als relevantes Geschäftsrisiko. Fast jedes dritte Unternehmen (31 Prozent) hält es zudem für wahrscheinlich, innerhalb der kommenden zwei Jahre Ziel einer Cyberattacke zu werden. Tatsächlich haben bereits 35 Prozent der befragten Unternehmen in den vergangenen fünf Jahren mindestens einen Cyberangriff erlebt.
Trotz der anhaltend hohen Bedrohungslage gibt es eine positive Entwicklung: Die durchschnittliche Schadenhöhe erfolgreicher Cyberangriffe ist deutlich gesunken. Während Unternehmen in den vergangenen Jahren durchschnittlich Schäden von mindestens 68.000 Euro verkraften mussten, lag der Wert 2026 bei rund 25.000 Euro. „Die deutlich gesunkene Schadenhöhe kann bedeuten, dass viele Unternehmen inzwischen routinierter mit der Bedrohung umgehen, präventive Maßnahmen greifen und Angriffe schneller eingegrenzt werden“, sagt Peter Bertram, Leiter Produktmanagement und Underwriting Cyber bei der HDI Versicherung.
Als Entwarnung dürften die Zahlen dennoch nicht gesehen werden: „Neue Gefahr droht allerdings, wenn aus Routine Nachlässigkeit wird und der Fokus auf die Cybersicherheit nachlässt“, so Bertram. Denn die wirtschaftlichen Folgen eines schweren Cybervorfalls können gerade kleinere Unternehmen an ihre Grenzen bringen. Jedes dritte Unternehmen sieht seine wirtschaftliche Existenz bei einem größeren Cyberschaden gefährdet. Besonders gefährdet sind kleinere Unternehmen mit Jahresumsätzen zwischen 2,5 und 10 Millionen Euro. Sie verfügen häufig nicht über die finanziellen Reserven, um längere Betriebsunterbrechungen oder hohe Wiederherstellungskosten aufzufangen.
Die gute Nachricht: Präventionsmaßnahmen wirken. Unternehmen, die technische und organisatorische Sicherheitsmaßnahmen umgesetzt haben, verzeichnen deutlich niedrigere Schäden. 87 Prozent der Unternehmen setzen inzwischen auf technische Schutzmaßnahmen wie Firewalls oder automatische Datensicherungen. 71 Prozent schulen ihre Mitarbeiter regelmäßig zu IT-Sicherheitsthemen und 69 Prozent haben verbindliche IT-Richtlinien oder Sicherheitsstrategien etabliert. Dadurch fällt die durchschnittliche Schadenhöhe bei Unternehmen mit entsprechenden Präventionsmaßnahmen um rund ein Drittel geringer aus als bei Unternehmen ohne vergleichbare Vorkehrungen.
Immer mehr Unternehmen setzen zudem auf Cloud-Lösungen. Bereits 54 Prozent der Befragten nutzen ihre IT-Infrastruktur zumindest teilweise über Cloud-Dienste. Für viele Unternehmen spielt dabei die Sicherheit eine zentrale Rolle: 49 Prozent nennen die erhöhte IT-Sicherheit als einen der wichtigsten Gründe für die Nutzung von Cloud-Angeboten. Hinzu kommen Vorteile bei Flexibilität, Mobilität und geringeren Investitionen in eigene Hardware.
Allerdings zeigen die Ergebnisse auch die Kehrseite der Entwicklung. Unternehmen mit Cloud-Nutzung berichten deutlich häufiger von Betriebsunterbrechungen nach Cybervorfällen als Unternehmen ohne Cloud-Lösungen. Während 31 Prozent der Cloud-Nutzer bereits entsprechende Ausfälle erlebt haben, waren es bei Unternehmen ohne Cloud lediglich 14 Prozent. Die Ursache liegt nach Einschätzung vieler Experten weniger in der Technologie selbst als vielmehr in einer falschen Sicherheitswahrnehmung und unzureichenden Schutzmaßnahmen.
Trotz aller technischen Entwicklungen bleibt der Mensch der wichtigste Angriffspunkt für Cyberkriminelle. Phishing-Mails sind weiterhin die mit Abstand häufigste Angriffsmethode. 64 Prozent der attackierten Unternehmen berichteten von entsprechenden Angriffen. Dahinter folgen E-Mails mit Schadsoftware (47 Prozent) und versehentlich heruntergeladene Schadsoftware aus dem Internet (30 Prozent).
Zunehmend nutzen Kriminelle dabei auch Künstliche Intelligenz. Besonders sogenannte Deepfakes und KI-gestützter CEO-Fraud rücken in den Fokus der Unternehmen. Bereits sieben Prozent der Befragten waren nach eigenen Angaben von CEO-Fraud oder Zahlungsbetrug betroffen. 27 Prozent sehen diese Angriffsform inzwischen als relevantes Risiko an. Deepfake-Angriffe haben bislang vier Prozent der Unternehmen erlebt, fast jedes vierte Unternehmen betrachtet sie jedoch bereits als ernsthafte Bedrohung. „CEO-Fraud oder Deepfake-basierte Täuschungen werden im Jahr 2026 von einem relevanten Anteil der Unternehmen als ernsthafte Risiken wahrgenommen“, erklärt Bertram.
Trotz dieser Risiken blickt die Mehrheit der Unternehmen optimistisch auf den Einsatz von KI. 55 Prozent sehen darin vor allem Chancen, während lediglich 21 Prozent die Technologie überwiegend als Risiko einstufen. Viele Unternehmen erwarten von KI bessere Analyse- und Erkennungsmechanismen sowie eine effektivere Abwehr von Angriffen. 26 Prozent der Befragten gehen davon aus, dass KI ihre Cyber-Resilienz stärkt. Nur elf Prozent erwarten eine Verschlechterung der Sicherheitslage. Auffällig ist dabei ein Größenunterschied: Während größere Unternehmen die Potenziale der Technologie überwiegend positiv bewerten, zeigen sich kleinere Betriebe deutlich skeptischer.