Erschreckende Zahlen aus einer globalen Studie: 71 Prozent der kleinen und mittleren Unternehmen glauben, auf Cyberangriffe vorbereitet zu sein. Doch die Realität sieht anders aus – nur 22 Prozent verfügen tatsächlich über eine fortschrittliche Cybersicherheitslage. Eine gefährliche Selbstüberschätzung mit weitreichenden Folgen.
Die Digitalisierung schreitet voran, Cyberangriffe werden raffinierter und kleine und mittlere Unternehmen stehen vor enormen Herausforderungen bei der IT-Sicherheit. Eine neue globale Studie des kanadischen Technologieunternehmens Devolutions bringt eine beunruhigende Diskrepanz ans Licht: Während sich die überwiegende Mehrheit der KMU sicher fühlt, klafft eine massive Lücke zwischen gefühlter und tatsächlicher Cybersicherheit.
Die Ergebnisse der von Devolutions durchgeführten Studie „The state of IT security in SMBs 2024/2025“ („IT-Sicherheitslage in KMU im Jahr 2024/2025“) sind alarmierend. 445 Fach- und Führungskräfte aus IT-, Sicherheits- und Unternehmensleitung in 140 Ländern wurden zwischen Februar und April 2025 befragt. Das Ergebnis: Eine gefährliche Selbstüberschätzung prägt die Sicherheitswahrnehmung in der Wirtschaft.
| Sicherheitsvertrauen vs. Realität | Anteil der KMU |
| Glauben, auf Cyberangriffe vorbereitet zu sein | 71% |
| Verfügen über fortschrittliche Cybersicherheitslage | 22% |
| Waren im letzten Jahr von Cyberangriffen betroffen | 43% |
| Konnten Vorfälle in ersten Minuten erkennen | 31% |
Besonders bemerkenswert: Je weiter sich eine Position von der IT-Spezialisierung weg und hin zu Managementaufgaben bewegt, desto größer wird das Vertrauen in die eigene Sicherheitslage. Eine Fehleinschätzung, die laut BSI besonders problematisch ist, da KMU meist nicht gezielt angegriffen werden, sondern Opfer großflächiger automatisierter Attacken sind.
„Das gefühlte Sicherheitsniveau klafft manchmal mit dem tatsächlichen Sicherheitsniveau auseinander. Unsere Studie macht deutlich, wie groß die Diskrepanz zwischen dem Eindruck einer soliden Sicherheitslage und der Realität sein kann.“
David Hervieux, Präsident und Gründer von Devolutions
Im Vergleich zum Vorjahr sank das Vertrauen um 9 Prozent, während sich 8 Prozent weniger Unternehmen als gut gerüstet einschätzen. Dies deutet auf ein wachsendes Risikobewusstsein hin – paradoxerweise verbunden mit weniger Sicherheit beim Krisenmanagement.
Ein besonders kritischer Befund der Studie zur Cybersicherheit bei KMU betrifft die Verwaltung privilegierter Zugriffe. Obwohl diese als wichtige Säule jeder Cybersicherheitsstrategie gilt, setzen 52 Prozent der kleinen und mittleren Unternehmen noch immer auf veraltete manuelle Methoden wie Excel-Listen oder einfache Dateien.
Diese Praktiken sind besonders problematisch, da Ransomware und Intrusion-Programme gezielt auf solche Schwachstellen abzielen. Überraschenderweise hat der Anteil manueller Verwaltungspraktiken seit 2024 sogar um 7 Prozent zugenommen – ein Rückschritt, der hauptsächlich auf Vorbehalte gegenüber automatisierten Systemen zurückzuführen ist.
| Verwaltung privilegierter Zugriffe | Anteil der KMU |
| Manuelle Tools (Excel, Dateien) | 52% |
| Automatisierte, sichere Systeme | 48% |
| Zunahme manueller Praktiken seit 2024 | +7% |
Die fortgesetzte Nutzung manueller Verwaltungsmethoden erhöht das Risiko größerer, vermeidbarer Zwischenfälle erheblich. Cyberkriminelle nutzen diese Schwachstellen systematisch aus, da privilegierte Zugriffe den direkten Weg zu kritischen Unternehmensdaten und -systemen darstellen. Eine moderne Automatisierung dieser Prozesse ist daher unerlässlich.
Der Einsatz von Künstlicher Intelligenz für die Cybersicherheit in KMU zeigt ein ambivalentes Bild. Während 71 Prozent der Unternehmen planen, KI zur Bedrohungserkennung und für ungewöhnliches Verhalten einzusetzen, verzichten aktuell noch 40 Prozent vollständig auf diese Technologie.
| KI-Einsatz für IT-Sicherheit | Anteil der KMU |
| Planen KI-Einsatz zur Bedrohungserkennung | 71% |
| Glauben an entscheidende Rolle von KI in 5 Jahren | 62% |
| Verzichten aktuell vollständig auf KI | 40% |
Trotz des großen Interesses bestehen erhebliche Hürden beim KI-Einsatz:
62 Prozent der Befragten sind jedoch überzeugt, dass KI innerhalb der nächsten fünf Jahre eine entscheidende Rolle in der Cybersicherheit spielen wird. Diese Entwicklung ist nicht aufzuhalten und wird die Geschäftsdynamik grundlegend verändern.
Ein paradoxer Befund der Studie zur IT-Sicherheit bei KMU betrifft die Budgetentwicklung. 63 Prozent der kleinen und mittleren Unternehmen haben 2025 ihre Cybersicherheitsbudgets erhöht. Dennoch berichten 55 Prozent der IT- und Sicherheitsteams von schlecht verteilten Budgetzuweisungen und Implementierungsverzögerungen.
| IT-Sicherheitsbudgets | Anteil der KMU |
| Haben Budget 2025 erhöht | 63% |
| Wenden weniger als 5% des Gesamtbudgets auf | 29% |
| Investieren mehr als 20% in Cybersicherheit | 5% |
| Kennen ihren Budgetanteil nicht | 25% |
| Berichten von schlechter Budgetverteilung | 55% |
Trotz erhöhter Investitionen stagniert oder verlangsamt sich der allgemeine Fortschritt bei der Cybersicherheit. Dieses Paradoxon entsteht durch:
Bemerkenswert ist auch, dass ein Viertel der Unternehmen nicht einmal weiß, welchen Anteil ihres Budgets sie für Cybersicherheit aufwenden – ein Indiz für mangelnde strategische Planung in diesem kritischen Bereich.
Ein oft übersehener Aspekt der Cybersicherheit sind interne Bedrohungen. Die Devolutions-Studie zeigt eine besorgniserregende Diskrepanz: 78 Prozent der KMU sind über Insider-Bedrohungen besorgt, aber nur 20 Prozent wissen, wie sie diesen Risiken entgegenwirken können.
| Interne Bedrohungen | Anteil der KMU |
| Sind über interne Bedrohungen besorgt | 78% |
| Wissen, wie sie dagegen vorgehen können | 20% |
| Sind unvorbereitet oder schätzen Risiko gering ein | 28% |
| Besorgnis ist seit 2024 gestiegen um | +45% |
| Strategieentwicklung ist gestiegen um | +5% |
Insider-Angriffe sind besonders tückisch, da sie traditionelle Sicherheitsvorkehrungen leichter umgehen können. Mitarbeiter haben naturgemäß Zugang zu Systemen und Daten, was externe Angreifer erst erlangen müssen. Das BSI betont in seiner aktuellen Broschüre zur Cybersicherheit für KMU die Wichtigkeit, auch interne Risiken systematisch zu bewerten.
Besonders alarmierend: Obwohl die Besorgnis über interne Bedrohungen um 45 Prozent gestiegen ist, hat sich die Zahl der Unternehmen mit entsprechenden Schutzstrategien nur um 5 Prozent erhöht. Eine massive Lücke zwischen Risikobewusstsein und tatsächlichen Schutzmaßnahmen.
Die menschliche Komponente bleibt ein kritischer Faktor in der Cybersicherheit KMU. Die Studie zeigt, dass nur 39 Prozent der Unternehmen fortlaufende Schulungen anbieten, während 32 Prozent zumindest Sensibilisierungsschulungen vorschreiben. Beunruhigend: 17 Prozent verfügen über keinerlei Mitarbeiterschulungen für Cybersicherheit.
| Mitarbeiterschulungen IT-Sicherheit | Anteil der KMU |
| Bieten fortlaufende Schulungen an | 39% |
| Schreiben Sensibilisierungsschulungen vor | 32% |
| Verfügen über keine Mitarbeiterschulungen | 17% |
| Rückgang der Schulungsangebote seit 2024 | -2% |
Die Relevanz von Cybersicherheitsschulungen wird durch eine ernüchternde Tatsache unterstrichen: Die meisten Sicherheitsverletzungen sind das Ergebnis menschlichen Versagens. Von erfolgreichen Phishing-Versuchen bis hin zur Fehlkonfiguration von Systemen – der Mensch bleibt die schwächste Stelle in der Sicherheitskette.
Paradoxerweise ist die Zahl der KMU, die Cybersicherheitsschulungen anbieten, im Vergleich zu 2024 sogar um 2 Prozent gesunken. Dies steht im Widerspruch zur steigenden Bedrohungslage und zeigt, dass viele Unternehmen den Wert präventiver Bildungsmaßnahmen noch nicht erkannt haben.
Die IT-Sicherheitsproblematik bei kleinen und mittleren Unternehmen betrifft verschiedene Branchen unterschiedlich stark. Die Devolutions-Studie untersuchte Unternehmen aus den Bereichen Finanzen, Verkehr, Gesundheit, Bildung, Handel und Industrie. Besonders exponiert sind dabei:
Regional zeigt sich Deutschland als zweitgrößter Markt für Devolutions nach den USA, was die besondere Relevanz der Studienergebnisse für den deutschen Mittelstand unterstreicht. Der BSI-Lagebericht 2024 bestätigt das hohe Cyberrisiko für deutsche KMU und betont die Notwendigkeit verstärkter Schutzmaßnahmen.
Basierend auf den Studienergebnissen lassen sich konkrete Handlungsempfehlungen für kleine und mittlere Unternehmen ableiten:
Die Devolutions-Studie zeigt einen klaren Trend auf: Kleine und mittlere Unternehmen nehmen Cybersicherheit ernst, haben aber Schwierigkeiten bei der Umsetzung aller notwendigen Schutzmaßnahmen. 43 Prozent der KMU waren im vergangenen Jahr von mindestens einem Cyberangriff betroffen, aber nur 31 Prozent konnten Vorfälle in den ersten kritischen Minuten erkennen.
Die verstärkte Cybersicherheit macht Fortschritte, allerdings nicht schnell genug angesichts der sich beschleunigenden Bedrohungsentwicklung. Das größte Risiko besteht darin, nicht zu handeln. Die Mehrheit der befragten Unternehmen ist jedoch auf dem richtigen Weg – ein hoffnungsvoller Aspekt in einer ansonsten besorgniserregenden Sicherheitslage.
Die Diskrepanz zwischen gefühlter und tatsächlicher Sicherheit muss dringend geschlossen werden. Nur durch realistische Einschätzungen, angemessene Investitionen und kontinuierliche Verbesserungen können KMU ihre Cyberresilienz nachhaltig stärken. Die Zeit zum Handeln ist jetzt – bevor die nächste Angriffswelle eine noch größere Schadensbilanz hinterlässt.
Unternehmen, die heute in umfassende IT-Sicherheitsmaßnahmen investieren, positionieren sich nicht nur defensiv gegen Bedrohungen, sondern schaffen auch die Grundlage für eine sichere digitale Transformation. In einer zunehmend vernetzten Wirtschaft wird Cybersicherheit zu einem entscheidenden Wettbewerbsvorteil – und zur Überlebensfrage für den deutschen Mittelstand.
