87 Prozent aller Unternehmen in Deutschland wurden 2025 mit Sicherheit Opfer eines Cyberangriffs.
Nicht 87 Prozent der Großkonzerne. Aller Unternehmen. Und wer glaubt, der Mittelstand sei für Angreifer zu uninteressant, liegt falsch: 80 Prozent der ausgewerteten Ransomware-Angriffe richten sich gegen kleine und mittlere Unternehmen.
Das Wichtigste in Kürze
- 289 Milliarden Euro Gesamtschaden durch Angriffe auf die deutsche Wirtschaft im Jahr 2025. Der Cyberanteil daran: rund 202 Milliarden Euro.
- 80 Prozent aller Ransomware-Angriffe treffen KMU. Deutschland ist Spitzenreiter bei veröffentlichten Cyberangriffen in Europa.
- Die durchschnittlichen Kosten eines Cyberschadens bei KMU liegen bei rund 99.000 Euro, bei mehr als der Hälfte der Betroffenen war der Betrieb mindestens zwei Tage eingeschränkt.
- 77 Prozent der KMU halten sich für ausreichend geschützt. Mehr als zwei Drittel davon erfüllen nicht einmal die Basiskriterien für IT-Sicherheit.
Wie groß ist der Gesamtschaden durch Cyberangriffe?
Die Bitkom-Wirtschaftsschutz-Studie 2025 ist die umfassendste regelmäßige Erhebung zum Thema. Die Zahlen lassen keinen Zweifel:
| Jahr | Gesamtschaden | Cyberanteil | Betroffene Unternehmen |
| 2023 | 205,9 Mrd. Euro | ca. 148 Mrd. Euro | 72 % |
| 2024 | 266,6 Mrd. Euro | 178,6 Mrd. Euro | 81 % |
| 2025 | 289,2 Mrd. Euro | 202,4 Mrd. Euro | 87 % |
Die größte Einzelschadenposition ist der Ausfall oder die Schädigung von IT- und Produktionssystemen: 73,3 Milliarden Euro im Jahr 2025, ein Anstieg von rund 35 Prozent gegenüber dem Vorjahr. Rechtsstreitigkeiten verursachen weitere 53 Milliarden Euro, Ermittlungen und Ersatzmaßnahmen 37 Milliarden Euro.
82 Prozent der befragten Unternehmen erwarten für die nächsten zwölf Monate eine weitere Zunahme der Cyberangriffe.
Warum trifft es den Mittelstand besonders hart?
Wer annimmt, Angreifer konzentrierten sich auf große Konzerne mit lohnenden Daten, unterschätzt die Mechanik moderner Cyberkriminalität. Das BKA hat 950 ausgewertete Ransomware-Angriffe analysiert und festgestellt: 80 Prozent richten sich gegen kleine und mittlere Unternehmen.
Laut der Transferstelle Cybersicherheit im Mittelstand haben sich Hackerattacken auf deutsche Unternehmen, die auf Leakseiten veröffentlicht wurden, zwischen 2021 und 2024 mehr als vervierfacht. Deutschland liegt dabei vor Italien, Frankreich und Spanien.
Der Grund ist einfach: KMU werden meist nicht gezielt ausgesucht, sondern als Opfer großangelegter und mit KI automatisierter Angriffe getroffen. Das BSI beschreibt es so: Gerade kleinere Unternehmen verfügen häufig nicht über eigenes IT-Personal und haben daher Schwierigkeiten, die notwendigen IT-Sicherheitsaufgaben regelmäßig umzusetzen.
Der Cisco Cybersecurity Readiness Index 2025 (134 befragte KMU aus Deutschland) bestätigt das strukturelle Problem: Weniger als 2 Prozent der KMU verfügen über den bestmöglichen Schutzstatus.
83 Prozent leiden unter dem Fachkräftemangel in der IT-Security. Und 68 Prozent der befragten KMU setzen 11 bis 40 verschiedene Sicherheitslösungen ein – eine Komplexität, die die Transparenz senkt statt die Sicherheit zu erhöhen.
Welche Angriffsarten verursachen die größten Schäden?
Ransomware ist das größte Einzelrisiko. 34 Prozent aller befragten Unternehmen haben laut Bitkom 2025 in den letzten 12 Monaten einen Ransomware-Schaden erlitten. Von denen, die Lösegeld zahlten, überwiesen 15 Prozent einmalig mehr als 100.000 Euro. 4 Prozent zahlten sogar über eine Million Euro.
Die vollständige Schadenverteilung nach Angriffsart:
| Angriffsart | Anteil betroffener Unternehmen |
| Ransomware | 34 % |
| DDoS-Angriffe | 25 % |
| Malware/Schadsoftware | 24 % |
| Phishing | 22 % |
| Passwortangriffe | 21 % |
| SQL-Injection / Cross-Site-Scripting | 15 % |
| Spoofing | 15 % |
| Deepfakes | 4 % |
Das BSI beobachtet täglich 309.000 neue Malware-Varianten – ein Anstieg von 26 Prozent gegenüber dem Vorjahr. Der Grund für diese Dynamik ist die Professionalisierung der kriminellen Infrastruktur: Ransomware-as-a-Service ermöglicht es Kriminellen ohne eigene IT-Kenntnisse, Angriffe durchzuführen. Access Broker handeln mit gestohlenen Zugangsdaten. Die Schwelle für einen Angriff ist für Täter so niedrig wie nie.
Was kostet ein Cyberangriff ein mittelständisches Unternehmen?
Die HDI Cyberstudie 2024 hat die durchschnittlichen Kosten eines Cyberschadens bei KMU beziffert: rund 99.000 Euro, ein Anstieg von 47 Prozent gegenüber dem Vorjahr. Zum Vergleich: 2022 lag der Durchschnittswert noch bei 95.000 Euro, 2023 laut GDV bei 45.370 Euro. Der Trend ist eindeutig.
Bei einem Ransomware-Vorfall setzt sich der Schaden typischerweise so zusammen:
- IT-Forensik: 30.000 bis 80.000 Euro
- Betriebsunterbrechung: variabel, oft der größte Posten
- Rechtsberatung: 15.000 bis 40.000 Euro
- Krisenkommunikation: 10.000 bis 30.000 Euro
Die Betriebsunterbrechung ist dabei besonders schädlich: Bei mehr als der Hälfte der betroffenen Unternehmen war der Betrieb mindestens zwei Tage eingeschränkt, bei rund 15 Prozent sogar vier bis sieben Tage. Laut Deloitte dauert es in 53 Prozent der Fälle zwischen einem und sieben Tagen, bis ein Angriff überhaupt erkannt wird – ein Zeitfenster, in dem Angreifer unkontrolliert weitermachen.
Wie gefährlich ist Phishing für Geschäftsführende?
Phishing ist das Einstiegstor Nummer eins: Laut GDV-Forsa-Umfrage 2025 starten 68 Prozent aller erfolgreichen Cyberangriffe mit einer Phishing-Mail oder einer E-Mail mit Schadsoftware.
Das CYBERsicher Lagebild 2025 zeigt, wen es am härtesten trifft: Geschäftsführende müssen durchschnittlich 57 gezielte Phishing-Angriffe pro Jahr abwehren. IT-Verantwortliche bekommen immerhin noch 40 solcher Angriffe ab. Jede sechste Person in Deutschland hat einen Phishing-Angriff nicht als solchen erkannt. Mehr als jeder zehnte Betroffene änderte anschließend nicht einmal die kompromittierten Zugangsdaten.
Der Qualitätssprung durch KI macht die Lage schärfer: Laut CYBERsicher Lagebild 2025 sind KI-generierte Phishing-Mails so professionell, dass mehr als die Hälfte der Empfänger sie nicht als Phishing erkennt. Bitkom 2025 bestätigt: 66 Prozent der Unternehmen haben den Eindruck, dass bei Angriffen verstärkt Künstliche Intelligenz eingesetzt wird. Deepfake-Angriffe stiegen in Deutschland im ersten Quartal 2025 gegenüber dem Vorjahr um 1.100 Prozent.
Was wissen Angreifer nach einem erfolgreichen Angriff?
Wer ein Unternehmen kompromittiert, bekommt nicht nur Systeme. Er bekommt Daten. Die Bitkom-Studie 2025 zeigt, welche Kategorien Angreifer bei einem Datendiebstahl erbeuten:
| Datenkategorie | Betroffen |
| Kommunikationsdaten (E-Mails, Messenger) | 69 % |
| Kundendaten | 57 % |
| Finanzdaten | 39 % |
| Zugangsdaten / Passwörter | 35 % |
| Geistiges Eigentum (Patente, F&E) | 29 % |
| Mitarbeiterdaten | 24 % |
72 Prozent der erfassten Ransomware-Fälle gehen laut BSI mit einer Double Extortion einher: Die Angreifer verschlüsseln nicht nur die Daten, sondern drohen zusätzlich mit deren Veröffentlichung. Wer kein Lösegeld zahlt, riskiert, dass seine Kundendaten, Finanzdaten oder Geschäftsgeheimnisse öffentlich zugänglich werden.
Wo liegt die gefährliche Lücke bei KMU?
Hier liegt das eigentliche Kernproblem: Die GDV-Forsa-Umfrage 2025 hat 300 mittelständische Entscheider befragt und eine alarmierende Diskrepanz aufgedeckt.
77 Prozent der Befragten halten sich für ausreichend gegen Cyberangriffe gewappnet. Tatsächlich erfüllen mehr als zwei Drittel von ihnen nicht einmal alle Basiskriterien für IT-Sicherheit: keine starken Passwörter, keine regelmäßigen Updates, keine korrekte Datensicherung.
52 Prozent der Unternehmen schätzen ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist – so der GDV-Hauptgeschäftsführer Jörg Asmussen. 64 Prozent verzichten auf Schulungen zur Sensibilisierung der Belegschaft, obwohl 68 Prozent aller erfolgreichen Angriffe genau dort beginnen. 48 Prozent, also jedes zweite KMU, haben keinerlei Notfallplan für den Ernstfall.
Die HDI Cyberstudie 2024 hat dazu ein psychologisches Phänomen dokumentiert: das sogenannte Cyber-Vergessen. Unternehmen, die Opfer eines Angriffs wurden, verdrängen das Risiko schnell wieder. 57 Prozent der Betroffenen stufen das Risiko direkt nach dem Angriff als hoch ein. Drei Jahre später halbiert sich dieser Wert auf 27 Prozent.
Was schreibt NIS2 vor?
Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Es erfasst Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz in 18 kritischen und wichtigen Sektoren – Energie, IT, Gesundheit, Transport, Finanzen und weitere. In Deutschland sind schätzungsweise über 30.000 Unternehmen betroffen.
Das Gesetz schreibt zehn Pflichtmaßnahmen als Mindeststandard vor, darunter Multi-Faktor-Authentifizierung, Risikoanalyse, Incident Management, Lieferkettensicherheit und Netzwerk-Monitoring. Schwerwiegende Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden.
Die persönliche Haftung der Geschäftsleitung ist dabei ein besonderes Merkmal: § 38 BSIG legt fest, dass die Geschäftsführung die Umsetzung der Cybersicherheitsmaßnahmen persönlich zu verantworten hat. Diese Pflichten sind nicht delegierbar.
Wie viele KMU haben eine Cyberversicherung?
Trotz wachsender Bedrohung und steigender Schadenkosten ist die Versicherungsquote im Mittelstand erschreckend gering. Laut Gothaer KMU-Studie 2024 haben nur 25 Prozent der KMU eine Cyberversicherung, zum Vergleich sind es bei großen Unternehmen über 70 Prozent.
Der GDV-Markt wächst: 2023 wurden rund 261.000 Cyberversicherungsverträge gezählt, mit Prämieneinnahmen von 309 Millionen Euro. Die Schadenleistungen lagen bei 180 Millionen Euro, die durchschnittliche Schadensumme je Fall bei 45.370 Euro.
Die typischen Prämienspannen für mittelständische Unternehmen:
| Unternehmensgröße | Jahresprämie | Deckungssumme |
| 50 bis 250 Mitarbeitende, 5 bis 50 Mio. Euro Umsatz | 5.000 bis 25.000 Euro | 1 bis 5 Mio. Euro |
| 250+ Mitarbeitende, 50+ Mio. Euro Umsatz | 25.000 bis 100.000 Euro | individuell |
Ein einziger Ransomware-Angriff kostet ein mittelständisches Unternehmen im Schnitt zwischen 250.000 und 2.000.000 Euro. Eine Police für 10.000 Euro im Jahr rechnet sich schon beim ersten verhinderten Ernstfall.
Was sollten Unternehmen jetzt tun?
Die wichtigsten Maßnahmen lassen sich in zwei Kategorien einteilen: sofort umsetzbare Schritte und mittelfristige Strukturmaßnahmen.
Sofort umzusetzen:
- Multi-Faktor-Authentifizierung für alle kritischen Systeme einführen – das ist gleichzeitig NIS2-Pflicht
- Datensicherungen nach der 3-2-1-Regel einrichten und deren Wiederherstellbarkeit regelmäßig testen
- Software-Updates und Patch-Management systematisieren, da Zero-Day-Schwachstellen gezielt ausgenutzt werden
- Phishing-Awareness-Schulungen einführen, prioritär für Führungskräfte
Mittelfristig aufzubauen:
- Einen Incident Response Plan entwickeln und erproben – aktuell haben 48 Prozent der KMU keinen
- NIS2-Compliance prüfen lassen, falls das Unternehmen in einem der 18 Sektoren tätig ist
- Lieferketten-Risikomanagement aufbauen: Sicherheitsanforderungen in Lieferantenverträge aufnehmen und Zugriffsrechte für externe Dienstleister begrenzen
- Cyberversicherung als ergänzendes Sicherheitsnetz prüfen
Für Unternehmen, die nicht wissen, wo sie anfangen sollen: Die Transferstelle Cybersicherheit im Mittelstand bietet kostenlose Notfallhilfe, Selbstchecks und Webinare unter transferstelle-cybersicherheit.de.
geschrieben mit Lukas Koch von APTARE GmbH
