Cyberangriffe gehören heute zu den größten Bedrohungen für Unternehmen jeder Größe. Die Frage ist nicht mehr, ob ein Angriff erfolgt, sondern wann. Eine Cyberversicherung schützt vor den finanziellen Folgen solcher Attacken – doch viele Unternehmer wissen nicht genau, welche Schäden tatsächlich abgedeckt sind.
Die Zahlen sprechen eine deutliche Sprache: 87 Prozent der deutschen Unternehmen waren 2025 Opfer von Cyberangriffen. Der durchschnittliche Schaden liegt bei kleinen und mittelständischen Unternehmen bei 95.000 Euro, bei Freiberuflern sogar bei 120.000 Euro. Eine einzige Ransomware-Attacke kann ein Unternehmen für Tage oder Wochen lahmlegen und Kosten von über einer Million Euro verursachen.
Während klassische Betriebshaftpflicht- oder Sachversicherungen bei digitalen Schäden meist nicht greifen, springt die Cyberversicherung ein. Sie deckt nicht nur die direkten Kosten für IT-Wiederherstellung und Datenrettung, sondern übernimmt auch Haftungsansprüche Dritter, Betriebsunterbrechungen und sogar Bußgelder bei Datenschutzverstößen.
Was ist eine Cyberversicherung?
Eine Cyberversicherung ist eine spezialisierte Versicherungsform für digitale Risiken der modernen Geschäftswelt, die Unternehmen vor den finanziellen Folgen von Cyberangriffen, Datenschutzverletzungen und IT-Ausfällen schützt. Sie kombiniert Eigenschadendeckung und Haftpflichtschutz und schließt damit eine kritische Lücke im klassischen Versicherungsschutz, da herkömmliche Versicherungen Cyberschäden in der Regel nicht oder nur unzureichend abdecken.
Die Cyberversicherung ist versicherungsrechtlich als Vermögensschadenversicherung eingestuft und deckt sowohl Eigen- als auch Drittschäden ab, die durch externe Angriffe aus dem Internet oder fahrlässigen Datenverlust verursacht wurden.
Diese drei Leistungsbereiche bietet eine Cyberversicherung
Die wesentlichen Leistungen gliedern sich in drei Bereiche. Die Eigenschadendeckung umfasst direkte Kosten wie IT-Wiederherstellung, Datenrettung, Betriebsunterbrechung, IT-Forensik, Krisenkommunikation und Hardwarekosten.
Die Cyber-Haftpflicht schützt vor Haftpflichtansprüchen Dritter durch Datenschutzverletzungen, DSGVO-Verstöße und Vertragsstrafen. Assistance-Leistungen bieten eine 24/7-Krisenhotline, IT-Experten, Datenschutzanwälte, PR-Spezialisten und psychologische Beratung.
Die Cyberversicherung ist heute für nahezu jedes digital agierende Unternehmen relevant, besonders für kleine und mittelständische Unternehmen (KMU), die oft im Visier von Cyberkriminellen stehen, da sie weniger in IT-Sicherheit investieren.
IT-Dienstleister und Softwareentwickler sind besonders exponiert durch direkten Zugriff auf Kundensysteme. Das Gesundheitswesen verarbeitet hochsensible Patientendaten, während Finanzdienstleister, Einzelhandel und E-Commerce umfangreiche Kundendaten und Zahlungsinformationen speichern.
Welche Schäden deckt eine Cyberversicherung ab?
Eine Cyberversicherung deckt eine breite Palette von Schäden ab, die durch Cyberangriffe, Datenverluste und IT-Sicherheitsvorfälle entstehen. Der Deckungsumfang ist jedoch stark vom gewählten Versicherer und der individuellen Policengestaltung abhängig.
Erste-Partei-Schäden: Diese Eigenschäden werden erstattet
Die Cyberversicherung erstattet direkte Kosten, die durch einen Sicherheitsvorfall entstehen:
- IT-Wiederherstellung und Datenrettung: Die Kosten für die Wiederherstellung von Daten, Programmen und Systemen werden übernommen. Nach einem Ransomware-Angriff kann die professionelle Wiederherstellung von Dateibeständen mehrere Zehntausend Euro kosten. Die Versicherung zahlt auch für die Beschaffung von Ersatzsystemen, wenn die originalen Systeme kompromittiert sind.
- Betriebsunterbrechung: Die Entschädigung für Einnahmeausfälle durch Systemausfälle gehört zu den am häufigsten gedeckten Leistungen. Wenn deine Produktion stillsteht, dein Onlineshop offline ist oder Kunden nicht bedient werden können, ersetzt die Versicherung die entgangenen Einnahmen. Bei mittelständischen Unternehmen können Betriebsunterbrechungen schnell einen sechsstelligen Schaden verursachen.
- IT-Forensik: Die Kosten für die Analyse durch Sachverständige zur Feststellung von Schadenursache und -ausmaß werden erstattet. IT-Forensiker ermitteln, wie die Angreifer eingedrungen sind, welche Systeme betroffen sind und ob noch Backdoors existieren. Diese Analysen kosten oft zwischen 10.000 und 50.000 Euro.
- Krisenkommunikation und PR: Ausgaben für Kommunikation im Krisenfall sowie Beratung zur Rufschadenbekämpfung werden übernommen. Nach einem Datenleck musst du möglicherweise eine Pressemitteilung herausgeben, Kunden informieren und deinen Ruf wiederherstellen. PR-Agenturen und Krisenkommunikationsexperten sind teuer, aber unverzichtbar.
- Benachrichtigungspflichten: Die Kosten für die Benachrichtigung von Betroffenen einer Datenschutzverletzung trägt die Versicherung. Nach der DSGVO musst du binnen 72 Stunden alle betroffenen Personen informieren. Bei tausenden Kunden summieren sich Brief- und Portokosten schnell auf mehrere Tausend Euro.
- Rechtsberatung: Die Erstattung anwaltlicher Beratung bezüglich Datenschutzpflichten und Informationspflichten ist gedeckt. Datenschutzanwälte helfen dir, die richtigen Schritte einzuleiten und teure Fehler zu vermeiden.
- Hardwarekosten: Die Reparatur oder Wiederbeschaffung von Computern und Peripheriegeräten nach Cyberangriffen wird bezahlt. Wenn Hacker deine Server kompromittiert haben, müssen diese oft komplett ausgetauscht werden.
Zweite-Partei-Schäden: Diese Haftungsrisiken sind abgedeckt
Diese Komponente deckt Haftungsrisiken gegenüber Dritten ab:
- Datenschutzverletzungen: Die Haftung aus Verstößen gegen Datenschutz- und Geheimhaltungspflichten wird übernommen. Wenn Kundendaten gestohlen werden und Kunden dadurch Schäden erleiden, haften Unternehmen dafür. Die Versicherung übernimmt diese Schadensersatzforderungen.
- Haftungsansprüche: Die Entschädigung für Verbraucherklagen nach Datenlecks kann existenzbedrohend sein. Nach größeren Datenlecks folgen oft Sammelklagen von betroffenen Kunden. Diese Prozesse kosten nicht nur Anwaltsgebühren, sondern können zu hohen Schadensersatzzahlungen führen.
- Bußgelder und Vertragsstrafen: In vielen Fällen gibt es eine begrenzte Abdeckung regulatorischer Anforderungen. Die Datenschutzbehörden können bei DSGVO-Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Nicht alle Versicherer decken diese Bußgelder vollständig ab, aber viele übernehmen zumindest einen Teil.
Diese besonderen Gefahren sind über eine Cyberversicherung versichert
Auch technische und menschliche Fehler sind versichert:
- DoS- und DDoS-Attacken: Distributed Denial-of-Service-Angriffe, bei denen deine Website oder Server durch massenhaften Traffic lahmgelegt werden
- Ransomware und Malware: Infektion mit Schadprogrammen und Cybererpressung, einschließlich der Kosten für Lösegeldzahlungen
- Cyber-Betrug: Betrügerische Angriffe und Finanzdelikte, etwa wenn Hacker sich als Chef ausgeben und Überweisungen anordnen
- Bedienungsfehler: Technische Fehler und menschliche Versäumnisse bei IT-Sicherheit, etwa wenn ein Mitarbeiter versehentlich sensible Daten löscht
- Cloud-Ausfälle: Systemausfälle durch Cloud-Service-Unterbrechungen
- Business Email Compromise (BEC): Betrügerische E-Mails und Social-Engineering-Attacken, bei denen Mitarbeiter durch gefälschte E-Mails zu Überweisungen verleitet werden
Zusätzlichen Serviceleistungen von Versicherer
Moderne Cyberversicherungen bieten über die reine Schadensersatzleistung hinaus praktische Unterstützung:
Psychologische Beratung wird oft viermal pro Jahr mit begrenzter Kostenerstattung angeboten. Anwaltliche Erstberatung gibt es regelhaft kostenlos zum Krisenfall. Ransomware-Verhandlung und -Zahlung übernehmen viele Versicherer mit Limits. Credit Monitoring und Identitätsschutz bieten Überwachung und Schutzmaßnahmen nach Datendiebstahl. Eine Kundenbenachrichtigungszentrale ermöglicht den Aufbau von Hotlines für betroffene Kunden.
Welche Schäden sind von einer Cyberversicherung ausgeschlossen?
Wichtig ist zu verstehen, welche Schäden nicht versichert sind:
- Vorsätzliche Handlungen: Bewusst verursachte Schäden durch das Unternehmen oder Mitarbeiter werden nicht gedeckt. Wenn du oder deine Mitarbeiter absichtlich Daten löschen oder Systeme sabotieren, zahlt die Versicherung nicht.
- Fahrlässigkeit: Nicht gepflegte oder veraltete Systeme trotz bekannter Sicherheitshinweise sind ausgeschlossen. Wenn du Software jahrelang nicht aktualisiert hast, obwohl kritische Sicherheitslücken bekannt waren, kann die Versicherung die Zahlung verweigern.
- Krieg und Terrorismus: Staatlich verursachte oder terroristische Cyberangriffe werden meist nicht abgedeckt. Die Definition ist jedoch umstritten, da viele Ransomware-Gruppen aus Ländern operieren, die im Konflikt mit dem Westen stehen.
- Bußgelder und Strafzahlungen: Diese sind typischerweise nicht vollständig abgedeckt, da Versicherer argumentieren, dass Strafen persönlich getragen werden müssen.
- Personen- und Sachschäden: Da es sich um eine Vermögensschadenversicherung handelt, sind körperliche Schäden oder Sachbeschädigungen nicht gedeckt.
- Infrastrukturausfälle: Ausfälle durch externe Stromnetze oder Telekommunikation, die nicht direkt durch einen Cyberangriff verursacht wurden, sind ausgeschlossen.
Diese Sicherheitsmaßnahmen fordern Versicherer als Voraussetzung
Die meisten Versicherer fordern zur Kostenübernahme bestimmte Sicherheitsmaßnahmen:
- Multi-Faktor-Authentifizierung: Wird von 79 Prozent der Versicherer gefordert
- Endpoint Detection and Response (EDR) / Managed Detection and Response: Bei 65 Prozent erforderlich
- Regelmäßige Sicherheitsbewusstseinstrainings für Mitarbeiter
- Vulnerability-Management und regelmäßige Backups
- Air Gap Backups: Bei 33 Prozent erforderlich
Der Leistungsumfang variiert zwischen den Anbietern erheblich, weswegen ein sorgfältiger Vergleich der Versicherungsbedingungen sowie eine Überprüfung etwaiger Überschneidungen mit bestehenden Versicherungen (Betriebshaftpflicht, Vertrauensschadenversicherung, Betriebsunterbrechungsversicherung) essentiell ist.
Wie viel kostet eine Cyberversicherung?
Die Kosten einer Cyberversicherung variieren stark und lassen sich nicht pauschal beziffern, da sie von zahlreichen individuellen Faktoren abhängen. Die Jahresprämien können von 200 Euro bis zu mehreren Tausend Euro reichen.
| Unternehmensgröße | Umsatz | Versicherungssumme | Jährliche Prämie |
|---|---|---|---|
| Kleinstunternehmen (Handwerk, Gastronomie) | bis 500.000 € | – | 115–345 € (Basis), 161–483 € (Plus) |
| Kleinstunternehmen (Baugewerbe) | bis 500.000 € | – | 150–450 € (Basis) |
| Arztpraxen | – | – | 352–393 € |
| Kleines Mittelstandsunternehmen | 1 Mio. € | 500.000 € | ca. 875 € |
| Mittelständisches Unternehmen | 2,5–5 Mio. € | – | 2.500–10.000 € |
| Größeres Mittelstandsunternehmen | 10 Mio. € | 2 Mio. € | ca. 3.125 € |
Diese Faktoren bestimmen die Höhe deiner Prämie
Die Unternehmensgröße und der Umsatz sind entscheidend. Größere Unternehmen zahlen höhere Beiträge, da mehr Daten und Systeme geschützt werden müssen. Die Branche und das Risikoprofil spielen eine wichtige Rolle. Bestimmte Branchen wie E-Commerce, Gesundheitswesen und Finanzdienstleister sind höheren Risiken ausgesetzt und zahlen höhere Prämien.
Die Versicherungssumme beeinflusst die Kosten direkt. Je höher die gewünschte Deckungssumme, desto höher die Prämien. Die Selbstbeteiligung wirkt sich aus: Eine höhere Selbstbeteiligung führt zu niedrigeren Beiträgen.
Deine IT-Sicherheitsmaßnahmen sind entscheidend. Unternehmen mit robusten Sicherheitsmaßnahmen und Mitarbeiterschulungen zahlen niedrigere Beiträge. Gut aufgestellte Unternehmen können bis zu 50 Prozent bei den Versicherungskosten sparen. Die Schadenhistorie spielt eine Rolle: Wiederholte Vorfälle führen zu höheren Beiträgen.
So berechnest du die Kosten prozentual vom Umsatz
Prozentual vom Umsatz betrachtet kosten Cyberversicherungen je nach Branche und Risikoprofil zwischen 0,1 und 0,5 Prozent des Jahresumsatzes. Bei einem Jahresumsatz von 2 Millionen Euro liegen die jährlichen Prämien also zwischen 2.000 und 10.000 Euro.
Die Schadenquote zeigt: Versicherer zahlen fast alle Prämien wieder aus
Die Cyberversicherungsbranche verzeichnet rasant steigende Schäden. 2023 stiegen die Schadenzahlungen um knapp 50 Prozent auf 180 Millionen Euro. Die Schaden-Kosten-Quote erreichte 97 Prozent, was bedeutet, dass die Prämieneinnahmen fast vollständig aufgezehrt wurden.
Die durchschnittliche Schadenhöhe 2023 betrug 45.370 Euro (8,3 Prozent mehr als 2022). Die Anzahl gemeldeter Hackerangriffe 2023 lag bei rund 4.000 (18,7 Prozent mehr als 2022). Die versicherten Verträge 2023 umfassten rund 261.000 (15,7 Prozent Wachstum).
2021 erreichte die Schadenquote alarmierende 123,7 Prozent, was bedeutete, dass auf jeden Euro Prämieneinnahmen 1,24 Euro Ausgaben kamen.
Für wen lohnt sich eine Cyberversicherung?
Eine Cyberversicherung lohnt sich grundsätzlich für jedes digital agierende Unternehmen, da die Frage nicht mehr „ob“, sondern „wann“ ein Cyberangriff erfolgt. Die Investition in eine Cyberversicherung ist besonders dann sinnvoll, wenn digitale Prozesse, Daten und IT-Systeme für die Geschäftstätigkeit zentral sind.
Diese Branchen sind besonders gefährdet
Kleine und mittelständische Unternehmen (KMU) sind ein bevorzugtes Ziel für Cyberkriminelle, da sie oft nicht über die Ressourcen für umfassende IT-Sicherheitsabteilungen verfügen. Trotz der hohen Bedrohungslage haben nur 21 Prozent der KMU in Deutschland eine Cyberversicherung abgeschlossen (Stand 2022), während international bereits 69 Prozent der kleinen und mittleren Unternehmen versichert sind. Aktuell sind drei von vier KMU ohne Schutz (75 Prozent).
Das Gesundheitswesen stellt ein attraktives Ziel für Cyberkriminelle dar, da hochsensible Patientendaten verarbeitet werden. Hackerangriffe können nicht nur zu Datenschutzverletzungen führen, sondern auch den Praxisbetrieb komplett lahmlegen. Die Cyberversicherung übernimmt Kosten für IT-Forensik, Datenwiederherstellung, Krisenkommunikation und Rechtsberatung bei DSGVO-Verstößen.
Betreiber von Onlineshops sind mit besonderen Risiken konfrontiert: Diebstahl von Kundendaten, Kreditkarteninformationen und Zugangsdaten. Eine Cyberattacke kann das gesamte Unternehmen lahmlegen und zu hohen Schadenersatzforderungen führen. Die Cyberversicherung deckt sowohl Eigenschäden als auch Haftpflichtansprüche aus Datensicherheitsverletzungen ab.
IT-Dienstleister und Softwareentwickler sind besonders exponiert durch direkten Zugriff auf Kundensysteme. Hier können Angriffe auf die eigene Infrastruktur auch Auswirkungen auf Kunden haben. Freiberufler und Selbstständige, die personenbezogene Daten speichern (etwa Rechtsanwälte, Therapeuten, Berater), sind attraktive Ziele. Bei Freiberuflern liegt der durchschnittliche Schaden nach einem Cyberangriff bei 120.000 Euro.
Weitere Branchen mit hohem Risiko sind Anwaltskanzleien, Notare und Steuerberater, Immobilienmakler, Architekten und Bauunternehmen, Handwerksbetriebe, Handel und Einzelhandel, Finanzdienstleister sowie produzierende Betriebe und Zulieferer.
In diesen Situationen ist eine Cyberversicherung unverzichtbar
Eine Cyberversicherung ist dann unverzichtbar, wenn sensible Daten verarbeitet werden. Kunden-, Patienten-, Mitarbeiter- oder Geschäftspartnerdaten, die digital gespeichert sind, machen dich zum Ziel. Bei hoher Abhängigkeit von IT-Systemen, wenn der Geschäftsbetrieb bei IT-Ausfall sofort beeinträchtigt wäre, ist die Versicherung essentiell.
Vernetzte Lieferketten bedeuten, dass das Unternehmen in digitale Wertschöpfungsketten eingebunden ist und Angriffe auf Partner dich treffen können. DSGVO-Relevanz besteht, wenn personenbezogene Daten verarbeitet werden und hohe Bußgelder drohen.
Bei begrenzten IT-Ressourcen, wenn keine eigene IT-Abteilung oder IT-Sicherheitsexperten vorhanden sind, kompensiert die Versicherung diesen Mangel teilweise.
Viele Unternehmen unterschätzen ihr Risiko dramatisch
Das Risikobewusstsein in Deutschland steigt kontinuierlich: 48 Prozent der KMU betrachten Hackerangriffe als größtes betriebliches Risiko. Dennoch ist die Versicherungsquote erschreckend niedrig.
Hauptgründe für den Verzicht auf eine Cyberversicherung sind, dass 44 Prozent glauben, kein attraktives Ziel für Hacker zu sein (gefährlicher Irrtum), 35 Prozent sich für technisch gut genug abgesichert halten und 28 Prozent eine Cyberversicherung zu teuer finden.
Experten warnen: Gerade kleinere Unternehmen sind attraktive Ziele, da sie weniger robuste Sicherheitsmaßnahmen implementiert haben und wertvolle Daten gestohlen oder verschlüsselt werden können.
Diese Mindeststandards fordern Versicherer
Um eine Cyberversicherung zu erhalten, fordern Versicherer zunehmend IT-Mindeststandards:
- Firewall: Aktuelle Firewall-Installation
- Multi-Faktor-Authentifizierung (MFA): Bei 79 Prozent der Versicherer Pflicht
- Endpoint Detection and Response (EDR): Bei 65 Prozent erforderlich
- Regelmäßige Backups: Inklusive Air Gap Backups (bei 33 Prozent Pflicht)
- Datensicherheit: Verschlüsselung sensibler Daten
- Mitarbeiterschulungen: Regelmäßige Sensibilisierung für IT-Sicherheit
- Individuelle Zugänge: Separate Nutzerkonten für Mitarbeiter
- Patch-Management: Regelmäßige Updates von Software und Systemen
Je besser die IT-Sicherheitsmaßnahmen, desto niedriger fallen die Versicherungsprämien aus. Gut aufgestellte Unternehmen können bis zu 50 Prozent bei den Versicherungskosten sparen.
Wie hoch waren die Kosten der Cyberkriminalität für Deutschland?
Die wirtschaftlichen Schäden durch Cyberkriminalität in Deutschland haben in den letzten Jahren dramatische Rekordhöhen erreicht und steigen kontinuierlich weiter an.
| Jahr | Gesamtschaden | Veränderung zum Vorjahr | Anteil Cyberattacken | Betroffene Unternehmen |
|---|---|---|---|---|
| 2021 | 223,5 Mrd. € | – | 59% | – |
| 2023 | 206 Mrd. € | – | 72% | 72% |
| 2024 | 267 Mrd. € | +29% | 67% (178,6 Mrd. €) | 81% |
| 2025 | 289,2 Mrd. € | +8% | 70% (202,4 Mrd. €) | 87% |
Der Gesamtschaden erreicht in 2025 einen neuen Rekordwert
Laut der aktuellen Bitkom-Studie „Wirtschaftsschutz 2025″ beläuft sich der Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage in Deutschland auf 289,2 Milliarden Euro (Betrachtungszeitraum: vergangene 12 Monate).
Dies entspricht einem Anstieg von rund 8 Prozent gegenüber dem Vorjahr. Der Wert von 2025 stellt damit einen neuen Höchststand dar und übertrifft auch den bisherigen Rekordwert von 223,5 Milliarden Euro aus dem Jahr 2021.
Der Anteil, den Cyberattacken am Gesamtschaden haben, ist von Jahr zu Jahr gestiegen.
2021 machten Cyberattacken 59 Prozent des Gesamtschadens aus, 2022 waren es 63 Prozent, 2023 bereits 72 Prozent, 2024 dann 67 Prozent (178,6 Milliarden Euro durch Cyberattacken) und 2025 liegt der Anteil bei 70 Prozent (202,4 Milliarden Euro durch Cyberattacken). Die verbleibenden 30 Prozent (86,8 Milliarden Euro) entfallen auf analoge Angriffe wie physischen Diebstahl von IT-Geräten oder klassische Industriespionage.
Aus diesen Komponenten setzt sich der Schaden zusammen
In der Gesamtsumme von 289,2 Milliarden Euro sind direkte Kosten wie Betriebsausfälle, Ersatzmaßnahmen, Erpressungen (Lösegeld) und Rechtsstreitigkeiten enthalten. Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen durch gestohlenes Know-how schlagen zu Buche. Plagiate verursachen Schäden durch Produktfälschungen.
Allein 35 Milliarden Euro entfallen auf Imageschäden und Reputationsverluste.
Fast 9 von 10 Unternehmen sind betroffen
Die Anzahl betroffener Unternehmen steigt kontinuierlich. 2023 waren 72 Prozent der Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen, 2024 bereits 81 Prozent. 2025 berichten 87 Prozent der Unternehmen von Angriffen (weitere 10 Prozent vermuten dies).
Das bedeutet: Knapp 9 von 10 deutschen Unternehmen waren in den letzten zwölf Monaten Opfer von Cyberangriffen.
Diese Angriffsarten dominieren
Die am häufigsten gemeldeten Cyberangriffe sind Ransomware mit 31 bis 34 Prozent der Unternehmen betroffen (dreimal so viele wie 2022 mit 12 Prozent), Phishing-Attacken mit 26 Prozent, Angriffe auf Passwörter mit 24 Prozent, Infizierung mit Schadsoftware mit 21 Prozent und Distributed Denial of Service (DDoS) mit 18 Prozent.
Bei Ransomware-Angriffen haben bereits 15 Prozent der betroffenen Unternehmen Lösegeld bezahlt (weitere 15 Prozent wollten keine Angabe machen). Davon zahlten 19 Prozent zwischen 10.000 und 100.000 Euro, 34 Prozent zwischen 100.000 und 500.000 Euro, 12 Prozent zwischen 500.000 Euro und 1 Million Euro und 4 Prozent mehr als 1 Million Euro.
Russland und China führen bei Cyberangriffen
Die Spur führt immer häufiger nach Russland und China. 46 Prozent der betroffenen Unternehmen konnten mindestens einen Angriff nach Russland zurückverfolgen, 46 Prozent nach China, 32 Prozent meldeten Angriffe aus osteuropäischen Staaten außerhalb der EU und 20 Prozent Angriffe aus Deutschland (rückläufig von 29 Prozent im Vorjahr).
Besorgniserregend ist die Rolle ausländischer Geheimdienste: 28 Prozent der Unternehmen meldeten 2025 Angriffe durch Geheimdienste (2024: 20 Prozent, 2023: nur 7 Prozent). Die meisten Angriffe kommen jedoch nach wie vor aus der organisierten Kriminalität (68 Prozent der Fälle).
6 von 10 Unternehmen fühlen sich existenziell bedroht
Die wahrgenommene Bedrohung durch Cyberangriffe ist dramatisch gestiegen. 2021 fühlten sich nur 9 Prozent der Unternehmen existenziell bedroht, 2023 waren es bereits 52 Prozent, 2024 dann 65 Prozent. 2025 sehen sich 59 Prozent der Unternehmen durch Angriffe in ihrer geschäftlichen Existenz bedroht.
Nur 50 Prozent der Unternehmen glauben, dass sie sehr gut auf Cyberangriffe vorbereitet sind.
Unternehmen investieren massiv mehr in IT-Sicherheit
Als Reaktion auf die gestiegene Bedrohungslage haben Unternehmen ihre IT-Sicherheitsausgaben deutlich erhöht. 2022 flossen 9 Prozent des IT-Budgets in IT-Sicherheit, 2023 waren es 14 Prozent und 2024 bereits 17 Prozent des IT-Budgets. 40 Prozent der Unternehmen wenden mittlerweile 20 Prozent oder mehr ihres IT-Budgets für IT-Sicherheit auf – was der gemeinsamen Empfehlung von Bitkom und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entspricht.
„Die Cyberkriminalität verursacht in Deutschland jährlich Schäden in Höhe von fast 290 Milliarden Euro – eine Summe, die etwa 7 bis 8 Prozent des deutschen Bruttoinlandsprodukts entspricht. Mit 87 Prozent betroffener Unternehmen ist eine Cyberversicherung keine Option mehr, sondern existenzieller Bestandteil des Risikomanagements. Die Frage ist nicht, ob dein Unternehmen angegriffen wird, sondern wann.“
