Deutsche KMU versagen bei Cybersicherheit : Nur jedes vierte Unternehmen hat wirksame Strategie
Laut einer aktuellen Kaspersky-Umfrage haben 70 Prozent der kleinen und mittelständischen Unternehmen in Deutschland keine praxistaugliche Cybersicherheitsstrategie. Gleichzeitig belegt Deutschland bei Cyberangriffen auf KMU europaweit den dritten Platz.
Die Cybersicherheit in deutschen Kleinbetrieben und mittelständischen Unternehmen weist massive Lücken auf. Das belegt die Kaspersky-Umfrage „Klartext in Sachen Cybersicherheit – Was nervt, was fehlt, was hilft wirklich?“, für die 880 Cybersicherheitsentscheider in Europa und Afrika befragt wurden. Laut den Ergebnissen verfügen nur 27 Prozent der deutschen KMU über eine vollständig umgesetzte Cybersicherheitsstrategie.
Die übrigen 70 Prozent geben zu, dass ihr aktueller Ansatz entweder nur teilweise umgesetzt, weitgehend theoretisch oder gar kein echter Plan sei. Konkret haben 53 Prozent der Befragten zwar eine durchdachte Strategie entwickelt, diese jedoch nicht vollständig implementiert. Weitere 17 Prozent arbeiten lediglich an einer Reihe von Zielen, ohne einer tatsächlichen Strategie zu folgen.
Im Vergleich zu den Nachbarländern schneidet Deutschland schlechter ab: In Österreich haben 32 Prozent der KMU eine vollständig umgesetzte Strategie, in der Schweiz sind es 25 Prozent.
Massive Wissenslücken bei Incident Response
Die Defizite zeigen sich besonders bei der Reaktion auf Sicherheitsvorfälle. 32 Prozent der deutschen Cybersicherheitsentscheider räumen ein, dass sie ihre Strategie für die Reaktion und Behebung von Cybervorfällen optimieren müssten. Ähnlich viele (28 Prozent) sehen ihre Mitarbeiter als unvorbereitet im Umgang mit Cyberbedrohungen an.
Das mangelnde Vertrauen in die eigenen Schutzmaßnahmen wird durch weitere Zahlen belegt: Ein Viertel (25 Prozent) zweifelt daran, ob der aktuelle Endpoint-Schutz ausreicht, um moderne Bedrohungen effektiv abzuwehren. 15 Prozent geben zu, die Vorteile von Endpoint Detection and Response (EDR) nicht vollständig zu verstehen.
Zusätzlich herrscht Skepsis gegenüber Sicherheitsanbietern: 30 Prozent bezweifeln, dass die von Anbietern dargestellten Risiken tatsächlich die realen Gefahren widerspiegeln, denen Unternehmen ihrer Größe ausgesetzt sind.
Deutschland auf Platz drei bei KMU-Cyberangriffen
Die mangelnde Vorbereitung spiegelt sich in der aktuellen Bedrohungslage wider. Laut dem Kaspersky SMB Threat Report für Europa und Afrika liegt Deutschland bei Angriffen auf KMU zwischen Januar und April 2025 mit einem Anteil von 11 Prozent auf Platz drei aller entdeckten Fälle in Europa.
Spitzenreiter ist Österreich mit 40 Prozent der Angriffe, gefolgt von Italien mit 25 Prozent. Hinter Deutschland folgen Spanien (10 Prozent) und Portugal (6 Prozent). Die Cyberkriminellen setzen dabei hauptsächlich auf potenziell unerwünschte Anwendungen (PUA) und Malware, die legitime Marken imitieren.
Orientierungslosigkeit bei Tool-Auswahl und Compliance
Die Unsicherheit der KMU zeigt sich auch bei grundlegenden Cybersicherheitsfragen. Jeweils 23 Prozent der Befragten wissen nicht, welche der zahllosen Cybersicherheits-Tools sie tatsächlich benötigen oder wie sie die Erkennung von Cloud-Discovery und Vulnerability-Assessment sicherstellen können.
22 Prozent sehen sich mit der Herausforderung konfrontiert, relevante Compliance-Vorgaben zu identifizieren. Diese Zahlen verdeutlichen laut Kaspersky eine reaktive Sicherheitskultur, bei der klare Prioritäten fehlen.
„Cybersicherheitsverantwortliche in KMU verlassen sich zu häufig auf Strategien, die auf dem Papier zwar überzeugend wirken, in der Praxis jedoch nicht ausreichen“, kommentiert Waldemar Bergstreiser, General Manager DACH bei Kaspersky. Sieben von zehn Unternehmen in Deutschland hätten diese Maßnahmen bislang nicht effektiv umgesetzt und blieben damit anfällig für Angriffe, die zunehmend auch kleine und mittlere Unternehmen beträfen.