Eine aktuelle Studie zeigt, dass Cyberangriffe für viele kleine und mittlere Unternehmen (KMU) in Deutschland längst zum Alltag gehören. Laut dem Hiscox Cyber Readiness Report 2025, der vom Marktforschungsinstitut Wakefield Research im Auftrag von Hiscox erstellt wurde, haben 67 Prozent der befragten KMUs innerhalb des letzten Jahres mindestens einen Cyberangriff erlebt. Gleichzeitig sind 60 Prozent dieser Unternehmen entweder gar nicht oder nur unzureichend gegen solche Risiken abgesichert.
Nur etwa vier von zehn KMUs verfügen derzeit über eine eigenständige Cyberversicherung. Weitere 38 Prozent schützen sich durch erweiterte Policen anderer Versicherungen, während 14 Prozent planen, in naher Zukunft eine spezielle Cyberversicherung abzuschließen. Insgesamt bleiben somit sechs von zehn kleinen und mittleren Betrieben ohne ausreichenden Schutz vor digitalen Bedrohungen.
Roman Potyka, Leiter Produkt & Underwriting bei Hiscox Deutschland, betont die Bedeutung einer umfassenden Absicherung: „Viele unterschätzen den Umfang einer vollwertigen Cyberversicherung und verlassen sich auf Teildeckungen wie Betriebshaftpflicht-Erweiterungen. Eine maßgeschneiderte Police bietet dagegen einen ganzheitlichen Schutz – etwa bei Ausfällen von Cloud-Diensten oder Datenverlust – und ermöglicht schnelle Unterstützung durch Experten aus den Bereichen IT-Sicherheit, Datenschutz und Krisenkommunikation.“
Die Mehrheit der KMUs hat bereits Maßnahmen zur Verbesserung ihrer IT-Sicherheit umgesetzt: So führten im vergangenen Jahr 97 Prozent konkrete Schritte ein. Besonders beliebt sind Mitarbeiterschulungen (75 %), die Einstellung spezialisierter Fachkräfte (62 %) sowie Investitionen in moderne Sicherheitssoftware (52 %). Zudem überprüfen drei Viertel regelmäßig Schwachstellen im System und kontrollieren auch die Sicherheit ihrer Geschäftspartner.
Trotz dieser Bemühungen waren fast zwei Drittel der deutschen KMUs Ziel mindestens eines bis zu zehn Angriffe innerhalb eines Jahres; einige berichten sogar von mehr als zehn Attacken. Die Angriffswege sind vielfältig: Am häufigsten wird die eigene Infrastruktur angegriffen – dazu zählen Server, Cloud-Systeme sowie mobile Geräte inklusive IoT-Anwendungen. Auch Lieferantenketten oder kompromittierte E-Mails stellen bedeutende Einfallstore dar.
Zahlungsumleitungsbetrug ist mit 43 Prozent das am weitesten verbreitete Angriffsszenario unter Betroffenen. DDoS-Attacken trafen rund vier von zehn Unternehmen ebenso wie Missbrauch ihrer IT-Ressourcen beispielsweise für Kryptowährungs-Mining oder Botnetzeinsatz. Etwa ein Drittel verlor Zugriff auf verschlüsselte beziehungsweise unverschlüsselte Daten; Ransomware verursachte bei knapp einem Viertel aller Fälle erhebliche Schäden durch Erpressung mit Lösegeldforderungen.
Die Folgen solcher Vorfälle können gravierend sein: Fast ein Drittel verzeichnete Schäden bei Kunden aufgrund eigener Sicherheitslücken; weitere 25 Prozent mussten hohe Kosten für Kundenbenachrichtigungen tragen und hatten Schwierigkeiten beim Neukundengewinnungserfolg zu verzeichnen. Neben finanziellen Verlusten leiden auch Mitarbeiter unter Stressbelastung – Burnout-Fälle wurden in einem Drittel der betroffenen Firmen gemeldet; erhöhte Krankenstände traten ebenfalls gehäuft auf.
Künstliche Intelligenz wird vielfach als Chance zur Stärkung der Cybersicherheit gesehen – so bewerten dies immerhin 77 Prozent der Befragten positiv –, gleichzeitig aber erkennen viele neue Risiken durch KI-gestützte Angriffe an: Rund zwei Drittel vermuten bereits entsprechende Attacken erlebt zu haben, oft erkennbar an verbesserten Phishing-Techniken oder Deepfake-Manipulationen.
Befürchtete Gefahren umfassen insbesondere unerlaubte Datenübernahmen mittels KI (22 %), manipulierte KI-Modelle (21 %) sowie missbräuchliche Nutzung externer KI-Werkzeuge (20 %). Für die nächsten fünf Jahre erwarten mehr als sechzig Prozent eine Zunahme schädlicher Malware-Varianten sowie Phishing-Angriffe basierend auf künstlicher Intelligenz.
Potyka warnt eindringlich vor den wachsenden Herausforderungen: „Cyberkriminelle nutzen zunehmend KI-Technologien aus — dadurch werden betrügerische E-Mails immer ausgefeilter und schwerer zu erkennen.“ Er empfiehlt regelmäßige Schulungen für Mitarbeiter zum Umgang mit aktuellen Bedrohungsmethoden sowie verstärkte Investitionen in Sicherheitstechnologien.
Erfreulich ist jedoch laut Studie das gesteigerte Engagement vieler Firmen: Fast alle planen ihre Ausgaben für Cyberschutz künftig zu erhöhen; über ein Drittel will diese Investitionen sogar deutlich ausweiten.
Diese Entwicklung eröffnet Chancen sowohl für Anbieter digitaler Sicherheitslösungen als auch Versicherer — zugleich verdeutlicht sie aber weiterhin großen Nachholbedarf hinsichtlich Awareness-Aufbau und Kompetenzentwicklung im Umgang mit digitalen Risiken bei deutschen KMUs.
Nähere Informationen zum Hiscox Cyber Readiness Report finden Sie unter:
www.hiscox.de/research/hiscox-cyber-readiness-report/
Zur Studie:
Der internationale Hiscox Cyber Readiness Report erscheint jährlich seit dem Jahr 2016 und vermittelt einen umfassenden Überblick über den Stand der Cybersicherheitsbereitschaft weltweit agierender Organisationen.
Für den Bericht des Jahres 2025 wurden insgesamt 5.750 Expertinnen und Experten befragt — darunter Geschäftsführerinnen/Geschäftsführer, Abteilungsleiterinnen/-leiter sowie IT-Verantwortliche kleiner bis mittelgroßer Unternehmen mit maximal 250 Mitarbeitenden aus Deutschland sowie weiteren Ländern wie USA, Großbritannien Frankreich u.a.
Die Erhebung fand zwischen Ende Juli bis Anfang August statt.