Mittelständische Unternehmen bewerten ihre Widerstandsfähigkeit gegen Cyberangriffe deutlich positiver als objektive Prüfungen. In vielen Fällen sind zudem die Investitionen in IT-Sicherheit zu niedrig, um die Komplexität aktueller IT-Landschaften und regulatorischer Anforderungen angemessen zu berücksichtigen. Zu diesem Ergebnis kommt die PwC-Studie „Trügerische Sicherheit: der Mittelstand überschätzt seine Cyber-Resilienz“, der eine Befragung von 400 Führungskräften aus mittelständischen Unternehmen zugrunde liegt.
Massive Zunahme von Datenlecks und Ransomware-Aktivitäten
Die Diskrepanz zwischen dem subjektiven Sicherheitsgefühl und dem niedrigeren, durch Reifegradanalysen belegten Schutzniveau ist vor dem Hintergrund der aktuellen Bedrohungslage besonders kritisch. So zeigt die kürzlich erschienene PwC-Studie “Threat Dynamics”, dass es eine massive Zunahme von Datenlecks und Ransomware-Aktivitäten in Deutschland gibt. Besonders anfällig sei danach der Mittelstand, weil sich viele Unternehmen noch in der Umstellung auf Zero-Trust-Architekturen befinden und Benutzerkonten ohne durchgängige Zugriffskontrollen über alle Netzwerkgrenzen hinweg eine entscheidende Schwachstelle bleiben. Die Gefährdung des Mittelstandes bestätigt auch der BKA-Lagebericht 2025, wonach 90 % digitaler Erpressungsopfer KMUs seien.
Selbsteinschätzung weicht von Cyber-Reifegradanalysen ab
Während die Mehrheit der Befragten den eigenen Reifegrad als fortgeschritten einschätzt, zeichnen die zum Vergleich herangezogenen Benchmarks ein anderes Bild. Die Selbsteinschätzungen fallen durchgehend um ein bis zwei Reifegradstufen höher aus als die Benchmarks. Letztere basieren auf konkret durchgeführten Analysen, die unter anderem technische Inspektionen der IT-Infrastruktur, Reviews der vorhandenen Sicherheitsdokumentation und Interviews mit den verantwortlichen Fachbereichen umfassen.
Investitionsbereitschaft ist da, aber Investitionsvolumina sind zu gering
„Die eigenen Fähigkeiten in der Cyber-Abwehr werden systematisch überschätzt. Das spiegelt sich auch in den teils unverhältnismäßig niedrigen Sicherheitsbudgets wider“, sagt PwC-IT-Sicherheitsexperte Nial Moore, der insbesondere mittelständische Unternehmen berät. Während für kleine Unternehmen mit weniger als 200 Mitarbeitenden ein jährliches Budget von 50.000 Euro noch angemessen sein kann, ließen sich damit in größeren Betrieben die Risiken nicht ausreichend adressieren. Trotzdem investieren auch viele deutlich größere Unternehmen weniger als 50.000 Euro in ihre IT-Sicherheit – nach Ansicht des Experten ein hohes Risiko: „Für ein professionelles Monitoring oder getestete Notfallprozesse reichen solche Budgets nicht aus. Hier wird am falschen Ende gespart, denn das Schadenspotenzial selbst vermeintlich kleiner Vorfälle übersteigt in der Regel die Investitionen für eine angemessene Absicherung bei Weitem.“
Künstliche Intelligenz ist Risikoverstärker und Hoffnungsträger zugleich
Zwei Drittel der Unternehmen mit steigenden Sicherheitsbudgets nennt KI-bezogene Risiken als Treiber für Investitionen in die Cyber-Abwehr. So können Angreifer mit Hilfe von KI automatisiert Schwachstellen identifizieren und ausnutzen sowie Angriffe weitergehend automatisieren und skalieren. Auch für Social Engineering ist KI ein effektives Werkzeug – zum Beispiel bei Phishing-Kampagnen mit hochpersonalisierten E-Mails. Der Einsatz von KI-Tools im Unternehmen bringt zudem neue Governance-Herausforderungen und Risiken von Schatten-IT mit sich. Dennoch wird KI auch als Hoffnungsträger gesehen. Die Hälfte der Befragten geht davon aus, dass KI die Cybersicherheit im Unternehmen massiv unterstützen wird.
Lieferkettenangriffe haben Hochkonjunktur
Nahezu die Hälfte der befragten Unternehmen berichtet von Cybercrime-Vorfällen im eigenen Lieferantennetzwerk. Nur jedes zweite Unternehmen attestiert jedoch, dass es Cyberrisiken in der Lieferkette schnell identifizieren kann. „Supply Chain-Angriffe sind ein zentraler Grund, warum sich gerade kleinere Unternehmen nicht in falscher Sicherheit wiegen sollten. Wenn es Cyberkriminellen zum Beispiel gelingt, Schadcodes in branchenspezifische Software einzuschleusen, können sie auf einen Schlag Zugang zu vielen betroffenen Unternehmen erhalten“, so Moore.
Zu wenige Mitarbeitende, externe Unterstützung erforderlich
Dass die Personaldecke im Schnitt – der Median der Vollzeitkräfte im Bereich Informationssicherheit liegt nach der Befragung bei drei Personen – dünn ist, kommt erschwerend hinzu. „Um sich angemessen zu schützen, ist die Unterstützung durch externe Dienstleister daher oft nicht nur der wirtschaftlichste, sondern auch der sicherste Weg“, sagt Uwe Rittmann. „Sie können eine Überwachung rund um die Uhr sicherstellen, KI-gestützte Angriffe analysieren und im Ernstfall den Vorfall effektiv eindämmen.“ Rund 78% der Unternehmen setzen auch bereits auf solche Managed Security Services, um beispielsweise ein Security Operations Center (SOC) zu etablieren, oder Sicherheitsaufgaben wie das Vulnerability Management und das Incident Response Handling zu professionalisieren.
(PwC vom 25.06.2026 / RES JURA Redaktionsbüro – vcd)
