Cyberrisiken im Mittelstand 2026: Bestandsaufnahme und Maßnahmen

1. Lagebild 2025/2026

Die Zahlen aus aktuellen Studien sprechen eine deutliche Sprache:

• 289 Milliarden Euro Schaden durch Cyberkriminalität in Deutschland pro Jahr (Bitkom 2025)
• 81 % der deutschen Unternehmen sind in den letzten 12 Monaten von Cyberangriffen betroffen gewesen (Bitkom)
• 38 % der KMU haben bereits einen erfolgreichen Cyberangriff erlebt (Cisco Cybersecurity Readiness Index 2025)
• Weniger als 3 % der deutschen KMU sind nach Cisco-Maßstab "optimal geschützt"
• 99,2 % der Account-Kompromittierungen wären durch MFA verhinderbar (Microsoft Digital Defense Report 2025)

2. Top-Bedrohungen für den Mittelstand

1. Phishing & Business Email Compromise — immer noch der häufigste Initial-Vektor
2. Ransomware — Doppelextortion mit Datenleak-Drohung
3. Supply-Chain-Angriffe — über IT-Dienstleister, SaaS-Anbieter, Open-Source-Komponenten
4. Account-Takeover via Credential Stuffing und MFA-Fatigue-Attacks
5. Insider-Threats — ausscheidende Mitarbeitende, unzufriedene Admins

3. Warum der Mittelstand besonders im Fokus steht

• Attraktive Zielgröße: Lösegelder im sechs- bis siebenstelligen Bereich realistisch
• Weniger Security-Reife: häufig kein dedizierter CISO, fragmentierte Tool-Landschaft
• Hidden Champions: wertvolles IP, geringere Forensik-Reife
• Lieferketten-Hebel: Mittelständler als Einfallstor in Konzernkunden

4. NIS2-Richtlinie: was Sie wissen müssen

Die NIS2-Richtlinie ist in Deutschland verzögert in Umsetzung, kommt aber 2026. Betroffen sind — je nach finaler Fassung — deutlich mehr Unternehmen als bei NIS1:

• Wesentliche Einrichtungen ab 250 Mitarbeitenden / 50 Mio. € Umsatz
• Wichtige Einrichtungen ab 50 Mitarbeitenden / 10 Mio. € Umsatz in 18 definierten Sektoren
• Konkrete Anforderungen: Risk-Management, Incident-Reporting innerhalb 24h, Business Continuity, Lieferanten-Audits
• Geschäftsführer-Haftung — Bußgelder bis 10 Mio. € oder 2 % Umsatz

5. Maßnahmen, die wirken — ohne Großbudget

Aus 50+ Mittelstandsmandaten: das sind die Maßnahmen mit höchstem Wirkungsgrad pro Euro:

1. MFA flächendeckend — Effekt: -99,2 % Account-Kompromittierungen, Kosten: 0 € in Business Premium
2. Conditional Access Block Legacy Auth — Effekt: -67 % Brute-Force-Angriffe
3. Defender for Office 365 Preset Policies — Effekt: -80 % Phishing-Durchstellen
4. Intune Baseline + BitLocker — Effekt: deutlich reduzierte Geräteverlust-Risiken
5. Phishing-Simulationen alle 8 Wochen — Effekt: Klickrate sinkt von 18 % auf < 4 %
6. Privileged Account Cleanup — im Schnitt 60 % der Admin-Accounts überflüssig
7. Offline-Backups nach 3-2-1-Regel — entscheidend bei Ransomware
8. Incident-Response-Plan — mindestens als 2-Seiten-Karte mit Telefonnummern

6. Cyberversicherung: kein Ersatz, aber notwendig

Cyberversicherer fordern 2026 deutlich höhere Mindeststandards: MFA, EDR, Backup-Konzept, Schulungen. Die Police ersetzt kein Hardening — aber das Hardening macht die Police bezahlbar.

7. Fazit: Sicherheit ist kein Endzustand

Mittelständler müssen sich nicht mit Konzern-Security messen, sondern mit dem Angreifer-Aufwand. Die meisten Angreifer sind ökonomisch rational — sobald ein Ziel > 80 % der KMU-Baseline erreicht, suchen sie sich das nächste.

Mit einem strukturierten Hardening-Programm (siehe M365 Security Hardening Leitfaden) lassen sich diese 80 % in fünf Tagen erreichen — ohne neue Tools, ohne neue Mitarbeiter, mit den Lizenzen, die ohnehin bezahlt werden.