Die IT-Sicherheitslage für deutsche Unternehmen hat sich im Jahr 2025 zugespitzt. Laut Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden täglich im Schnitt 119 neue Sicherheitslücken registriert – rund ein Viertel mehr als im Vorjahr. Laut Bitkom-Studie „Wirtschaftsschutz 2025“ waren rund 87 Prozent der Unternehmen in Deutschland von Datendiebstahl, Spionage oder Sabotage betroffen. Der gesamtwirtschaftliche Schaden beläuft sich auf 289,2 Milliarden Euro, hinzu kommen Reputationsschäden und mögliche Regressforderungen.

Ein wesentlicher Grund für die dramatische Zunahme: der Einsatz von KI bei Cyber-Attacken. Vor allem kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Visier von Cyber-Kriminellen. „Die KI hat die Einstiegshürden offensichtlich gesenkt. Die meisten kleineren Unternehmen verfügen nicht über spezielle Sicherheitsteams, ausgereifte Tools und die Ressourcen, um schnell zu reagieren, und Angreifer wissen das“, sagt Daniel Fried, Senior Vice President Worldwide Sales bei Object First. Das Unternehmen im schweizerischen Alpnach Dorf hat sich auf die Entwicklung von Ransomware-sichere Speicherlösungen spezialisiert.

Was die aktuelle Bedrohungslage besonders gefährlich macht, ist die Kombination aus Geschwindigkeit und Umfang. Phishing-Kampagnen, für die früher erhebliche Fähigkeiten und Ressourcen erforderlich waren, können jetzt mit KI automatisiert und in großem Umfang durchgeführt werden. „Das bedeutet, dass KMU nicht mehr zu klein sind, um angegriffen zu werden, sondern ganz im Gegenteil: Sie sind jetzt der Weg des geringsten Widerstands“, sagt Adam Boynton, Senior Security Strategy Manager bei Jamf, Anbieter von Sicherheitslösungen in Hamburg.

KI vereinfacht Angriffe

KI-gestütztes Phishing ist breit angelegt und erfolgt über alle verfügbaren Kanäle – E-Mail, SMS, QR-Codes sowie berufliche Netzwerke wie LinkedIn. Jamf etwa registrierte im letzten Jahr rund zehn Millionen Versuche, jeder zehnte war für die Angreifer erfolgreich. Auch Telefonanrufe mit geklonten Stimmen und Deepfakes sind mithilfe von KI leicht zu erstellen. „Für kleine und mittlere Unternehmen, in denen ein Geschäftsführer Zahlungen möglicherweise persönlich per Telefon genehmigt, ist das Vertrauensmodell ‚Ich erkenne Ihre Stimme‘ nicht mehr zuverlässig“, warnt Sicherheitsfachmann Boynton.

Zudem beschleunigt KI das Thema Social Engineering massiv. Dabei nutzen Cyber-Kriminelle das schwächste Glied in der Abwehrkette aus – den Menschen. Angreifer können mittels KI Zielpersonen schnell analysieren und personalisierte Angriffe jetzt in Minuten statt wie zuvor in Tagen durchführen. Dazu zählen täuschend echt aussehende E-Mails oder personalisierte Nachrichten.

Für Unternehmen bedeutet das: Technische Schutzmaßnahmen allein reichen nicht mehr aus. Die Rolle der Mitarbeiter muss sich vom Risikofaktor zum Bollwerk gegen Cyber-Angriffe wandeln. „Unternehmen müssen vor allem das Sicherheitsbewusstsein ihrer Mitarbeitenden stärken, insbesondere bei jenen, die nicht direkt in der IT tätig sind“, sagt Torsten Bechler, Manager Product Marketing DACH bei Sharp Business Systems Deutschland in Köln. Schulungen und Awareness-Trainings sind entscheidend, ebenso wie KI-gestützte Sicherheitslösungen zur Erkennung ungewöhnlicher Muster.

Auch organisatorische Maßnahmen sind für einen erfolgreichen Kampf gegen Cyber-Angriffe notwendig: „Kleine und mittlere Unternehmen sollten auf klare Rollenbeschreibungen und Verantwortlichkeiten innerhalb des Unternehmens setzen“, betont Andreas Süß, CEO DACH beim Cyber-Security-Anbieter Advens in München. Dazu gehörten unter anderem die Ernennung eines Sicherheitsbeauftragten. Auch regelmäßige Gremiensitzungen zur Lagebesprechung seien ein Muss, so der Security-Experte.

Ebenso wichtig seien wiederkehrende Risikobewertungen und die kontinuierliche Überprüfung von Sicherheitsrichtlinien. Für den Ernstfall sei ein klar definierter Krisenplan unerlässlich, der regelmäßig getestet wird. Denn die Fähigkeit, im Falle eines Cyberangriffs handlungsfähig zu bleiben, ist entscheidend. „Ohne die Möglichkeit, mit Mitarbeitenden und externen Partnern zu kommunizieren, kann der Cybervorfall zur existenziellen Krise werden“, weiß Jutta Horstmann, Co-CEO des IT-Dienstleisters Heinlein Gruppe in Berlin. Eine funktionierende Notfallkommunikation sowie Business-Continuity-Pläne sind daher unerlässlich für die Resilienz eines Unternehmens.

Der erste Schritt für mehr Cyber-Sicherheit, so die IT-Experten, ist eine Gap-Analyse (Lückenanalyse) zur Bestandsaufnahme der aktuellen Sicherheits­lage. „Unternehmen sollten prüfen, welche Systeme und Daten besonders kritisch sind, wo potenzielle Schwachstellen liegen und welche Sicherheitsmaßnahmen bereits existieren. Auf dieser Basis können gezielte Verbesserungen umgesetzt werden“, erklärt Michael Schröder, Head of Product Marketing beim Unternehmen für digitale Sicherheit ESET in Jena. Zum besseren Schutz rät er zum Einsatz von KI-Lösungen: „KI ist nicht nur ein Werkzeug für Angreifer, sondern auch ein sehr wirksames Instrument für die Verteidigung.“ Moderne Sicherheitslösungen nutzen zum Beispiel Machine Learning, um Anomalien sehr schnell zu erkennen und auch unbekannte Bedrohungen zu identifizieren. „Gerade für KMU ohne große Sicherheitsteams kann dies ein entscheidender Vorteil sein“, so Schröder.

Risiken durch Dritte

Ein weiteres Problem: Viele Cyber-Angriffe erfolgen nicht mehr direkt über das Zielunternehmen, sondern über externe Partner wie Dienstleister und Zulieferer. Verfügen diese nicht über ausreichend hohe Sicherheitsstandards, können sie regelrecht zum Einfallstor für Angreifer werden. „Ein erfolgreicher Angriff auf einen Drittanbieter kann unmittelbare Auswirkungen auf das eigene Unternehmen haben, zum Beispiel in Form von Datenverlust, finanziellen Schäden oder Reputationsschäden“, beschreibt Torsten Bechler das Risikoszenario.

Vor diesem Hintergrund verpflichten zahlreiche aktuelle Cyberregulierungen Unternehmen dazu, die Sicherheit ihrer Lieferketten stärker zu berücksichtigen. Dazu zählen etwa die Richtlinie für Netz- und Informationssicherheit NIS2, DORA (Digital Operational Resilience Act), der Cyber Resilience Act (CRA), der EU AI Act sowie verschiedene KRITIS-Verordnungen. Diese Regelwerke gelten für eine stetig wachsende Zahl von Unternehmen, aktuell sind es in Deutschland rund 30.000, und sehen teilweise erhebliche Strafen bei Nichteinhaltung vor. „Leider sind nicht alle Unternehmen auf die neuen Anforderungen ausreichend vorbereitet“, sagt Melanie Braunschweig, Expertin für IT-Security-Schulungen bei der TÜV NORD Akademie in Essen. Gefordert sind unter anderem Risikoanalysen, dokumentierte Maßnahmen und regelmäßige Schulungen. „Neu ist aber vor allem auch die persönliche Haftung von Geschäftsführung und leitenden Managern und Managerinnen eines Unternehmens. Sie sind verantwortlich dafür, dass die Maßnahmen zur IT-Sicherheit umgesetzt werden und verpflichtet, entsprechende Schulungen zu absolvieren“, so Braunschweig. Zudem gelten für Branchen der Kritischen Infrastruktur (KRITIS) strenge Meldepflichten. „Bei Verstößen drohen empfindliche Strafen, die bis zu zehn Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes ausmachen können“, sagt die Expertin.

Wie gut Unternehmen gegen Cyber-Angriffe gewappnet sind, hängt also nicht ausschließlich von der Technik oder Verordnungen und Richtlinien ab, sondern von der Organisation und den Menschen in den Unternehmen sowie ihren Entscheidungen. „Dazu zählen das Vermeiden, Entgegenwirken, Erkennen und schnelle Reagieren auf Angriffe“, sagt Professor Norbert Pohlmann, Vorstand von Eco – Verband der Internetwirtschaft in Köln. Gefragt ist also ein ganzheitlicher Ansatz.