Cisco-Studie: Große Lücken in der IT-Sicherheit bei KMU

Weniger als 2% der deutschen KMU sind optimal vor Cyber-Attacken geschützt.

Bildquelle: Cisco

Der Cisco Cybersecurity Readiness Index 2025 zeigt, dass weniger als zwei Prozent der KMU bis 250 Mitarbeiter bestmöglich auf Cyberangriffe vorbereitet sind. Dabei haben 38% der KMU bereits Cyberangriffe erlebt.

KI-basierte Angriffe verändern die Bedrohungslage. KMU beklagen häufig mangelnde Ressourcen für umfassende Abwehrmaßnahmen. Auch der Fachkräftemangel ist immer wieder ein Thema: 83% der KMU leiden nach eigener Aussage unter dem Mangel an Fachkräften für IT-Security. Oft scheint aber einfach nur das Bewusstsein für den Ernst der Lage zu fehlen. Viele Unternehmen unterschätzen die Wahrscheinlichkeit, selbst Opfer eines Cyberangriffs zu werden.

KMU überschätzen eigene Cyberabwehrfähigkeiten

84 Prozent ihre aktuelle IT-Infrastruktur für ausreichend, um in naher Zukunft gegen Cyberattacken gewappnet zu sein. „Die individuell empfundene Sicherheit deutscher KMU ist ein Trugschluss. Viele unterschätzen die Dynamik und Professionalität heutiger Cyberangriffe. Wer jetzt nicht nachrüstet, riskiert gravierende Schäden durch erfolgreiche Angriffe.“, betont Marcus Gerstmann, Leader Small & Medium Business bei Cisco Deutschland.

KMU investieren prozentual weniger in Cybersicherheit als größere Unternehmen. Nur 43% der befragten Unternehmen planen eine Modernisierung ihrer bestehenden Sicherheitsinfrastruktur. Noch weniger (31%) wollen in Trainings ihrer Mitarbeitenden oder in Neueinstellungen investieren. Die Anschaffung KI-basierte Abwehrsysteme haben ebenfalls weniger als die Hälfte (46%) auf der Agenda.

Image
Description
Quelle: Cisco Cybersecurity Readiness Index 2025

„Gerade KMU dürfen das Thema Cybersicherheit nicht länger aufschieben. Ein Mindestmaß an Schutzmaßnahmen reicht nicht aus, um komplexen Angriffsmethoden wie KI-basierten Angriffen auf Unternehmensnetzwerke standzuhalten. Auch KMU brauchen ein gutes Cyberschutzniveau, sonst drohen Betriebsausfälle, der Verlust von Kundenvertrauen, möglichen Klagen und im Extremfall die Unternehmenspleite“, sagt Gerstmann.

Für den Cybersecurity Readiness Index 2025 wurden weltweit 8.000 Cybersecurity-EntscheiderInnen befragt, davon 300 in Deutschland.

Komplexität der IT-Security-Infrastruktur

KMU kämpfen mit einer zunehmenden Komplexität der IT-Security-Infrastruktur: 68 Prozent der KMU setzen bereits 11 bis 40 verschiedene Sicherheitslösungen ein, fünf Prozent sogar bis zu 70. Drei von vier Unternehmen sehen darin eine klare Beeinträchtigung ihrer Verteidigungsfähigkeit.

Daran sind jedoch nicht nur die fehlenden Ressourcen schuld. Oft mangelt es an einer IT-(Sicherheits-)Strategie. Die Folge sind Intransparenz und Komplexität. Die fortschreitende Digitalisierung und steigende Compliance-Anforderungen verkomplizieren die Lage häufig noch.

Modernisierung unumgänglich

Für veraltete Soft- und Hardware gibt es weder Support noch Sicherheitsupdates. Die Investition in moderne Sicherheitslösungen gehört zur unternehmerischen Verantwortung. Statt jedoch wahllos das erstbeste Angebot anzunehmen, sollten KMU zunächst eine klare Cybersicherheitsstrategie entwickeln. Cloud-basierte und modulare Sicherheitsplattformen können die IT-Verwaltung vereinfachen und helfen bei der Kostenkontrolle.

Handreichungen wie der Stand der Technik des TeleTrusT oder das IT-Grundschutz-Kompendium des BSI liefern wertvolle Hinweise zu effektiven, vor allem organisatorischen Maßnahmen.

Tomasz Lawicki (Capgemini), Leiter des TeleTrusT-Arbeitskreises Stand der Technik in der IT-Sicherheit und Koordinator des Dokumentes: "Bei zunehmender Komplexität der Cyber-Bedrohungen ist die Handreichung eine wichtige Orientierungshilfe für die Umsetzung von technischen und organisatorischen Sicherheitsmaßnahmen. Da sich der Stand der Technik kontinuierlich weiterentwickelt, ist eine regelmäßige Aktualisierung unerlässlich."

Initiativen wie IT Security Made in EU oder IT Security Made in Germany helfen bei der Auswahl geeigneter Angebote.

KMU sollten zudem Outsourcing in Betracht ziehen. Spezialisierte IT-Dienstleister ergänzen die eigenen, internen Ressourcen. Auf IT-Sicherheit fokussierte Dienstleister wie Managed Service Provider setzen zudem meist selbst moderne Lösungen ein und sind besser auf neue Bedrohungen vorbereitet.