IT‑Sicherheit für KMU: Was der Marktbericht 2025 zeigt und was Sie jetzt präventiv tun können!

Cybersicherheit 2025: Warum digitale Resilienz wichtig ist!

Die digitale Sicherheit kleiner und mittlerer Unternehmen befindet sich an einem kritischen Wendepunkt. Während in den vergangenen Jahren viele Unternehmen auf Digitalisierung und Innovation setzten, zeigt die aktuelle Entwicklung, dass nicht im gleichen Zuge in die Cybersicherheit der Unternehmen investiert wird. Der technologische Fortschritt, steigende Vernetzungsgrade und ein professionelles Cybercrime-Ökosystem stellen KMU vor völlig neue Herausforderungen. Der aktuelle Bitkom-Report verdeutlicht, wie dramatisch sich die Lage in Deutschland verändert hat und welche Maßnahmen notwendig sind, um Widerstandsfähigkeit aufzubauen und wirtschaftliche Schäden zu vermeiden.

Eine neue Dimension des Wirtschaftsschadens

Die Schäden durch Cyberangriffe haben ein beispielloses Ausmaß erreicht. Im Jahr 2025 werden in Deutschland bereits 70 Prozent aller wirtschaftlichen Schäden durch digitale Angriffe verursacht.¹ Das bedeutet, dass 202,4 Milliarden Euro direkt auf Cyberkriminalität zurückzuführen sind.² Die Gesamtschäden der deutschen Wirtschaft belaufen sich auf 289,2 Milliarden Euro, was zeigt, wie dominant digitale Risiken inzwischen geworden sind.³ Im Jahr 2021 lag der Anteil noch bei 59 Prozent.⁴

Diese Zahlen spiegeln sich in der Wahrnehmung der Unternehmen wider. 59 Prozent betrachten Cyberangriffe inzwischen als reale Gefahr für ihre geschäftliche Existenz⁵. Mehr als vier von fünf Unternehmen rechnen außerdem fest damit, dass die Zahl der Angriffe innerhalb der nächsten zwölf Monate weiter zunimmt.⁶ Die Digitalisierung macht Unternehmen leistungsfähiger, aber gleichzeitig auch verwundbarer, wenn Sicherheitsmaßnahmen nicht Schritt halten. Deswegen wird Cybersicherheit immer mehr zu einer wirtschaftlichen Grundvoraussetzung und nicht erst im Ernstfall zu einem Thema, das über Erfolg oder Insolvenz entscheidet.

Bedrohung erkannt, aber Vorbereitung noch mangelhaft

Obwohl das Problembewusstsein stark ausgeprägt ist, zeigt sich eine deutliche Lücke zwischen Analyse und Umsetzung. Nur die Hälfte der Unternehmen gibt an, sehr gut auf Cyberangriffe vorbereitet zu sein.⁷ Dieser Anteil ist sogar leicht rückläufig im Vergleich zu 2024.⁸ Das bedeutet, dass viele zwar wissen, wie bedrohlich die Lage ist, aber nicht in ausreichendem Maße handeln.

Ein Grund dafür liegt in der Dynamik der Angriffe. Cyberkriminelle agieren heute hochprofessionell, organisiert und zunehmend automatisiert, was die Verteidigung erschwert. Gleichzeitig steigt die Komplexität digitaler Infrastrukturen, was Sicherheitslücken wahrscheinlicher macht. Positiv zu bewerten ist, dass die Investitionen in IT-Sicherheit zunehmen. Im Durchschnitt fließen heute 18 Prozent der IT-Budgets in Schutzmaßnahmen und moderne Sicherheitslösungen.⁹ Der Umsatz im Bereich IT-Sicherheit wird 2025 voraussichtlich 11,1 Milliarden Euro erreichen.¹⁰ Trotzdem bleibt entscheidend, ob dieses Budget effizient genutzt wird und eine konkrete Schutzwirkung entfaltet.

CSBW-Leitfaden für präventive Maßnahmen: Der gefährlichste Gegner ist Untätigkeit

Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, der in der Unternehmenspraxis fest verankert werden muss. Der Leitfaden der CSBW unterstreicht, dass Untätigkeit der gefährlichste Gegner sei. Prävention beginne mit einer realistischen Risikobewertung, die die Folgen eines möglichen Angriffs klar benenne und Prioritäten für den Schutz geschäftskritischer Systeme festlege. Nur wer die eigenen Schwachstellen kenne, könne gezielt gegensteuern.

Ein zentraler Erfolgsfaktor ist die Sensibilisierung der Mitarbeitenden. Da die meisten Angriffe durch menschliche Fehler ausgelöst werden, sollte jedes Unternehmen regelmäßige Awareness-Schulungen durchführen und verbindliche Sicherheitsrichtlinien etablieren. So lassen sich Gefahren durch Phishing-Mails, Social Engineering oder unsichere Passwörter erheblich reduzieren. Mitarbeitende müssen verstehen, dass sie selbst die erste Verteidigungslinie sind und dass Aufmerksamkeit und gesunder Menschenverstand oft wirksamer sind als jede Firewall.

Passwörter: Kleine Zeichen mit großer Wirkung

Sichere Passwörter sind die einfachste, aber oft unterschätzte Verteidigungslinie gegen Cyberangriffe. Ein schwaches Passwort öffnet Angreifenden sprichwörtlich die Tür ins System.

Tipps und Empfehlungen:

• Verwenden Sie lange, komplexe Passwörter aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Nutzen Sie einen Passwort-Manager, um sichere Passwörter zu generieren und zu verwalten.
• Ändern Sie doppelte oder geleakte Passwörter umgehend.
• Geben Sie Passwörter niemals weiter und notieren Sie diese nicht offen.
• Aktivieren Sie, wo möglich, Zwei-Faktor-Authentifizierung (2FA) für zusätzlichen Schutz.

Homeoffice: Sicherheit beginnt zu Hause

Arbeiten von zu Hause bringt Flexibilität, aber auch zusätzliche Risiken für sensible Unternehmensdaten. Ein sicheres Setup ist daher unverzichtbar.

Tipps und Empfehlungen:

• Nutzen Sie ein VPN, um sicher und verschlüsselt auf Unternehmensdaten zuzugreifen.
• Trennen Sie berufliche und private Geräte strikt voneinander.
• Aktualisieren Sie regelmäßig Betriebssysteme und Virenscanner.
• Halten Sie sich an das Clean-Desk-Prinzip: Vertrauliche Unterlagen gehören in verschlossene Schränke.

Mobiles Arbeiten: Sicherheit unterwegs

Ob im Zug, im Café oder auf Geschäftsreise, mobiles Arbeiten bedeutet erhöhte Wachsamkeit, da Geräte leichter verloren gehen oder ausspioniert werden können.

Tipps und Empfehlungen:

• Schützen Sie Laptop und Handy mit Passwort oder biometrischer Sperre.
• Nutzen Sie keine öffentlichen WLANs, greifen Sie stattdessen über ein VPN zu.
• Vermeiden Sie neugierige Blicke durch Blickschutzfolien oder eine geschickte Sitzposition.
• Sprechen Sie keine vertraulichen Informationen laut in der Öffentlichkeit aus.
• Melden Sie den Verlust von Geräten sofort an die IT-Abteilung.

Phishing und E-Mails: Täuschung erkennen und vermeiden

E-Mails sind das häufigste Einfallstor für Angriffe. Wachsamkeit und gesundes Misstrauen sind hier die beste Verteidigung.

Tipps und Empfehlungen:

• Öffnen Sie keine Anhänge oder Links von unbekannten Absendern.
• Überprüfen Sie auch bekannte Absender, wenn der Inhalt verdächtig wirkt.
• Lassen Sie sich nicht unter Druck setzen durch angebliche Dringlichkeit oder Drohungen.
• Melden Sie verdächtige Nachrichten sofort an die IT oder den Informationssicherheitsbeauftragten.
• Geben Sie nie Zugangsdaten über E-Mail ein. Öffnen Sie Webseiten nur über bekannte Links.

Arbeitsplatz: Sicherheit im Büroalltag

Auch im Büro lauern Risiken, sowohl digital als auch physisch. Ein bewusster Umgang mit Informationen schützt das Unternehmen im Alltag.

Tipps und Empfehlungen:

• Sperren Sie den Bildschirm, wenn Sie den Arbeitsplatz verlassen.
• Keine unbekannten USB-Sticks oder Datenträger anschließen.
• Decken Sie die Webcam bei Nichtnutzung ab.
• Lassen Sie keine Dokumente im Drucker liegen.
• Begleiten Sie Besucher immer und lassen Sie keine Unbefugten ins Gebäude.
• Halten Sie sich an das Clean-Desk-Prinzip und räumen Sie vertrauliche Unterlagen weg.

Internet und Cloud: Sicher vernetzt bleiben

Das Internet bietet enorme Chancen, aber auch viele Angriffsflächen. Mit einigen Grundregeln lässt sich die Datensicherheit deutlich erhöhen.

Tipps und Empfehlungen:

• Achten Sie auf https:// und das Schloss-Symbol bei Webseiten.
• Installieren Sie regelmäßig Updates für Browser, Betriebssystem und Sicherheitssoftware.
• Nutzen Sie nur freigegebene Cloud-Dienste des Unternehmens.
• Vermeiden Sie öffentliche oder unsichere Datei-Sharing-Plattformen.
• Löschen Sie regelmäßig Cookies und Browserverläufe, um Datenspuren zu reduzieren.
• Prüfen Sie verdächtige Webseiten auf ungewöhnliche Domain-Endungen oder Schreibfehler.

Social Engineering: Der Mensch als Zielscheibe

Angreifende nutzen gezielt menschliche Eigenschaften wie Vertrauen oder Hilfsbereitschaft, um an Informationen zu gelangen. Vorsicht und Verifizierung sind hier entscheidend.

Tipps und Empfehlungen:

• Hinterfragen Sie ungewöhnliche Anfragen, vor allem zu Passwörtern oder Softwareinstallationen.
• Überprüfen Sie Identitäten, bevor Sie Informationen preisgeben.
• Geben Sie keine sensiblen Daten über soziale Netzwerke oder Messenger weiter.
• Beenden Sie verdächtige Gespräche freundlich und informieren Sie anschließend Ihre Führungskraft.
• Seien Sie sich bewusst: Schon kleine Informationen können Angreifenden helfen.

Videokonferenzen: Virtuell, aber nicht schutzlos

Digitale Meetings sind praktisch, bergen aber Datenschutz- und Sicherheitsrisiken. Eine gute Vorbereitung schützt vor ungewollten Einblicken.

Tipps und Empfehlungen:

• Nutzen Sie virtuelle Hintergründe oder Weichzeichner für mehr Privatsphäre.
• Schalten Sie Pop-up-Benachrichtigungen aus, bevor Sie den Bildschirm teilen.
• Geben Sie keine Passwörter ein, während der Bildschirm geteilt wird.
• Holen Sie vor Aufzeichnungen immer die Zustimmung aller Teilnehmenden ein.
• Deaktivieren Sie nicht benötigte Tracking- oder Protokollfunktionen in der Software.

Sicherheitsvorfall: Richtig reagieren, wenn es ernst wird

Kommt es trotz aller Vorsicht zu einem Angriff, zählt jede Minute. Ein klarer Notfallplan verhindert, dass aus einem Vorfall eine Krise wird.

Tipps und Empfehlungen:

• Bewahren Sie Ruhe und stellen Sie die Arbeit am betroffenen System sofort ein.
• Trennen Sie das Gerät vom Netzwerk und melden Sie den Vorfall unverzüglich.
• Informieren Sie IT oder Geschäftsleitung so früh wie möglich.
• Leiten Sie keine eigenmächtigen Maßnahmen ein! Handeln Sie in Absprache mit der IT.

Fazit: Cybersicherheit ist nicht nur Chefsache

Der aktuelle Bitkom-Report verdeutlicht eindrücklich, dass Cyberangriffe längst kein Randthema mehr sind, sondern zu den größten wirtschaftlichen Risiken für kleine und mittlere Unternehmen zählen. Wer heute in Cybersicherheit investiert, schützt nicht nur Daten und Systeme, sondern vor allem die eigene Wettbewerbsfähigkeit. Entscheidend ist dabei nicht allein die Technik, sondern das Zusammenspiel von Wissen, Aufmerksamkeit und konsequentem Handeln im gesamten Unternehmen.

Gerade KMU können durch gezielte Schulungen, klare Sicherheitsrichtlinien und eine verankerte Sicherheitskultur große Wirkung erzielen und dass oft mit überschaubarem Aufwand. Wichtig ist, dass Cybersicherheit nicht als kurzfristige Reaktion auf Bedrohungen verstanden wird, sondern als fester Bestandteil der Unternehmensstrategie. Prävention, Sensibilisierung und kontinuierliche Verbesserung sind die Bausteine einer nachhaltigen Abwehrstrategie.

Wer sich vertiefend mit den Themen Informationssicherheit, Awareness oder Notfallmanagement auseinandersetzen möchte, findet im Kompetenzatlas des Bodensee Innovation Zentrums (BZI) eine zentrale Anlaufstelle. Dort werden aktuelle Schulungsangebote, Fachpublikationen und regionale Initiativen fortlaufend gebündelt und praxisnah aufbereitet. Der Kompetenzatlas hilft Unternehmen und Organisationen, passende Weiterbildungen zu finden, Experten zu vernetzen und das eigene Sicherheitsniveau gezielt zu erhöhen.

Cybersicherheit ist damit nicht nur ein technisches, sondern ein strategisches Thema. Sie entscheidet zunehmend über Vertrauen, Stabilität und Zukunftsfähigkeit. Unternehmen, die heute handeln, sichern sich morgen nicht nur gegen Angriffe ab, denn sie schaffen auch die Grundlage für digitale Souveränität und nachhaltigen Erfolg.

1. Bitkom Research 2025 (https://www.wirtschaft-digital-bw.de/anwendungen/publikationen-studien). ↩︎
2. Ebd. ↩︎
3. Ebd. ↩︎
4. Ebd. ↩︎
5. Ebd. ↩︎
6. Ebd. ↩︎
7. Ebd. ↩︎
8. Ebd. ↩︎
9. Ebd. ↩︎
10. Ebd. ↩︎