Cybersecurity: Wie Mittelständler ihre Abwehr gegen Hacker stärken
Köln. Es ist eine Homepage der gesammelten Schreckensmeldungen: Wer seinen Namen auf der Plattform Ransomware.live wiederfindet, hat mutmaßlich ein erhebliches IT-Problem. Die Website listet Unternehmen aus aller Welt auf, von denen Cyberbanden im Darknet angeben, sie gehackt zu haben. Dabei beschränkt sich die Seite auf Erpressungsversuche und nennt als eigene Motivation für die Opfershow: „Unternehmen und Einzelpersonen dabei helfen, die Risiken zu verstehen.“
Im Herbst konnten auch einige deutsche Mittelständler ihren Namen auf der einschlägigen Plattform finden, darunter ein Bremer Anlagenbauer, ein Bauunternehmen aus Rheinland-Pfalz und ein Hersteller von Antriebstechnik aus Baden-Württemberg. Die Infoseite machte in diesem Jahr mehr als 250 deutsche Unternehmen ausfindig, die laut Hackern Opfer einer Erpressungsattacke geworden sind.
Wie viele Unternehmen im Jahr 2025 tatsächlich gehackt worden sind, lässt sich nur schwer schätzen. Doch auffällig ist: Häufig trifft es Mittelständler. Nach Angaben der Transferstelle Cybersicherheit im Mittelstand hat sich die Zahl der Attacken auf deutsche Unternehmen zwischen 2021 und 2024 mehr als vervierfacht. Zugleich zeigen Studien trotz dieser offensichtlichen Tendenz, dass vor allem kleine und mittelständische Unternehmen bei der Cyberresilienz Nachholbedarf haben.
Der Abstand nimmt zu
Eine Untersuchung des IT-Anbieters Cisco belegt dies: Größere Unternehmen sind im Schnitt besser geschützt als kleine und mittelgroße Unternehmen mit weniger als 250 Mitarbeitern. So seien nur zwei Prozent von ihnen optimal auf eine Attacke vorbereitet, aber acht Prozent der größeren Unternehmen. „Die Kluft beim Schutzniveau zwischen Mittelständlern und Konzernen wächst“, sagt Marcus Gerstmann, Leiter für den Mittelstand bei Cisco in Deutschland. Die Cisco-Studie weist aus, dass 38 Prozent der kleinen und mittelgroßen Firmen bereits Cyberangriffe erlebt haben. Die Angriffswahrscheinlichkeit für sie wächst laut Cisco.
Dass Mittelständler immer häufiger in den Fokus krimineller Hacker rücken, ist auch eine Frage des Geldes. Denn die Bereitschaft, in bestehende Cybersecurity-Systeme zu investieren, ist bei Großunternehmen höher. Während nur 43 Prozent der kleineren Firmen nennenswerte Aufrüstungen planen, sind es bei den Großunternehmen 68 Prozent. Damit setzt sich ein Trend vergangener Jahre fort.
Die Investitionszurückhaltung von Mittelständlern ist zum Teil auch strukturell begründet. Denn häufig sind die dort anzutreffenden IT-Systeme über die Jahre heterogen gewachsen und dementsprechend unübersichtlich. Sicherheitstools im Unternehmen wie Firewalls oder getunnelte VPN-Kanäle stammen oft von mehreren Dutzend Herstellern. Entsprechend viele Schnittstellen erschweren die reibungslose Wartung. „Wenn solche gewachsenen Systeme funktionieren, fasst man sie für größere Anpassungen nur ungern an“, sagt Gerstmann. „Vor dieser Entscheidung schrecken viele Unternehmer zurück, auch weil gerade in den kleineren Betrieben oft die IT-Kompetenz fehlt.“
Dabei versprechen nicht allein technische Vorkehrungen Mittelständlern mehr Schutz. „Cybersicherheit ist auch das Ergebnis organisatorischer Maßnahmen“, sagt Dirk Achenbach, Projektleiter in der Transferstelle Cybersicherheit im Mittelstand des Bundes. Die Initiative unterstützt kleine und mittelgroße Betriebe auf ihrem Weg zu mehr Cybersicherheit.
Bei ihnen sei häufig schon das Wissen unzureichend, welche Daten im Unternehmen überhaupt schützenswert sind, sagt Achenbach. Doch diese Kenntnisse sind eine Voraussetzung, um gezielte Maßnahmen für mehr IT-Sicherheit zu ergreifen, also etwa Schulungen für Beschäftigte und das Management. „Viele Geschäftsführer wissen zwar, wie teuer ein Produktionsausfall für das Unternehmen wird. Aber die Folgen eines lahmgelegten E-Mail-Servers können sie nicht beziffern“, sagt Achenbach.
Tatsächlich herrscht allerdings auch in Großunternehmen zu wenig Kenntnis über die Folgen einer durchgeschlagenen Attacke. Viele Vorstände unterschätzen, wie teuer ein Cyberangriff werden kann. Der internationale Versicherungsmakler und Risikoberater Willis hat 4650 Schadensfälle untersucht und ist zu dem Schluss gekommen, dass die Folgen einer Attacke länger anhalten und zudem teurer ausfallen, als Führungskräfte dies erwarten.
Die durchschnittliche Dauer eines IT-Ausfalls nach einer Attacke mit Erpressersoftware beträgt demnach mehr als drei Wochen. Vorstände gingen oft nur von einigen Tagen aus. Der durchschnittliche Schaden betrage rund 2,3 Millionen Euro, eine Summe also, die existenzbedrohend sein kann. „Gerade im Mittelstand dürfen Manager das Risiko einer Insolvenz durch eine Cyberattacke nicht unterschätzen“, sagt Theodoros Bitis, Cyberexperte bei Willis.
Fertigungsbetriebe sind wegen eines möglichen Produktionsausfalls besonders gefährdet. So erwischte es im Mai dieses Jahres den Euskirchener Serviettenhersteller Fasana mit mehr als 200 Mitarbeitern. Der Angriff legte die Produktion lahm, Aufträge konnten nicht ausgeführt werden. Schon im Juni meldete Fasana Insolvenz an. Ob das Unternehmen Lösegeld bezahlt hat, ist nicht bekannt.
In Hamm musste die Einhaus Gruppe in die Insolvenz. Der Reparaturdienstleister und Versicherer von Handys war schon 2023 von Ransomware betroffen. Alle Server waren blockiert, ein Lösegeld sei geflossen, erklärte Geschäftsführer Wilhelm Einhaus dem „Westfälischem Anzeiger“. Es brachte laut Einhaus am Ende nichts: „Dass wir als nachweislich Geschädigte die erpressten Gelder nicht zurückerhalten, obwohl sie beschlagnahmt wurden, hat unsere Restrukturierungsbemühungen zum Scheitern gebracht.“
Der Anlagenbauer Wehrle-Werk in Emmendingen konnte im Mai 2024 nach einer Attacke nur noch in geringem Maße produzieren. Auch die Kommunikationssysteme waren lange massiv gestört. Der Hackerangriff habe das im Jahr 1860 gegründete Unternehmen „zeitweise lahmgelegt“, teilte das Unternehmen mit. Im Sommer dieses Jahres folgte die Insolvenz.
„Die vielen Berichte über Insolvenzen nach Cyberattacken haben viele Führungskräfte aufgeschreckt“, sagt Bitis. „Das Bewusstsein für Cybergefahren in den Führungsetagen deutscher Mittelständler wächst daher.“ Dennoch sei man nicht so weit wie in den USA, Großbritannien oder Israel, wo die Abwehrbereitschaft höher sei.
Höhere Auflagen
Auch die europäische NIS-2-Richtlinie für mehr Cybersecurity sorgt nach Ansicht von Willis-Experte Bitis für Bewegung im Mittelstand. Derzeit berät der Bundestag über den Gesetzentwurf. Demnach müssen Unternehmen bis 2027 einen ersten Nachweis erbringen, dass die erforderlichen Sicherheitsmaßnahmen umgesetzt sind.
Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz ab zehn Millionen Euro müssen nach NIS 2 bestimmte Sicherheitsvorkehrungen treffen. Dazu gehört die Einführung von IT-Sicherheitsrichtlinien sowie ein Notfallmanagement für den Fall einer Cyberattacke. Behörden dürfen dies nachprüfen. Bei Verstößen drohen Bußgelder. Zudem kann die Geschäftsführung persönlich haften, wenn Cybersicherheitsvorgaben missachtet werden, sagt Bitis. „Damit rückt das Thema Cybersecurity stärker in die Chefetagen auf und kann nicht mehr links liegen gelassen werden.“