Cybersicherheit 2025: 10 Fragen, die sich jedes Unternehmen jetzt stellen muss

Alexandra Uhr
19. Aug.
4 Min. Lesezeit

Sätze wie „Wir sind da gut aufgestellt“ oder „Uns wird schon nichts passieren“ fallen immer noch viel zu häufig, wenn es um die Frage nach der IT-Sicherheit geht und kommen gleichermaßen von Unternehmen, Selbstständigen oder IT-Verantwortlichen. In der Realität sieht die Sache aber ganz anders aus.

Denn laut der aktuellen Studie von Devolutions, in der es um die IT-Sicherheit bei KMUs weltweit geht, zeigt sich eine deutliche Lücke zwischen gefühlter Sicherheit und tatsächlicher Abwehrkraft. Besonders in der DACH-Region, wo viele kleine und mittlere Unternehmen immer noch zögern, tief in IT-Sicherheit zu investieren.

2025 muss aber endlich das Jahr werden, in dem wir uns von der Illusion verabschieden, dass Cyberbedrohungen „nur die Großen betreffen“. Denn das ist einfach nicht wahr.

Die Bedrohungen sind real, die Angriffe werden präziser und neue Technologien wie KI machen Cyberattacken so effizient wie nie zuvor.

In diesem Beitrag schauen wir uns deshalb die 10 wichtigsten Fragen zum Thema an und versuchen, etwas Klarheit zu schaffen.

Sind wir wirklich so sicher, wie wir glauben?

In der Devolutions Studie gaben 71% der KMUs an, sie seien auf Cybervorfälle gut vorbereitet. Die nüchternen Zahlen sagen jedoch etwas anderes: Nur 22% verfügen tatsächlich über fortgeschrittene Sicherheitsstrukturen.

In der Praxis bedeutet das: Viele fühlen sich sicher, weil bisher nichts passiert ist.

Besonders in der DACH Region wird Sicherheit gerne mit Ruhe verwechselt. Doch Ruhe ist oft nur die Zeit vor dem Angriff.

Verwalten wir Zugänge professionell oder noch mit Excel?

Es klingt fast absurd, aber mehr als die Hälfte der befragten Unternehmen (52%) verwalten privilegierte Zugänge noch mit Listen, Tabellen oder gar ohne klare Struktur.

Das Problem: Ein einziges kompromittiertes Passwort kann Tür und Tor öffnen – für alle Systeme.

"Hacker brechen nicht ein, Sie loggen sich ein."

Nutzen wir KI aktiv zur Verteidigung?

Künstliche Intelligenz wird 2025 nicht mehr nur in den Marketing-Abteilungen diskutiert, sondern ist längst ein Werkzeug der Cyberkriminellen. Dennoch setzen 40% der Unternehmen keine KI-gestützten Tools zur Erkennung oder Abwehr von Angriffen ein (obwohl 71% dies eigentlich planen).

Aber warum ist das so?

Unser Eindruck: Obwohl viele wissen, dass KI helfen kann, scheitert die Umsetzung oft an Unsicherheit oder fehlenden Ressourcen. Dagegen hilft nur, sich bewusst mit künstlicher Intelligenz zu beschäftigen und zu informieren. Wer KI versteht, wird weniger Angst davor haben, sie richtig einzusetzen.

Investieren wir genug?

63% der Unternehmen haben ihr Sicherheitsbudget zwar erhöht, doch fast ein Drittel gibt weiterhin weniger als 5% des IT-Budgets dafür aus.

In Märkten wie Österreich und Deutschland, wo Investitionen oft langfristig kalkuliert werden, ist das gefährlich. Cyberangriffe kalkulieren nicht in Fünfjahresplänen – sie passieren heute!

„Wer mehr für Kaffee als für IT-Sicherheit ausgibt, wird gehackt. Darüber hinaus verdienen Sie es, gehackt zu werden.“ – Richard Clarke

Sind wir auf Insider-Bedrohungen vorbereitet?

Fast 80% der Unternehmen sehen das Risiko durch eigene Mitarbeitende – ob absichtlich oder durch Unwissenheit – als real an. Aber nur jedes fünfte Unternehmen hat einen konkreten Abwehrplan.

In kleineren Betrieben in der Schweiz oder in österreichischen Familienunternehmen wird oft davon ausgegangen, dass „unsere Leute so etwas nie tun würden.“ Was viele dabei vergessen: Vieles passiert oft ungewollt, z.B. durch Phishing oder falsches Klickverhalten.

Schulen wir unser Team regelmäßig?

IT-Sicherheit ist kein Software-Projekt, das man einmal „installiert“ und dann abhaken kann. Trotzdem bieten nur 39% der KMUs kontinuierliche Schulungen an.

Besonders im deutschsprachigen Raum gilt oft: Ein verpflichtendes Training pro Jahr reicht. Die Wahrheit ist aber, dass Angreifer ihre Methoden ständig ändern. Darauf muss auch das Wissen im Unternehmen reagieren.

"Das schwächste Glied in der Sicherheitskette ist das menschliche Element." – Kevin Mitnick

Wie schnell würden wir einen Angriff bemerken?

43% der KMUs erlebten im letzten Jahr mindestens einen Angriff. Nur 31% bemerkten diesen innerhalb weniger Minuten. Doch genau diese Minuten entscheiden oft darüber, ob ein Angriff abgewehrt oder zu einem millionenschweren Problem wird.

In vielen DACH-Unternehmen fehlt es hier an automatisierten Detection-Systemen oder klaren Alarmwegen.

Sind kleine Firmen wirklich zu unattraktiv für Angriffe?

Ein Irrglaube, der sich hartnäckig hält – gerade in Österreich und der Schweiz. Denn global gesehen entfallen rund 43% aller Cyberangriffe auf kleine Unternehmen.

Warum? Weil sie oft schlechter geschützt sind.

Könnten wir einen Angriff wirtschaftlich überstehen?

Die Kosten eines erfolgreichen Cyberangriffs in der DACH-Region liegen laut Branchenanalysen zwischen 80.000 und 300.000 Euro – abhängig von Unternehmensgröße, Branche und Ausfallzeit. Bei gezielten Ransomware-Angriffen kommen oft noch Lösegeldforderungen hinzu, die nicht selten im sechsstelligen Bereich liegen.

Für viele kleinere Firmen würde das eine existenzielle Krise bedeuten, vor allem auch, weil Versicherungen längst nicht mehr in jedem Fall zahlen.

Sind wir bereit, JETZT zu handeln?

Die Studie zeigt: Die größten Lücken liegen nicht bei den Technologien, sondern bei Prozessen, Bewusstsein und Prioritäten. Das gilt für Handwerksbetriebe ebenso wie für Versicherungsmakler, Steuerberater, Immobilienmakler und viele weitere Branchen. Egal, ob Start-up oder etablierte Mittelständler.

Fazit

Cybersicherheit 2025 bedeutet nicht, dass man jeden Trend mitmachen muss. Aber es bedeutet, die Realität anzuerkennen: