Aktuelles, Branche, Studien - geschrieben von dp am Donnerstag, November 6, 2025 0:20 - noch keine Kommentare

Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit

Tags: Arlington Research, Berkeley Kommunikation, Chefetage, Cybersicherheit, Deutschland, Geschäft, Ignoranz, Kaspersky, KMU, Relevanz, Waldemar Bergstreiser, William Clark

23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 06.11.2025] Den Führungsebenen (C-Level) in Kleinen und Mittelständischen Unternehmen (KMU) in Deutschland fehlt es offensichtlich an Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit – „das sagen 23 Prozent der IT-Führungskräfte in KMU in Deutschland“. Kaspersky hat Arlington Research mit der Durchführung einer Online-Umfrage zum Selbstausfüllen für Entscheidungsträger mit wesentlichen Aufgaben im Bereich Cybersicherheit in Unternehmen mit weniger als 500 Mitarbeitern in Europa und Afrika im August und September 2025 beauftragt. Demnach führte Arlington insgesamt 880 Interviews mit dieser Zielgruppe durch – in Europa insgesamt 600; darunter je 60 Interviews pro Land u.a. in Deutschland, Österreich und der Schweiz. Dabei zeige sich eine strukturelle Diskrepanz zwischen den Prioritäten in der Chefetage und der Abwehr von Cyberbedrohungen. Denn gleichzeitig sage über ein Drittel (35%), dass die Verfolgung potenzieller Bedrohungen ein Vollzeitjob sei, während 22 Prozent mehr Zeit mit der Fehlerbehebung von „Tools“ verbrächten als mit der tatsächlichen Abwehr und jeder Zehnte (10%) mit Warnmeldungen „überflutet“ werde. Diese Ergebnisse beruhen auf der aktuellen Kaspersky-Umfrage „Klartext in Sachen Cybersicherheit – Was nervt, was fehlt, was hilft wirklich?“.

Am Limit: Viele KMU-Sicherheitsteams ringen um Beibehaltung der Kontrolle

Die operative Belastung in Sachen Cybersicherheit in mittelständischen Unternehmen in Deutschland sei allgegenwärtig. Viele KMU-Sicherheitsteams kämpfen damit, überhaupt die Kontrolle zu behalten. So gäben 35 Prozent an, dass die Überwachung potenzieller Cyberbedrohungen eine Vollzeitaufgabe sei. 22 Prozent würden sogar mehr Zeit mit dem „Troubleshooting“ von Sicherheitstools als mit der eigentlichen Abwehr von Angriffen verbringen. „Zehn Prozent fühlen sich zudem von Warnmeldungen überwältigt und haben Schwierigkeiten, kritische Vorfälle von Fehlalarmen zu unterscheiden.“

Das Gesamtbild sei eindeutig: „Der Aufwand ist hoch, die Wirkung gering.“ Viele Verantwortliche berichteten zudem, dass ihre Sicherheitslösungen sie eher ausbremsten als unterstützten.

Dabei bleibe die Bedrohungslage ernst: Kaspersky-Daten aus europäischen KMU-Umgebungen zeigten, dass „Backdoors“ (24%), „Trojaner“ (17%) und „Not-a-Virus:Downloader“ (16%) zu den häufigsten Angriffstypen gehörten. Trotz regionaler Unterschiede verdeutliche dieses Muster, dass eine konsequente Triage und schnelle Reaktionsfähigkeit entscheidend seien.

Erhöhtes Risiko durch fehlendes Verständnis in der C-Riege der KMU sowie Fachkräftemangel

Eine weitere Herausforderung entstehe durch Kompetenz- und Verständnislücken zwischen Geschäftsleitung und operativen Sicherheitsteams. Fast ein Viertel (23%) der Befragten gebe an, „dass Führungskräfte die geschäftliche Bedeutung von Cybersicherheit nicht vollständig verstehen“ – was notwendige Entscheidungen und Investitionen verzögern dürfte.

Des Weiteren berichteten drei von zehn (30%) über einen Mangel an qualifizierten Fachkräften, weswegen sich die Mehrheit der KMU daher auf allgemeine IT-Teams (42%) oder Sicherheitsverantwortliche innerhalb dieser Teams (30%) stütze. Nur 18 Prozent verfügten über ein dediziertes Cybersicherheitsteam, zehn Prozent verließen sich ausschließlich auf externe Partner.

Trotzdem zeige sich ein paradoxes Bild, wenn es um die Zufriedenheit mit den eigenen Sicherheitsteams geht: 67 Prozent seien zufrieden mit Sicherheitsexperten innerhalb des IT-Teams, 84 Prozent mit den IT-Abteilungen insgesamt und 73 Prozent mit internen Cyberteams. „Das deutet auf eine Dissonanz zwischen subjektiver Zufriedenheit und tatsächlicher Sicherheitslage hin.“

In vielen KMU stemmen allgemeine IT-Mitarbeiter und einzelne Spezialisten den Cybersicherheitsalltag

„Mittelständischen Unternehmen mangelt es nicht an Cybersicherheits-Tools, sondern an Kohärenz“, so Waldemar Bergstreiser, „General Manager DACH“ bei Kaspersky. Er führt aus: „Cybersicherheitsrelevante Informationen trudeln über Lösungen schneller ein als Entscheidungen getroffen werden können. Dadurch geraten Kontrollen und Arbeitsabläufe in Konflikt und die Verantwortung verschwimmt genau in von der Erkennung zur Reaktion übergegangen werden müsste.“

Allerdings stemmten in vielen KMU oft allgemeine IT-Mitarbeiter und einzelne Spezialisten den Sicherheitsalltag, was die Cybersecurity gefährde. Denn dadurch verlangsame sich die Triage, Kontext gehe verloren und taktische Probleme wüchsen sich zu strategischen Risiken aus.

Bergstreiser unterstreicht: „Entscheidungsträger müssen ihren Teams jetzt die richtigen Ressourcen, Lösungen und Fachkräfte bereitstellen – und vor allem verstehen, dass Cybersicherheit kein reines IT-Thema, sondern ein geschäftsentscheidendes Thema ist. Nur so können sich mittelständische Unternehmen zukunftssicher aufstellen!“

Kaspersky-Empfehlungen für KMU zur Stärkung der betrieblichenCybersicherheit:

Transformation der Cybersicherheitspläne in effektiven Schutz
„Kaspersky Next“ für kleine und mittlere Unternehmen kombiniere z:b. moderne „Endpoint Protection“ mit EDR und XDR – und biete damit Echtzeit-Transparenz, schnelle Reaktionsfähigkeit auf Bedrohungen sowie die erforderliche Nachvollziehbarkeit, um Sicherheitsstrategien in die Praxis umzusetzen. Für KMU mit etablierter IT-Infrastruktur biete „Kaspersky Next XDR Optimum“ eine erweiterte Integration und Sichtbarkeit.
Ermöglichung des Schutzes für begrenzte IT-Ressourcen
Auch sehr kleine Unternehmen sollten sich um einen professionellen Cyberschutz bemühen. „Kaspersky Small Office Security“ etwa lasse sich einfach implementieren und verwalten und schütze vor finanziellen Verlusten, Datendiebstahl und Ransomware, ohne dass internes Fachwissen erforderlich sei.
Investitionen in „Awareness“ und Weiterbildung
Durch Trainingsprogramme und „Awareness“-Initiativen auf allen Ebenen der Organisation lasse sich das Risiko interner Sicherheitsvorfälle minimieren. Die „Kaspersky Automated Security Awareness Platform“ beispielsweise unterstütze KMU zudem mit skalierbaren, rollenbasierten Lernmodulen.
Integration und Förderung der Cyberresilienz
Im gesamten Unternehmen gelte es eine Sicherheitskultur zu etablieren, um Mitarbeiter zu befähigen, neu auftretende Bedrohungen im Arbeitsalltag effektiv zu bewältigen.