Das Risiko von Cyberangriffen ist für kleine und mittelständische Unternehmen in Deutschland längst Alltag. 60 Prozent der Befragten stufen Cyberschäden als relevantes Risiko ein, 31 Prozent halten es für „hoch“ oder „eher hoch“, dass ihr Unternehmen innerhalb der nächsten zwei Jahre Ziel einer Attacke wird. Das zeigt die Cyberstudie 2026 der HDI Versicherung, für die das Marktforschungsunternehmen Sirius Campus Anfang 2026 rund 1.100 Entscheider aus KMU sowie Selbstständige und Freiberufler befragt hat.
Trotz anhaltender Angriffe zeigt sich ein bemerkenswerter Rückgang bei den Schadenkosten. Die durchschnittliche Schadenhöhe bei erfolgreichen Angriffen lag laut Studie bei rund 25.000 Euro – in den Vorgängerstudien seit 2022 hatte dieser Wert stets mindestens 68.000 Euro betragen. Peter Bertram, Leiter Produktmanagement und Underwriting Cyber der HDI Versicherung, führt das auf gestiegene Reife zurück: „Die deutlich gesunkene Schadenhöhe kann bedeuten, dass viele Unternehmen inzwischen routinierter mit der Bedrohung umgehen, präventive Maßnahmen greifen und Angriffe schneller eingegrenzt werden.“ Unternehmen hätten die Cyberbedrohung somit als Teil ihrer unternehmerischen Realität begriffen.
Gleichzeitig mahnt Bertram aber zur Wachsamkeit: „Neue Gefahr droht allerdings, wenn aus Routine Nachlässigkeit wird und der Fokus auf die Cybersicherheit nachlässt.“
Existenzbedrohung bleibt – besonders für Kleinunternehmen
Rund 35 Prozent der Befragten gaben an, dass ihr Unternehmen im Verlauf der vergangenen fünf Jahre mindestens einmal Ziel einer Cyberattacke geworden sei. Jedes dritte Unternehmen sieht seine Existenz im Falle eines massiven Cyberschadens gefährdet – und viele erkennen diese Gefahr erst beim konkreten Vorfall. Besonders Kleinunternehmen mit einem Jahresumsatz zwischen 2,5 und zehn Millionen Euro sind überproportional betroffen und können Schäden oft weniger gut kompensieren als größere Unternehmen, wie bereits die HDI Cyberstudie 2024 gezeigt hatte.
Die Mehrheit der Unternehmen setzt auf Prävention. 87 Prozent der Befragten haben technische Maßnahmen wie Firewalls oder automatische Backups umgesetzt, 71 Prozent führen Mitarbeiterschulungen durch und 69 Prozent haben organisatorische Maßnahmen wie IT-Richtlinien oder Sicherheitsstrategien eingeführt. Der Nutzen dieser Investitionen ist messbar: Bei Unternehmen mit Präventionsmaßnahmen liegt die durchschnittliche Schadenhöhe 33 Prozent niedriger als bei solchen, die darauf verzichten.
Cloud als Sicherheitsanker?
Mehr als die Hälfte der befragten Unternehmen (54 Prozent) arbeitet inzwischen zumindest teilweise in einer Cloud-Umgebung. 49 Prozent nannten dabei erhöhte IT-Sicherheit als wesentlichen Treiber, weitere Motive waren Flexibilität und Mobilität (44 Prozent) sowie geringere Hardware- und Wartungskosten (38 Prozent).
Die Studienergebnisse zeigen jedoch auch eine Kehrseite: 31 Prozent der Cloud-nutzenden Unternehmen berichteten von einer Betriebsunterbrechung infolge eines Cybervorfalls. Bei Unternehmen ohne Cloud-Nutzung waren es lediglich 14 Prozent. Werden Sicherheitsmaßnahmen vernachlässigt, können durch die Cloud neue Angriffsflächen entstehen.
Phishing bleibt Haupteinfallstor und KI verändert das Bedrohungsbild
Der Mensch bleibt das zentrale Einfallstor in die Unternehmens-IT. Phishing-Mails waren die häufigste Angriffsmethode: 64 Prozent der in den zwölf Monaten vor der Befragung attackierten Unternehmen berichten davon, gefolgt von E-Mails mit Schadsoftware (47 Prozent) und versehentlichem Download von Schadsoftware aus dem Internet (30 Prozent).
Zunehmend spielen auch KI-gestützte Angriffe eine Rolle. „CEO-Fraud oder Deepfake-basierte Täuschungen werden im Jahr 2026 von einem relevanten Anteil der Unternehmen als ernsthafte Risiken wahrgenommen“, erklärt Bertram. Laut Studie waren bereits sieben Prozent der Befragten mit CEO-Fraud oder Zahlungsbetrug konfrontiert, 27 Prozent sehen dieses Szenario als relevantes Risiko. Deepfake-Angriffe haben vier Prozent der Unternehmen erlebt, 24 Prozent schätzen sie als relevant ein.
Die Wahrnehmung von KI insgesamt ist dennoch mehrheitlich positiv: 55 Prozent der Befragten sehen KI als Chance, nur 21 Prozent als Risiko. 26 Prozent sind der Ansicht, dass KI die Cyber-Resilienz ihres Unternehmens stärkt, elf Prozent sehen darin eher eine Schwächung. Mit zunehmender Unternehmensgröße fällt die Einschätzung dabei tendenziell positiver aus – Kleinunternehmen stehen der Technologie kritischer gegenüber.














