80 Prozent der Cyberangriffe treffen KMU: Versicherer fordern mehr Prävention
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) warnt vor professionellen Cyberkriminellen und appelliert an eine bessere Prävention. Vor allem kleine und mittelständische Unternehmen überschätzen häufig ihre Cybersicherheit.
Die Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI) lassen keinen Raum für Beschönigungen. Deutschland steht im Fadenkreuz von Cyberkriminellen. Lange Zeit richtete sich der Blick vor allem auf spektakuläre Hackerangriffe gegen Krankenhäuser oder Behörden. Sie galten als Inbegriff digitaler Bedrohung. Doch das Gefährdungsszenario hat sich verschoben. Es entwickelt sich nicht mehr entlang einzelner, öffentlichkeitswirksamer Angriffe, sondern in einer Dynamik, die leiser, schneller und zunehmend industriell geprägt ist.
Bereits heute entstehen täglich rund 280.000 neue Varianten von Schadprogrammen. Besonders auffällig ist die Entwicklung bei klassischen Windows-Systemen, wo Schadsoftware deutlich zugenommen hat. Versicherer haben ein großes Interesse an einer resilienten Wirtschaft gegenüber Cyberrisiken. Als Teil der kritischen Finanz- und Sicherheitsinfrastruktur sehen sie ihre Rolle nicht nur in der Regulierung von Schäden, sondern auch in der Aufklärung und Prävention.
Eigenes Schutzniveau wird überschätzt
Deutschland steht im Fokus staatlich gesteuerter Cyberangriffe und zählt international zu den bevorzugten Zielen. Rund ein Viertel der weltweit aktiven APT-Gruppen richtet seine Operationen zumindest zeitweise auf deutsche Einrichtungen. APT steht für „Advanced Persistent Threat“ und bezeichnet hochprofessionelle, langfristig angelegte Cyberangriffe, die meist von staatlichen oder staatsnahen Akteuren durchgeführt werden. Im globalen Vergleich liegt Deutschland damit auf Platz vier, hinter den USA, Großbritannien und Israel. Besonders brisant sind Angriffe auf politische Institutionen und kritische Infrastrukturen. So wurden Parteistrukturen kompromittiert und auch die administrative IT der Deutschen Flugsicherung angegriffen.
Doch während diese Vorfälle öffentliche Aufmerksamkeit erzeugen, liegt der Schwerpunkt der Bedrohung an anderer Stelle. Rund 80 Prozent der registrierten Ransomware-Angriffe treffen kleine und mittlere Unternehmen. Für den betrachteten Zeitraum vom 1. Juli 2024 bis 30. Juni 2025 wurden vom BSI etwa 950 Fälle offiziell erfasst. Die tatsächliche Zahl dürfte deutlich höher liegen. Angreifer folgen dabei einer klaren Logik: Sie wählen Ziele mit geringer Resilienz und überschaubarem Schutzaufwand. Wie aus dem BSI-Lagebericht 2025 hervorgeht, erfüllen kleine und mittlere Unternehmen im Schnitt nur gut die Hälfte grundlegender IT-Sicherheitsanforderungen, während viele ihr eigenes Schutzniveau überschätzen. Gleichzeitig sinkt das Sicherheitsbewusstsein im Arbeitsalltag. Laut BSI werden im Durchschnitt weniger als vier Schutzmaßnahmen pro Beschäftigten genutzt, wobei selbst grundlegende Vorkehrungen wie regelmäßige Updates, Multi-Faktor-Authentifizierung oder eine strukturierte Passwortverwaltung oft ungenutzt bleiben.
Cyberschutz muss die gesamte Wirtschaft erreichen
Aus den Ergebnissen der Lageberichte des BSI zieht der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) zwei zentrale Schlüsse. Erstens fordert er, die Zuständigkeiten des BSI als staatliche Cybersicherheitsbehörde des Bundes stärker auf die gesamte Wirtschaft auszuweiten. Derzeit bewertet die Behörde IT-Risiken vor allem für staatliche Stellen und berät Unternehmen kritischer Infrastrukturen bei der Abwehr von Cyberangriffen. Nach Ansicht des GDV reicht das bestehende Mandat jedoch nicht aus. Cyberangriffe betreffen längst alle Wirtschaftszweige – besonders kleine und mittelgroße Unternehmen sind mangels eigener Schutzstrukturen zunehmend verwundbar. Eine breitere Zuständigkeit würde dem tatsächlichen Bedrohungsbild besser Rechnung tragen. Zweitens braucht es eine operative Unterstützung der Wirtschaft, die über die Bereitstellung abstrakter Checklisten hinausgeht. Anhand leicht anwendbarer technischer Tools soll es kleineren Wirtschaftsakteuren ermöglicht werden, die korrekte technische Konfiguration ihrer Systeme zu prüfen.
Die Kombination aus aktiver Prävention und Versicherungsschutz kann sowohl das Risiko einer Cyberattacke als auch deren finanzielle Folgen deutlich reduzieren. Deshalb setzen Versicherer bei ihren Kunden ein bestimmtes Sicherheitsniveau voraus und unterstützen Unternehmen dabei, entsprechende Schutzmaßnahmen umzusetzen. Wie wirksam dieser Ansatz ist, zeigen aktuelle Zahlen des Verbands: Unter versicherten Unternehmen erleiden jährlich lediglich rund drei Prozent einen Schaden durch Cyberangriffe. Ein höheres Schutzniveau in der Breite würde zugleich die Resilienz des Wirtschaftsstandorts Deutschland gegenüber Cyberrisiken stärken.