Cyberrisiken als unterschätzte Gefahr

22. Juli 2025

Warum Deutschlands Wirtschaft verwundbar ist und was jetzt getan werden muss

Deutschland steht vor großen Herausforderungen, auch in der Cybersicherheit. Flächendeckende Schutzlücken beim Umgang mit Daten in weiten Teilen der Wirtschaft verdichten sich zu einer strukturellen Gefahr für den Wirtschaftsstandort. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) fordert daher eine zentrale Stelle für Cybersicherheit, bessere Notfallpläne und eine öffentlich-private Partnerschaft zur Absicherung betroffener Unternehmen gegen eine mögliche „Cyberpandemie“.

Der Wirtschaftsstandort Deutschland steht vor diversen konjunkturellen und strukturellen Herausforderungen. Der nachhaltige Umbau zu einer klimaneutralen Wirtschaft allein ist schon vor dem Hintergrund des Fachkräftemangels, überbordender Bürokratie sowie hoher Steuern und Energiepreise für die Unternehmen ein Kraftakt.

Dazu kommen besorgniserregende internationale Entwicklungen, die sowohl handels- als auch sicherheitspolitisch neue und teure Probleme schaffen. In dieser unübersichtlichen Gemengelage kommt aus Sicht der deutschen Versicherungswirtschaft ein drängendes Thema in der öffentlichen Wahrnehmung bisher zu kurz, nämlich die Widerstandsfähigkeit der deutschen Wirtschaft gegen Cyberrisiken. Dieses Thema darf kein „blinder Fleck“ bleiben, sondern muss eine wichtigere Rolle spielen, sowohl in den Bemühungen der nächsten Bundesregierung als auch in den Chefetagen der deutschen Wirtschaft.

Bedrohungslage: Besorgniserregend

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Mitte November 2024 die aktuelle Bedrohungs- und Gefährdungslage Deutschlands im Bereich der IT-Sicherheit vorgestellt.

Das Ergebnis ist: Die Bedrohungslage ist „besorgniserregend.“ Warum ist sie besorgniserregend? Weil die digitale Angriffsfläche immer größer wird. Weil Angreifer immer schneller, immer geschickter und immer aggressiver werden. Weil Cyberangriffe von autoritären Staaten als Waffen eingesetzt werden. Weil sich die Online-Erpressung von Unternehmen, Kommunen, Krankenhäusern und Universitäten zum Massengeschäft entwickelt. Gerade kleine und mittlere Unternehmen werden nach der Analyse des BSI zunehmend zu Opfern der Cyberkriminellen. Ein wesentlicher Grund dafür ist, dass sich die Kriminellen die Opfer aussuchen, die am einfachsten anzugreifen sind. Versicherer sehen die Folgen diese Entwicklung in ihrem Geschäft mit Cyberversicherungen. Entsprechende Deckungen werden seit mittlerweile gut zehn Jahren für die komplette Bandbreite der deutschen Wirtschaft angeboten. Doch unsere Erfahrungen der vergangenen Jahre zeigen: Zwei Drittel der rund 3,5 Millionen Unternehmen in Deutschland sind so schlecht gegen Cyberangriffe geschützt, dass sie kaum versicherbar sind.

Cyberrisiken werden unterschätzt, die Qualität der IT-Sicherheit überschätzt

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragt das Markt- und Meinungsforschungsinstitut Forsa seit 2018 einmal im Jahr, mittelständische Unternehmen nach ihrer Wahrnehmung der Bedrohungslage – und wichtiger noch: nach ihren eigenen Schutzmaßnahmen – zu befragen.

Die Antworten auf unsere Fragen haben sich in all den Jahren kaum verändert. Auch die Ergebnisse aus dem Jahr 2024 geben ein ziemlich klares, aber leider auch sehr ernüchterndes Bild, das sich mit den Erfahrungen der Versicherer im Underwriting deckt.

Beginnen wir mit der Wahrnehmung der Bedrohungslage. Hier sieht es auf den ersten Blick noch recht gut aus: 80 Prozent halten die Bedrohung mittelständischer Unternehmen für hoch oder sehr hoch – und das sind auch mehr als in den Vorjahren. Aber erstaunlicherweise bewerten die gleichen Befragten die Gefahr für ihr eigenes Unternehmen ganz anders: Hier sehen auf einmal nicht mehr 80 Prozent ein hohes Risiko, sondern nur noch 34 Prozent.

Wie erklärt sich diese Lücke? Die erste Vermutung wäre, dass die Mittelständler in ihrer Masse vielleicht noch gar keine Angriffe auf ihr Unternehmen erlebt haben und schon gar keine erfolgreichen. Aber – das ist es nicht.

Nach unserer jüngsten Forsa-Umfrage war bereits jedes vierte Unternehmen betroffen. Und trotzdem glauben zwei Drittel der Unternehmen, sie wären sicher. Man stelle sich dieses Verhältnis einmal bei einer anderen Gefahr vor, zum Beispiel bei Einbrüchen: Was wäre in unserem Land los, wenn schon in jedes vierte Büro oder Lager eingebrochen worden wäre? Würden dann auch zwei Drittel die Gefahr kleinreden? Oder doch in Sicherheitstechnik und Wachschutz investieren? Wahrscheinlich – hoffentlich – Letzteres.

Nicht so beim Cyberrisiko. Hier sind die Verdrängungsmechanismen offenbar viel stärker. Auch das zeigen die Antworten in unserer Umfrage. So fühlen sich viele Unternehmen deswegen sicher, weil sie sich einbilden, dass ihre Daten für Hacker nicht interessant wären.

Andere halten ihr Unternehmen für zu klein, um in den Fokus von Cyberkriminellen zu gelangen. Und ganze 77 Prozent halten ihr Unternehmen für ausreichend geschützt und fühlen sich deshalb sicher.

Dieser Irrglaube rund um Cyberkriminalität hält sich seit Jahren hartnäckig und führt zu nichts anderem, als dass die Angreifer leichtes Spiel haben.

Denn wo das Risiko verdrängt oder gar nicht erst erkannt wird, liegt in der Regel auch die IT-Sicherheit im Argen.

Sicherheitslücken bei der Prävention…

Über zwei Drittel der Unternehmen haben nach eigener Auskunft an der einen oder anderen Stelle Sicherheitslücken, die sich leicht schließen lassen würden. Das eine Unternehmen lässt Passwörter wie „123456“ zu, das andere lässt sich viel Zeit mit Sicherheitsupdates und das dritte macht zu selten Sicherheitskopien seiner Daten. Wenn ich hier noch einmal die Parallele zum Einbruch ziehe, würde ich sagen: Viele haben gute Schlösser an der Tür und sogar einbruchsichere Fenster – lassen dann aber einfach die Kellertür offen oder verstecken den Schlüssel unter der Türmatte.

Insgesamt sind zwar schon etwas mehr Unternehmen gut geschützt als dies noch in den Vorjahren der Fall war. Aber die Quote der Unternehmen, die bei der IT-Sicherheit wirklich ernst machen, ist immer noch alarmierend gering.

Ein ganz ähnliches Bild zeigt sich bei der Sicherheitskultur, zum Beispiel bei der Trennung von Privatem und Beruflichem. Zwei von drei Unternehmen erlauben ihren Mitarbeitern, die dienstliche Mail-Adresse auch für private Zwecke zu nutzen. Und ein Viertel der Unternehmen lässt Mitarbeiter im Homeoffice an privaten Geräten arbeiten anstatt ihnen Equipment zur Verfügung zu stellen. Für die Sicherheit der Unternehmens-IT ist das sehr gefährlich.

Doch wie kommen Cyberkriminelle eigentlich an ihr Ziel? Wie haben sie es geschafft, immerhin schon jedem viertem mittelständischen Unternehmen in Deutschland Schaden zuzufügen?

70 Prozent der bisherigen Opfer sagen: per Mail. Und per Mail heißt nichts anderes als über die Schwachstelle Mensch. Über die Beschäftigten, die natürlich in aller Regel nicht bösartig sind, sondern einfach an der falschen Stelle unaufmerksam. Und die genau deswegen in eine der mittlerweile oft gut gemachten Fallen tappen, indem sie die täuschend echte gefälschte Rechnung oder den falschen Lebenslauf des vermeintlichen Bewerbers öffnen.

Die erste und wichtigste Verteidigungslinie gegen Hackerangriffe ist deswegen nicht die Technik, sondern die Belegschaft. Man sollte daher annehmen, dass die Unternehmen nun alles tun, um ihre Mitarbeiter auf den Umgang mit dieser Gefahr aufmerksam zu machen.

Aber mitnichten: Schulungen und Maßnahmen zur Sensibilisierung sind weiterhin die Ausnahme: Ganze 60 Prozent verzichten komplett auf die Weiterbildung der Mitarbeitenden beim Thema Datensicherheit, weitere 13 Prozent bieten sie nur sporadisch an – und gerade mal ein Viertel der Unternehmen schult ihre Mitarbeiter mindestens einmal im Jahr.

Unter dem Strich sieht es in deutschen Unternehmen bei der Prävention von Cyberangriffen überhaupt nicht gut aus. Maximal ein Drittel der mittelständischen Unternehmen in Deutschland kann sich Chancen ausrechnen, bei einem gezielten Cyberangriff nicht zum Opfer zu werden. Alle anderen sind – Stand heute – eines der leichten Ziele, von denen das BSI in seinem Lagebericht spricht.

…setzen sich bei der Reaktion auf einen Angriff fort

Nicht besser sieht es leider auch bei der Bewältigung eines erfolgreichen Angriffs aus. Von den betroffenen Unternehmen schafft es nur jedes vierte, die Folgen des Angriffs noch am selben Tag zu beseitigen. 40 Prozent brauchen dafür bis zu drei Tage, 30 Prozent sogar noch länger.

Warum ist das so? Auch darauf gibt es eine klare Antwort: Weil die meisten Unternehmen auf einen erfolgreichen Angriff schlicht nicht vorbereitet sind.

Zum einen ist in jedem vierten Unternehmen schon gar nicht klar, wer für IT-Sicherheit überhaupt verantwortlich ist. Und zum anderen hat sich mehr als die Hälfte der Mittelständler über die Reaktion auf eine erfolgreiche Cyberattacke überhaupt keine Gedanken gemacht und kann daher im Ernstfall nur sehr langsam und mitunter falsch reagieren. Das alles ist umso ärgerlicher, als dass gerade die sogenannten Ransomware-Angriffe in den vergangenen Jahren klar gemacht haben sollten, dass es jeden treffen kann und eine gute Vorbereitung auf den Ernstfall extrem wichtig ist.


Und spätestens an dieser Stelle rächt sich jede Nachlässigkeit bei den Sicherheitskopien. Denn viele Unternehmen sind auch deswegen erpressbar, weil sie keine aktuellen Backups haben oder die Backups zwar verschlüsselt sind, aber gerade dadurch die Systeme nicht schnell ausgetauscht werden können.

Zusammengefasst lassen sich aus den Ergebnissen für die Lage der IT-Sicherheit in deutschen Unternehmen folgende Schlüsse ziehen:

  • Der Mittelstand unterschätzt die Bedrohung durch Cyberkriminelle und überschätzt die Qualität seiner IT-Sicherheit.
  • Eine Mehrheit der Unternehmen hat Lücken bei der ITSicherheit: technisch und organisatorisch, bei der Prävention ebenso wie bei der Reaktion.
  • Rund zwei Drittel der Unternehmen dürften für Cyberkriminelle bei einem gezielten Angriff leichte Beute sein und sind aufgrund ihrer schlechten IT-Sicherheit auch kaum gegen solche Schäden versicherbar.

Cyber-Pandemie: Wenn individuelle Sicherheitslücken zum strukturellen Risiko werden

Der ungenügende Schutz der deutschen Wirtschaft gegen Cyberrisiken ist aber mehr als nur das Problem jedes einzelnen Unternehmens. In der Gesamtschau werden die zahlreichen Sicherheitslücken zu einem strukturellen Problem für den Wirtschaftsstandort Deutschland.

Wenn ein großflächiges, global oder national verbreitetes Cyberereignis eintritt, sprechen Versicherer von einer „Cyberpandemie“. Eine Cyberpandemie betrifft zahlreiche Unternehmen und Organisationen gleichzeitig. Im Gegensatz zu einzelnen Cyberangriffen führt sie zu Dominoeffekten auf Lieferketten, Märkte und kritische Infrastrukturen. Heute würde ein koordinierter Angriff auf wenige hundert Unternehmen sehr schnell Lieferketten unterbrechen und massive wirtschaftliche Schäden verursachen. Die Crowdstrike-Panne im vergangenen Jahr war nur ein Softwarefehler – und doch musste jedes zweite betroffene Unternehmen in Deutschland vorübergehend den Betrieb unterbrechen.

Es gibt daher Handlungsbedarf auf allen Ebenen. Um die Cyberresilienz des Wirtschaftsstandorts Deutschland zu stärken, braucht es entschlossenes Handeln – und klare Strukturen. Deshalb fordern wir:

Klare Verantwortlichkeiten: Rund 250 öffentliche Einrichtungen beschäftigen sich mit Cybersicherheit, doch keine ist konkret für die Wirtschaft verantwortlich. Wir brauchen eine zentrale Stelle, die sich um den Schutz des Wirtschaftsstandorts kümmert. Ein solches Cyber-Expertengremium sollte kontinuierlich Risiken bewerten, Cybervorfälle analysieren und im Ernstfall Empfehlungen für staatliche und wirtschaftliche Akteure aussprechen. Es soll helfen, Krisen früh zu erkennen und schnell zu reagieren.

Notfallpläne und Reaktionsstrategien: Die COVID-19-Pandemie hat gezeigt, wie teuer fehlende Vorbereitung sein kann. Ein Cyberangriff darf Unternehmen nicht unvorbereitet treffen.

Prävention ist Chefsache: Jedes Unternehmen muss aktiv werden. Cybersicherheit ist kein Randthema – sie gehört in die Chefetagen, besonders bei kleinen und mittleren Unternehmen.

Systemische Schäden absichern: Privatwirtschaftliche Versicherungen können viele Risiken abdecken, aber nicht die Folgen einer Cyberpandemie. Wir müssen daher gemeinsam mit der Politik neue Wege finden, um die drohenden wirtschaftlichen Schäden abzufedern. Für diesen neuen Weg schlagen wir ein Public-Private-Partnership-Modell vor. Wir wollen zusammen mit dem Staat eine robuste Struktur schaffen, die den Wirtschaftsstandort Deutschland auf den Fall einer Cyberpandemie vorbereitet und unsere Volkswirtschaft im Ernstfall effektiv schützt.

Dafür müssen wir:

  1. Handfeste Anreize für Unternehmen schaffen, ihre Cybersicherheit deutlich zu verbessern,
  2. eine Cyberpandemie frühzeitig erkennen können und
  3. betroffene Unternehmen bei einer Cyberpandemie durch staatliche Überbrückungshilfen vor der Insolvenz bewahren.

Gemeinsame Lösungen für die Herausforderung einer Cyberpandemie sind möglich. Andere Länder gehen voran: Die Schweiz hat 2022 das Swiss Financial Sector Cyber Security Centre (FS-CSC) gegründet, in dem Wirtschaft und Staat eng zusammenarbeiten – einschließlich der Versicherungswirtschaft und der Nationalbank.

Über die Autorin

Anja Käfer-Rohrbach


ist stellvertretende Hauptgeschäftsführerin des Gesamtverbandes der Deutschen Versicherungswirtschaft e. V. (GDV) und leitet dort das Kompetenzzentrum Risikoschutz für Gesellschaft und Wirtschaft. Davor war sie bei der Aareal Bank Group. Sie ist außerdem Vorständin im Deutschen Kuratorium für Sicherheit in Heim und Freizeit e.V. (DSH), beim Deutschen Verkehrsgerichtstag – Deutsche Akademie für Verkehrswissenschaft e.V. und sitzt in Aufsichtsräten verschiedener Unternehmen der Versicherungsbranche.

Die neusten Datenschutztrends

Bleiben Sie stets auf dem Laufenden und verpassen Sie keine Neuigkeiten mehr! Melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßig Einladungen zu unseren Events und alle aktuellen Positionspapiere und Handreichungen.

Anmeldung zum Newsletter

Um sich für den beschriebenen Newsletter anzumelden, tragen Sie bitte hier Ihre E-Mail-Adresse ein. Sie können sich jederzeit über den Abmeldelink in unseren E-Mails abmelden.