Cyberkriminalität bleibt eines der größten unternehmerischen Risiken in Deutschland – das bestätigt die aktuelle HDI Cyberstudie 2026. Für die bereits vierte Ausgabe der Studienreihe hat das Marktforschungsinstitut Sirius Campus im Auftrag der HDI Versicherung 1.083 Entscheider und Mitentscheider aus kleinen und mittelständischen Unternehmen (KMU) in Deutschland befragt. Die Ergebnisse zeigen: Unternehmen sind heute besser vorbereitet als noch vor wenigen Jahren – doch die Bedrohungslage bleibt ernst.
Jedes dritte Unternehmen sieht seine Existenz in Gefahr
Mehr als jedes dritte Unternehmen (35 %) gibt an, dass ein massiver Cyberschaden die eigene Existenz gefährden würde. Besonders ausgeprägt ist diese Sorge bei Steuerberatern und Wirtschaftsprüfern (66 %), Architekten und Ingenieuren (51 %) sowie im verarbeitenden Gewerbe (48 %).
Auffällig ist dabei ein Muster, das die Studie als „Cybervergessen“ bezeichnet: Unternehmen, die in den letzten zwei Jahren angegriffen wurden, sehen zu 49 % ihre Existenz gefährdet – liegt der Angriff aber schon drei bis fünf Jahre zurück, sind es nur noch 32 %, obwohl sich das objektive Risiko nicht verändert hat. Die Wachsamkeit lässt mit der Zeit spürbar nach.
Cloud-Nutzung wächst – und damit auch die Abhängigkeit
Mehr als die Hälfte der Unternehmen (54 %) arbeitet inzwischen mit cloudbasierten IT-Strukturen, vor allem aus Sicherheitsgründen: 49 % nennen die erhöhte IT-Sicherheit als wichtigsten Treiber. Besonders stark verbreitet ist die Cloud-Nutzung bei Steuerberatern (78 %) und Architekten/Ingenieuren (77 %).
Die Kehrseite: Unternehmen mit ausgelagerter IT-Infrastruktur sind bei einem Cyberschaden häufiger von einer Betriebsunterbrechung betroffen als Unternehmen ohne Cloud-Nutzung (31 % zu 14 %). Positiv ist jedoch, dass Cloud-Nutzer ihr eigenes Risiko deutlich realistischer einschätzen – 71 % bewerten ihr Cyberrisiko als hoch, gegenüber nur 23 % bei Nicht-Cloud-Nutzern – und entsprechend auch häufiger in Prävention investieren.
Der Mensch bleibt die größte Schwachstelle
35 % der KMU wurden in den letzten fünf Jahren mindestens einmal Ziel einer Cyberattacke. Besonders betroffen waren zuletzt IT-Dienstleister (32 %), Architekten und Ingenieure (28 %) sowie Ärzte und Heilberufe (27 %).
Die häufigsten Angriffswege zielen weiterhin auf den Faktor Mensch: Phishing-Mails (64 % der betroffenen Unternehmen in den letzten 12 Monaten) und Schadsoftware über E-Mail-Anhänge (47 %) führen die Liste an – mit deutlich steigender Tendenz im Vergleich zu früheren Jahren. Neu im Fokus stehen außerdem CEO-Fraud, Deep-Fake-Angriffe und Supply-Chain-Attacken.
Betriebsunterbrechung bleibt das zentrale Risiko
Rund ein Drittel aller Cybervorfälle (32 %) führt unmittelbar zu einer Betriebsunterbrechung – noch vor Datenverlust oder Reputationsschäden. Im Schnitt sind betroffene Unternehmen vier Tage arbeitsunfähig, Freiberufler und Selbstständige sogar durchschnittlich sechs Tage.
Die gute Nachricht: Die durchschnittliche Schadenhöhe ist deutlich gesunken – von rund 99.000 Euro (2024) auf jetzt etwa 25.000 Euro. Das ist kein Grund zur Entwarnung, sondern Beleg dafür, dass Prävention zunehmend greift und Angriffe früher erkannt werden. 65 % der Cyberangriffe verursachen inzwischen keinen messbaren Schaden mehr (2024: 47 %).
Prävention zahlt sich messbar aus
Die Studie liefert klare Zahlen zum Wert von Vorsorge:
- Unternehmen mit hohem Präventionsniveau sind nach einem Angriff im Schnitt nur 2,1 Tage arbeitsunfähig – ohne entsprechende Maßnahmen sind es 5,7 Tage.
- Der durchschnittliche Schaden lässt sich durch konsequente Prävention um 33 % senken.
- Bei Unternehmen mit ausgeprägten Präventionsmaßnahmen führen 73 % der Angriffe zu keinem Schaden – ohne hohes Präventionsniveau gelingt das nur in 53 % der Fälle.
Trotzdem gibt es noch Lücken: 23 % der Unternehmen haben keinen klar definierten Verantwortlichen für IT-Sicherheit – bei Unternehmen mit Cyberversicherung sind es nur 11 %. Das zeigt: Der Abschluss einer Cyberversicherung wirkt oft auch als Anstoß, sich strukturiert mit Sicherheitsfragen zu beschäftigen.
Künstliche Intelligenz: vom Risiko zur Chance
Ein deutlicher Stimmungswandel zeigt sich beim Thema KI: 55 % der Unternehmen bewerten Künstliche Intelligenz inzwischen als Chance, nur noch 22 % als Risiko. Besonders Unternehmen mit hohem Präventionsniveau und bestehender Cyberversicherung sehen in KI eine Chance (74 % gegenüber 47 % ohne vergleichbare Absicherung) – ein Hinweis darauf, dass ein sicherer Umgang mit digitalen Risiken generell auch die Offenheit gegenüber neuen Technologien fördert.
Fazit für Ihr Unternehmen
Die HDI Cyberstudie 2026 macht deutlich: Cyberrisiken lassen sich nicht vermeiden – aber sie lassen sich beherrschen. Wer in Prävention investiert, klare Verantwortlichkeiten schafft und sich zusätzlich über eine Cyberversicherung absichert, reduziert nicht nur die Wahrscheinlichkeit eines Schadens, sondern kommt im Ernstfall auch deutlich schneller wieder auf die Beine.
Sprechen Sie uns an – wir beraten Sie gerne, wie Sie Ihr Unternehmen wirksam gegen Cyberrisiken absichern können.