Der Mittelstand ist nicht das Restrisiko der Cyberkriminalität, sondern ihr Geschäftsmodell. Künstliche Intelligenz hat das Massengeschäft der Angreifer übernommen. Über das Risiko entscheidet nicht mehr die Unternehmensgröße, sondern eine einzige Frage: Fällt Ihr Betrieb aus dem automatisierten Raster?
Dieses Raster ist nichts Mystisches. Es besteht aus drei Werkzeugen, die rund um die Uhr laufen: Internet-Scanner wie Shodan, die verwundbare Server auflisten, geleakte Zugangsdaten-Sammlungen aus früheren Datenlecks und fertige Exploit-Kits gegen bekannte Schwachstellen. Wer in eines dieser drei Netze passt, wird gefunden. Nicht von einem Hacker, der Sie ausgewählt hat, sondern von einer Maschine, die jeden prüft.
Die teuerste Annahme in vielen Geschäftsführungen lautet noch immer: „Uns trifft das nicht, wir sind zu unbedeutend." Das war richtig, als jeder Angriff Handarbeit bedeutete. Diese Welt existiert nicht mehr. Wenn die Kosten pro Ziel gegen null gehen, lohnt sich jedes Opfer. Der Schutz liegt also nicht darin, sich „zu teuer" zu machen, sondern den automatisierten Angriff ins Leere laufen zu lassen.
96 Prozent der Opfer sind kleiner als 5.000 Mitarbeitende
Die entscheidende Zahl verknüpft Größe mit Betroffenheit: Auf den Leak-Seiten der Ransomware-Gruppen haben 96 Prozent der veröffentlichten Opfer weniger als 5.000 Mitarbeitende. Die Zahl der dort dokumentierten Angriffe auf deutsche Firmen hat sich zwischen 2021 und 2024 mehr als vervierfacht (Quelle: CYBERsicher Lagebild Mittelstand 2025).
87 Prozent der deutschen Unternehmen waren 2025 von Datendiebstahl, Spionage oder Sabotage betroffen, nach 81 Prozent im Vorjahr und 72 Prozent 2023 (Quelle: Bitkom Wirtschaftsschutz 2025).
Eine Einschränkung ist nötig: Das BSI weist keine trennscharfe Statistik nach Umsatzklassen aus, und die Meldebereitschaft im Mittelstand ist gering. Die Dunkelziffer ist hoch. Das ändert nichts an der Stoßrichtung, mahnt aber zur Vorsicht gegenüber jeder Zahl, die zu präzise klingt.
Warum der Mittelstand das Hauptziel ist
Die Verschiebung ist ökonomisch, nicht technisch. Ein gezielter Angriff auf einen Konzern erfordert Wochen Vorbereitung. Ein automatisierter Lauf gegen tausende Mittelständler kostet kaum mehr als Stromrechnung und Rechenzeit. Der Mittelständler ohne eigene IT-Abteilung, mit externem Dienstleister im Hintergrund und gewachsener Software, ist genau die Lücke, die das Raster sucht.
Staatlich gesteuerte Spionagegruppen zielen weiterhin auf Konzerne und Schlüsseltechnologien. Für einen typischen Handwerks- oder Zulieferbetrieb ist dieses Risiko gering. Das wahrscheinliche Szenario ist nicht der Geheimdienst, sondern Ransomware aus dem Baukasten.
KI auf der Gegenseite
KI hat das Phishing professionalisiert. 60 Prozent der Empfänger erkennen KI-generierte Phishing-Mails nicht mehr als Betrug (Quelle: CYBERsicher Lagebild Mittelstand 2025). Die Mails sind fehlerfrei, im richtigen Ton, oft auf den Adressaten zugeschnitten. Geschäftsführende wehren im Schnitt 57 gezielte Phishing-Angriffe pro Jahr ab, IT-Verantwortliche 40 (gleiche Quelle).
Die Methodik ist härter geworden. Ein Großteil der Ransomware-Angriffe nutzt heute Double Extortion: Daten werden nicht nur verschlüsselt, sondern gestohlen und mit Veröffentlichung gedroht. Ein sauberes Backup allein rettet dann nicht vor dem Reputationsschaden. Über Deepfake-Betrug kursieren dramatische Wachstumszahlen, doch diese stammen von Anbietern mit Eigeninteresse und sind unabhängig nicht verifiziert. Belegbar ist die Richtung, nicht die Prozentangabe.
Was ein einziger fehlender Faktor kostet
Wie der Mechanismus in der Realität aussieht, zeigt die Südwestfalen-IT im Oktober 2023. Ein einziger VPN-Zugang ohne Mehrfaktor-Authentifizierung wurde von der Gruppe Akira ausgenutzt. Die Folge: über 70 angeschlossene Kommunen wochenlang im Stillstand, Bürgerdienste vom Standesamt bis zur Kfz-Zulassung lahmgelegt (Quelle: heise online).
Kein ausgefeilter Zero-Day, keine Hightech. Ein vergessener zweiter Faktor an einem Zugang. Genau dieses Muster, nicht der spektakuläre Einzelfall, trifft den durchschnittlichen Rhein-Main-Betrieb.
Die drei Hebel mit dem höchsten Schutz pro Euro
Das BSI benennt drei Maßnahmen, die gegen das wahrscheinlichste Szenario, den automatisierten Massenangriff, am meisten leisten:
- Mehrfaktor-Authentifizierung (MFA): ein zweiter Faktor neben dem Passwort, etwa per App. Fehlende MFA ist laut BSI ein häufiger Ersteinstieg bei Ransomware. Microsoft gibt an, MFA verhindere über 99 Prozent der Kontokompromittierungen (Eigenangabe).
- Offline-Backups nach der 3-2-1-Regel: drei Kopien, zwei Medien, eine getrennt aufbewahrt. Wer wiederherstellen kann, muss kein Lösegeld zahlen.
- Patch-Management: zeitnahes Einspielen von Updates. Bekannte Lücken werden häufig binnen weniger Tage nach Bekanntwerden ausgenutzt.
Drei Hebel bedeuten keinen vollständigen Schutz. Gegen gezielte Social-Engineering- oder Lieferketten-Angriffe braucht es mehr. Aber sie bieten den höchsten Schutz pro eingesetztem Euro gegen das Szenario, das Sie mit Abstand am ehesten trifft.
Förderung und Pflicht
NIS-2 verpflichtet Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz in 18 definierten Sektoren. Der typische Mittelständler fällt nicht direkt darunter. Relevant wird die Richtlinie indirekt: Wer als Zulieferer in der Lieferkette eines NIS-2-pflichtigen Kunden sitzt, bekommt dessen Sicherheitsanforderungen vertraglich durchgereicht. Den aktuellen deutschen Gesetzgebungsstand sollten Sie vor jeder Investitionsentscheidung prüfen.
Sicherheitsinvestitionen sind in vielen Programmen förderfähig, etwa über DigiBoost in Rheinland-Pfalz und den hessischen DIGI-Zuschuss. Die Quoten ändern sich, deshalb lohnt der direkte Blick auf unsere Förderübersicht und das Gespräch mit der bewilligenden Stelle.
Fazit
Die Frage ist nicht, ob Ihr Betrieb interessant genug ist, um angegriffen zu werden. Die Frage ist, ob er im automatisierten Raster sichtbar wird. MFA, Offline-Backup und Patch-Management beginnen mit einer Entscheidung, nicht mit einem sechsstelligen Budget, und lassen sich in Tagen einrichten statt in Monaten. Wo Ihr Betrieb heute steht, prüft unser kostenloses Audit: offene VPN- und Cloud-Zugänge ohne MFA, Stand Ihrer Backups und ungepatchte Systeme im öffentlichen Netz. Welche Hebel wir danach konkret bewegen, sehen Sie in unseren Leistungen.