Eine aktuelle Kaspersky-Umfrage „Klartext in Sachen Cybersicherheit – Was nervt, was fehlt, was hilft wirklich?“ zeigt, dass viele kleine und mittelständische Unternehmen (KMU) in Deutschland nicht ausreichend auf Cyberangriffe vorbereitet sind. 70 % der Befragten verfügen zwar über eine Cybersicherheitsstrategie, diese ist jedoch oft nur theoretisch oder beschränkt sich auf eine Sammlung von Zielen.

32 % der Befragten geben an, dass sie nicht ausreichend wissen, wie sie auf Sicherheitsvorfälle reagieren und diese beheben können. Diese Wissens- und Umsetzungsdefizite machen viele Unternehmen im Alltag anfällig für Cybervorfälle.

Umsetzung von Strategien in Deutschland und Europa

Nur 27 % der deutschen KMU verfügen über eine vollständig implementierte Cybersicherheitsstrategie. In Österreich liegt dieser Wert bei 32 %, in der Schweiz bei 25 %. 53 % der deutschen Unternehmen geben an, dass ihre Strategie zwar durchdacht, aber nicht vollständig umgesetzt ist, während 17 % lediglich eine Reihe von Zielen verfolgen.

Der aktuelle Kaspersky SMB Threat Report für Europa und Afrika zeigt, dass Deutschland zwischen Januar und April 2025 bei Angriffen mit potenziell unerwünschten Anwendungen (PUA) und Malware auf Platz drei liegt. Österreich führt die Rangliste mit 40 % an, gefolgt von Italien mit 25 %.

Reaktive Sicherheitskultur und fehlende Prioritäten

Rund ein Drittel der Cybersicherheitsverantwortlichen in Deutschland sieht Optimierungsbedarf bei der Reaktion auf Vorfälle (32 %) und der Vorbereitung der Mitarbeiter auf Cyberbedrohungen (28 %). Ein Viertel zweifelt am ausreichenden Schutz durch Endpoint-Lösungen, 15 % kennen die Vorteile von Endpoint Detection and Response (EDR) nicht vollständig.

Knapp ein Drittel (30 %) bezweifelt zudem, dass die Risiken, die Sicherheitsanbieter darstellen, die Realität für ihr Unternehmen widerspiegeln. Dies führt zu einer reaktiven Sicherheitskultur, in der klare Prioritäten fehlen.

Weitere Herausforderungen betreffen die Auswahl relevanter Tools (23 %), die Erkennung von Cloud-Schwachstellen (23 %) und die Einhaltung von Compliance-Vorgaben (22 %).

„Cybersicherheitsverantwortliche in KMU verlassen sich zu häufig auf Strategien, die auf dem Papier zwar überzeugend wirken, in der Praxis jedoch nicht ausreichen, da es an konkreten operativen Maßnahmen fehlt, um aktuellen Angriffen standzuhalten“, erklärt Waldemar Bergstreiser, General Manager DACH bei Kaspersky. „Sie sollten Strategien fest in den täglichen Strukturen und Verantwortlichkeiten verankern und wesentliche Wissenslücken schließen.“