Risiken durch KI Cybersicherheit: KMU sind auf KI-basierte Angriffe nicht vorbereitet

Anbieter zum Thema

Sage GmbH

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Für kleine und mittlere Unternehmen gehört Cybersicherheit zu den strategischen Top-Prioritäten. Dennoch bleiben viele KMU trotz steigender Investitionen anfällig für KI-basierte Cyberangriffe, wie eine von IDC durchgeführte Studie IDC im Auftrag von Sage zeigt.

Cybersicherheit zählt für kleine und mittlere Unternehmen (KMU) weltweit zu den strategischen Top-Prioritäten. Dennoch bleiben viele Organisationen trotz steigender Investitionen anfällig für Angriffe. Das zeigt eine neue Studie von IDC im Auftrag von Sage, einem Anbieter von Unternehmenssoftware für KMU.

Die Studie „KMU im KI-Zeitalter: Resilienz bei wachsender Komplexität“ basiert auf einer Befragung von 2.210 KMU weltweit, darunter 330 Unternehmen aus Deutschland. Über die Hälfte der befragten KMU (52 Prozent) nennt Cybersicherheit und Datenschutz als eine der wichtigsten Prioritäten für die kommenden zwölf Monate direkt hinter Unternehmenswachstum (59 Prozent) und deutlich vor der Skalierung von KI-Anwendungen (33 Prozent). Sechs von zehn KMU (60 Prozent) planen zudem, ihre Ausgaben für Cybersicherheit im kommenden Jahr zu erhöhen. Trotz dieser Anstrengungen bleiben viele KMU verwundbar: Jedes zweite Unternehmen war im vergangenen Jahr von einem Sicherheitsvorfall oder einer Datenschutzverletzung betroffen.

Maßnahmen der KMU bei der Cybersicherheit

Deutsche KMU zeigen ein vorsichtigeres, stärker Compliance-getriebenes Profil als der globale Durchschnitt:

• Proaktive Sicherheitsstrategien sind in Deutschland weniger verbreitet: Nur 25 Prozent der deutschen KMU verfolgen einen proaktiven Sicherheitsansatz (global: 30 Prozent).
• Sicherheitsvorfälle bleiben auch für deutsche KMU ein relevantes Risiko: 46 Prozent der deutschen KMU berichten von Sicherheitsvorfällen im letzten Jahr – 36 Prozent mit geringer Auswirkung, zehn Prozent mit erheblicher Störung.
• Bei der Absicherung von KI-Anwendungen besteht in Deutschland deutlicher Nachholbedarf: 27 Prozent verfügen nicht über Schutzmaßnahmen für KI-Anwendungen (global: 22 Prozent); nur vier Prozent zeigen einen ausgereiften KI-Sicherheitsstatus (global: sechs Prozent).
• Der Einsatz von KI erfolgt häufig ohne ausreichende Transparenz und Kontrolle: 37 Prozent der deutschen KMU haben keine gute Übersicht, welche KI-Tools im Unternehmen eingesetzt werden („Shadow AI“).
• Der Fokus deutscher KMU liegt auf grundlegenden Schutzmaßnahmen: Zu den wichtigsten Schutzmaßnahmen zählen E-Mail-Schutz (77 Prozent), regelmäßige Updates/Patches (68 Prozent) und Multi-Faktor-Authentifizierung (61 Prozent).

Deutschlands Fokus auf Kontrolle und Compliance ist eine Stärke. Der entscheidende nächste Schritt besteht darin, diese Vorsicht in praktische Bereitschaft zu überführen.

Cybersicherheit Drei Schwachstellen gefährden KMU

Trotz wachsender Aufmerksamkeit für Cybersicherheit bestehen bei vielen KMU weiterhin strukturelle Defizite – insbesondere bei der Umsetzung im Alltag, der Nutzung vorhandener Sicherheitsmaßnahmen und der Kontrolle externer Risiken:

• Sicherheit wird priorisiert, aber nicht im Alltag verankert: Nur 13 Prozent der Kleinstunternehmen und 21 Prozent der kleinen Unternehmen bezeichnen ihren Sicherheitsansatz als proaktiv – verglichen mit 48 Prozent der mittelständischen Unternehmen.
• Werkzeuge sind vorhanden, werden aber nicht konsequent eingesetzt: Die meisten KMU nutzen grundlegende Schutzmaßnahmen wie E-Mail-Sicherheit (79 Prozent), Endpoint-Schutz (67 Prozent) sowie regelmäßige Patches und Datensicherungen (71 Prozent). Weitaus seltener werden Mitarbeiterschulungen und Phishing-Simulationen (50 Prozent) oder Tests der Incident-Response-Pläne (36 Prozent) durchgeführt.
• Drittanbieter- und SaaS-Risiken wachsen schneller als die Kontrolle: 43 Prozent der Kleinstunternehmen führen keine regelmäßige oder kontinuierliche Überwachung ihrer Drittanbieter durch. So entstehen blinde Flecken in einem zunehmend komplexen digitalen Ökosystem.

Der entscheidende nächste Schritt für KMU besteht darin, Cybersicherheit stärker im operativen Alltag zu verankern – durch kontinuierliche Schulungen, klar definierte Prozesse und eine aktivere Kontrolle von KI-, SaaS- und Drittanbieter-Risiken.

KI verschärft den Druck auf ohnehin ausgelastete Sicherheitsteams

Acht von Zehn aller befragten KMU befinden sich noch in einer frühen Vorbereitungsphase auf KI- basierte Bedrohungen. Bei Kleinstunternehmen sehen sich 84 Prozent unvorbereitet oder erst am Anfang. Auch die Wahrnehmung von KI unterscheidet sich stark nach Unternehmensgröße: Während 63 Prozent der mittelständischen Unternehmen KI als Geschäftschance sehen, sind es bei kleinen Unternehmen nur 23 Prozent und bei Kleinstunternehmen lediglich neun Prozent.

Alexander Trautmann, Director of Product Engineering bei Sage, kommentiert die Ergebnisse: „Viele KMU sind von den Möglichkeiten der KI begeistert – sie wollen aber einfache, praktische Wege, um sie sicher einzusetzen, während die Bedrohungen immer komplexer werden. Unternehmen sollten nicht zwischen Innovation und Sicherheit wählen müssen. Als Produktentwickler tragen wir dafür eine direkte Verantwortung: Indem wir Cybersicherheit nach dem Secure-by-Design-Prinzip von Anfang an in unsere Produkte einbauen, klare Leitlinien bereitstellen und eng mit Branchenpartnern zusammenarbeiten, können wir KMU helfen, Resilienz aufzubauen, Innovationen voranzutreiben und mit Vertrauen zu wachsen, ohne Abstriche beim Schutz ihrer Daten machen zu müssen.“

Viele KMU sind von den Möglichkeiten der KI begeistert – sie wollen aber einfache, praktische Wege, um sie sicher einzusetzen, während die Bedrohungen immer komplexer werden.

Alexander Trautmann, Sage

Joel Stradling, Senior Research Director, European Security bei IDC, ergänzt: „Die Studie zeigt, dass viele KMU noch immer glauben, kein vorrangiges Ziel für Cyberangriffe zu sein – obwohl die Bedrohungen immer ausgefeilter und weitverbreiteter werden. IDC empfiehlt KMU, Cybersicherheit von Anfang an in KI-Initiativen zu verankern und einen unternehmensweiten Ansatz für Cyber-Resilienz zu verfolgen. Unternehmen, die die Lücke zwischen Wachstumsambitionen und Sicherheitsbereitschaft schließen, sind am besten positioniert, um langfristiges digitales Vertrauen bei Kunden, Partnern und Investoren aufzubauen.“

Zur Methodik der Studie: Die Studie „KMU im KI-Zeitalter: Resilienz bei wachsender Komplexität“ von IDC wurde im Auftrag von Sage durchgeführt. IDC befragte 2.210 KMU in acht Märkten: Kanada (300), Frankreich (330), Deutschland (330), Portugal (100), Südafrika (150), Spanien (200), Vereinigtes Königreich (300) und USA (500). Die Ergebnisse wurden im IDC InfoBrief (April 2026, IDC #EUR254487126) veröffentlicht. 

Sage Future in San Francisco

KI-Agenten: Wie diese Finanzen, ERP und HR neu definieren

.