„Man soll das Dach reparieren, solange die Sonne scheint.“

– Sprichwort

In der Cybersicherheit gibt es eine einfache und bekannte Redensart: „Eine Sicherheitsverletzung ist keine Frage des Ob, sondern des Wann.“ Auch wenn diese strenge Maxime der Branche wahrscheinlich noch nie so wahr war wie heute, hat sie im Laufe der Jahre doch etwas von ihrer Schärfe verloren. Alle sind sich einig, dass sich „eine Wolke am Horizont“ abzeichnet. Aber reicht das aus, um sie dazu zu bewegen, ihren IT-Notfallplan zu entwerfen oder zu überprüfen? Oder Anders ausgedrückt: Sind die Unternehmen bereit, ein Maß an betrieblichen Beeinträchtigungen in Kauf zu nehmen, das sie während eines Angriffs ertragen können?

Sicherlich gibt ein Cybervorfall niemandem ein Datum vor, bis zu dem er sich vorbereiten kann. Unternehmen können nur davon ausgehen, dass er kommt – irgendwann, in irgendeiner Form und aus irgendeiner Richtung. Aber diese Erkenntnis allein bereitet sie eindeutig nicht darauf vor, dem Angriff standzuhalten. Jede Art von Warnung zählt nur, wenn sie zum Handeln anregt. Und die Unternehmen, die die besten Chancen haben, unbeschadet davonzukommen, sind diejenigen, die die ruhigen Stunden genutzt haben, um sich einen klaren Überblick über ihre Angriffsflächen zu verschaffen – und sich so vorzubereiten, als stünde das Datum bereits fest.

Lücken und klaffende Löcher

Der ESET SMB Cyber Readiness Index 2026 misst die offensichtliche Kluft zwischen der Häufigkeit, mit der KMUs ins Visier von Angreifern geraten, und der Zuversicht, mit der sie glauben, den Schlag abfedern zu können. Für den Bericht wurden 4.400 Entscheidungsträger in den Vereinigten Staaten, Kanada, Europa, dem Nahen Osten und Japan befragt wurden. Er ergab, dass 45 % der kleinen und mittleren Unternehmen (KMU) in den vergangenen zwölf Monaten mindestens einen Cybervorfall verzeichneten.

Noch interessanter ist die Erkenntnis, wie sich das Vertrauen nach einem tatsächlichen Vorfall entwickelt. Weltweit bezeichnen sich 75 % der Befragten als sehr oder etwas zuversichtlich hinsichtlich ihrer Widerstandsfähigkeit. Bei denjenigen, die bereits mehr als einen Vorfall erlebt haben, steigt dieser Anteil auf 81 %. In den USA und Kanada ist das Vertrauen sogar noch höher: 86 % unter allen Befragten und 91 % in der Gruppe, die mehr als einmal Opfer eines Vorfalls wurde.

Figure 1. Confidence in cyber-resilience
Abbildung 1. Vertrauen in die Cyber-Resilienz

Mit anderen Worten: Das Vertrauen scheint mit der Häufigkeit von Vorfällen zu steigen, nicht trotz dieser. Sehen die wiederholt betroffenen Opfer ihre Begegnungen mit Cybervorfällen mittlerweile als Beweis dafür, dass „was mich nicht umbringt, mich stärker macht“? Oder haben sie sich damit abgefunden, dass Sicherheitsverletzungen zum Geschäftsalltag gehören? Wahrscheinlich weder noch – die Umfrage ergab, dass viele KMU durch Versicherungsanforderungen, Compliance-Druck und bessere Schulungen zum Thema Cybersicherheit besser vorbereitet sind.

Dennoch weisen dieselben Daten auch auf eine hartnäckige Kluft zwischen dem Gefühl der Bereitschaft und der tatsächlichen Umsetzung grundlegender Vorsichtsmaßnahmen hin. Ein Angriff, der ein Unternehmen nicht aus dem Geschäft drängt, kann es also tatsächlich stärker machen – vorausgesetzt natürlich, das Unternehmen zieht die richtigen Lehren daraus. Andererseits kann der Angriff das Unternehmen auch schwächen und seine Fähigkeit beeinträchtigen, kostspielige Folgen in der Zukunft zu vermeiden. Hier können weitere Erkenntnisse aus dem Bericht helfen.

Wie die meisten Vorfälle tatsächlich beginnen

Was die Hauptursachen von Cybervorfällen angeht, verweisen die Daten von ESET auf die weniger „auffälligen“ Kategorien: Phishing (26 %), ungepatchte Schwachstellen (23 %), Lücken in der Überwachung (22 %) und schwache Passwörter (20 %). Dies sind die Kategorien, die seit Jahren die größte Aufmerksamkeit erfordern, aber in der öffentlichen Wahrnehmung oft von der jeweiligen Bedrohung verdrängt werden, die gerade die Schlagzeilen beherrscht. Bei aller Diskussion um KI, Automatisierung und raffinierte Angreifer beginnen viele Sicherheitsverletzungen in KMU immer noch auf altbekannte Weise.

Diese Diskrepanz zeigt sich in den Ängsten der KMU: KI-gestützte Malware ist weltweit die am häufigsten genannte Bedrohungssorge (31 %), noch vor Ransomware und anderer Malware (29 %) sowie Phishing (26 %). Michal Jankech, Vice President of Enterprise, SMB & MSP bei ESET, bringt es auf den Punkt: „Wir haben festgestellt, dass die Sorgen von KMUs oft von Schlagzeilen über neue Bedrohungen wie KI-gesteuerte Angriffe geprägt sind. Während alltäglichere Risiken – Phishing, ungepatchte Schwachstellen und mangelnde Überwachung – unterschätzt werden. Dies deutet darauf hin, dass viele Befragte ihre Sicherheitslage und Widerstandsfähigkeit falsch einschätzen.“

Figure 2. Most-feared threats
Abbildung 2. Am meisten gefürchtete Bedrohungen

Unterdessen verzeichnet der „Data Breach Investigations Report (DBIR) 2026“ von Verizon die umgekehrte Priorität aus Sicht der Angreifer: Nur 2,5 % der KI-gestützten Malware-Funktionen nutzten seltene oder neuartige Techniken. Auch andere Ergebnisse des DBIR weisen in dieselbe Richtung: Zum ersten Mal in der neunzehnjährigen Geschichte des Berichts hat die Ausnutzung von Schwachstellen gestohlene Anmeldedaten als führenden Erstzugangsvektor (31 % der Vorfälle) überholt. Gleichzeitig stieg die mittlere Zeit bis zur Behebung von 32 auf 43 Tage im Jahresvergleich an. Was die spezifischen Angriffe auf KMU betrifft, standen Ransomware, gestohlene Anmeldedaten und ausgenutzte Schwachstellen erneut an der Spitze.

Die goldene Stunde

In der Notfallmedizin wird dieses Zeitfenster als „goldene Stunde“ bezeichnet – der Zeitraum, in dem die Reaktionsgeschwindigkeit darüber entscheidet, ob der Schaden reversibel ist. In der Cybersicherheit sind die Entscheidungen zu gleichen Teilen technischer und verfahrenstechnischer Natur. Um die Ausbreitung einer Infektion zu stoppen, muss man oft die Abläufe kennen. Auch wenn dies bedeutet, jetzt einen garantierten, selbst verursachten Ausfall in Kauf zu nehmen, um später einen schlimmeren zu vermeiden. Wer auch immer die Entscheidung treffen oder genehmigen kann – etwa eine Produktionsdatenbank abzuschalten oder den Zahlungsverkehr offline zu nehmen – muss innerhalb von Minuten erreichbar sein.

Ransomware bleibt eine Bedrohung, die für Unternehmen jeder Größe stets eine große Gefahr darstellt. Die aber unverhältnismäßig oft KMUs ins Visier nimmt. Laut DBIR liegt die durchschnittliche Lösegeldzahlung derzeit bei 140.000 US-Dollar, und 69 % der Opfer weigern sich zu zahlen. In diesem Zusammenhang sind die Notfallrichtlinien von ESET und die meisten Strafverfolgungsbehörden eindeutig: Zahlen Sie nicht.

Gleichzeitig beginnt ein weiterer Zeitdruck. Nach der DSGVO beispielsweise löst eine Verletzung des Schutzes personenbezogener Daten eine 72-stündige Meldefrist gegenüber der Aufsichtsbehörde aus. Und das unabhängig davon, ob die Untersuchung bereits abgeschlossen ist. Protokolle und andere Beweismittel müssen parallel dazu gesammelt werden, da Cyberversicherer und Strafverfolgungsbehörden diese anfordern werden. Alles, was nicht in den ersten Stunden gesichert wird, kann später möglicherweise nicht mehr wiederhergestellt werden.

Warum Prävention die Lösung ist

Wichtige Rahmenwerke für die Reaktion auf Vorfälle, wie NIS2, NIST SP 800-61, ISO/IEC 27035-1 und das Cyber Assessment Framework (CAF), legen den Schwerpunkt auf die Vorbereitung, indem sie die Reaktion auf Vorfälle als kontinuierliche Risikomanagementaktivität behandeln. Aber die Erwartung – also der Glaube, dass der Moment kommen wird – ist natürlich nicht dasselbe wie die Vorbereitung. Letztere ist die bewusste Entscheidung, dass das Unternehmen, falls oder wenn dieser Moment kommt, bereits weiß, wie es die drängenden Fragen umgehend angehen kann. Und, vielleicht noch wichtiger, trotz Rückschlägen weiterfunktionieren kann. Denn diese Fähigkeit bildet den Kern wahrer Cyber-Resilienz.

Natürlich variieren die "richtigen" Antworten je nach Branche: Ein Produktionsbetrieb misst der Verfügbarkeit nahezu höchste Priorität bei, da Ausfallzeiten minütlich Geld kosten. Ein Krankenhaus hingegen muss möglicherweise anders abwägen, da eine falsche Abschaltung im schlimmsten Fall Leben kosten kann. So oder so: Die Entscheidungen darüber, wer die Befugnis hat, eine umsatzgenerierende Umgebung abzuschalten, oder welche Dienste zuerst wiederhergestellt werden können, müssen in ruhigen Zeiten getroffen werden. Nicht erst, wenn „die Hölle losbricht“.

Die heutige Angriffsfläche ist breit, oft zu breit, und eine echte Vorbereitung erfordert, dass das Unternehmen die Anzahl der verfügbaren Einfallstore verringert. IT-Umgebungen sind dafür bekannt, dass sich in ihnen betrieblicher Ballast ansammelt, wie nicht mehr unterstützte Altsysteme, undokumentierte APIs oder vergessene virtuelle Maschinen, der sich nicht immer leicht beseitigen lässt. Unternehmen müssen sich jedoch angewöhnen, ihre Präsenz im Internet zu minimieren, da es unmöglich ist, eine Ressource zu verteidigen oder eine Schwachstelle zu beheben, von deren Existenz das IT-Team nichts weiß.

Integrationen in die Lieferkette führen zu einer ganz eigenen Art von Ausuferung, ohne klaren Verantwortlichen und mit einem übermäßigen Umfang an Berechtigungen. Der Bericht von ESET beziffert die Kosten: 21 % der KMU nennen die Komplexität der Integration als ihr zweitgrößtes Hindernis für Verbesserungen – direkt hinter, Sie ahnen es schon, dem Budget. Laut DBIR liegt der Anteil der Beteiligung Dritter mittlerweile bei 48 % aller Sicherheitsverletzungen. Dies bedeutet einen ein Anstieg von 60 % im Vergleich zum Vorjahr.

Unterdessen kommt Disziplin zunehmend von außen. Insgesamt 71 % der KMU weltweit verfügen mittlerweile über eine Cyberversicherung, in Nordamerika sind es sogar 84 %. Wobei die Akzeptanz unter wiederholten Opfern stark zunimmt. Mehr als die Hälfte der versicherten Unternehmen mit mehreren Vorfällen in der Vergangenheit – 55 % weltweit, 71 % in Nordamerika – haben spezifische Kontrollen in ihren Versicherungsschutz aufgenommen: MFA, Identitäts- und Zugriffsmanagement, EDR oder MDR. Nur 31 % der KMU glauben, dass eine Versicherung allein als Schutz ausreicht. 67 % weltweit nennen die Monokultur durch einen einzigen Anbieter als Problem.

Wenn sich die Wogen geglättet haben

Die Nachbereitung eines Sicherheitsvorfalls ist der richtige Zeitpunkt für Fragen, auch für die unbequemen: Welche Schutzmaßnahmen wurden versäumt? Welche Wiederherstellungsprozesse galten als zuverlässig, wurden aber nie getestet? Unternehmen sollten nicht automatisch davon ausgehen, dass die Angreifer außergewöhnlich geschickt waren. Manchmal trifft das zu, oft ist die Ursache jedoch deutlich banaler.

 

Die Aussage „Es ist keine Frage des Ob, sondern des Wann“ war selten so zutreffend wie heute. Doch allein dieses Bewusstsein bereitet ein Unternehmen noch nicht auf Krisensituationen vor. Eine Warnung wird erst dann wertvoll, wenn sie das Handeln verändert, bevor der Ernstfall eintritt. Ein Dach lässt sich schließlich leichter reparieren, bevor der Regen einsetzt.