Laut ’Cyber Security Report 2026‘ von Schwarz Digits, gibt es trotz geschätzter Wirtschaftsschäden von jährlich mehr als 202Mrd.€ durch Cyberangriffe eine hohe Diskrepanz der wahrgenommenen Vorbereitung und der strukturellen Resilienz. Zwar stiegen Cybersicherheitsbudgets laut der repräsentativen Erhebung auf 17% des IT-Budgets. Sie blieben jedoch reaktiv und regulatorisch getrieben, so die Studienautoren. Den Ergebnissen zufolge unterschätzt zudem fast jedes zweite Unternehmen seine regulatorische Betroffenheit unter NIS-2. 48% der befragten Unternehmen gehen fälschlicherweise davon aus, nicht von der NIS-2-Richtlinie betroffen zu sein. Die Autoren betonen, dass die Lage besonders für umsatzstarke Kleinunternehmen gefährlich ist: Obwohl sie mit 10 bis 49 Mitarbeitern eine geringe Personalstärke aufweisen, überschreiten sie die Umsatzgrenze von 10Mio.€ und werden damit regulierungspflichtig. In diesem Segment schließen 92% der Befragten eine Betroffenheit fälschlicherweise aus.
„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung”, sagt Christian Müller, Co-CEO von Schwarz Digits. „Wer NIS-2 als bürokratische Last missversteht, riskiert nicht nur schmerzhafte Sanktionen, sondern die operative Substanz seines Unternehmens.“
Zudem zeigen sich die Befragten kritisch gegenüber der öffentlichen Hand: 62% der Unternehmen fühlen sich bei der NIS-2-Einführung von den Behörden unzureichend unterstützt. Darüber hinaus fühlen sich nur 21% der Firmen durch politische und verwaltungstechnische Maßnahmen ausreichend geschützt.
Besonders kritisch bewerten die Befragten die Basis: Demnach attestieren nur 7% den Ländern eine gute Aufstellung gegen Cyberangriffe – damit schneiden diese noch schlechter ab als die Kommunen (12%) und der Bund (15%). Angesichts dieser Lage befürworten 79% der Befragten staatliche Hackbacks, mehr als die Hälfte wünscht sich derartige Befugnisse für private Akteure.
KI wird oft nicht als Risiko wahrgenommen
Künstliche Intelligenz sorgt für die Beschleunigung und Skalierung bestehender Bedrohungen. In der Studie stufen mit 54% mehr als die Hälfte der Unternehmen das Cyberrisiko durch die Nutzung von KI jedoch als nicht oder überhaupt nicht vorhanden ein. Während bei großen Unternehmen (73%) klare Regeln zum KI-Einsatz vorhanden sind, sehen die Studienverantwortlichen bei mindestens 23% der KMU Nachholbedarf.
„In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen“, warnt Dr. Alexander Schellong, Managing Director Institutes, Accelerators & Cybersecurity bei Schwarz Digits. „Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte ’kinetische Prompt-Hack‘. Wir müssen dringend die Lücke zwischen der eingebildeten Sicherheit und der tatsächlichen Angreifbarkeit schließen.“
Digitale Souveränität? Ja, aber…
Die Studienteilnehmer erkennen zwar die strategische Relevanz digitaler Souveränität, jedoch fehlt es oft an der operativen Umsetzung. Demnach verfügen nur 19% der Unternehmen über eine Strategie für digitale Souveränität, wobei regulierte Industrien wie die Finanz- und Versicherungswirtschaft hier die Vorreiterrolle einnehmen. Zwar wären 42% der befragten Unternehmen bereit, für souveräne Lösungen mehr zu investieren und die Hälfte sieht auch im Aufbau von europäischen Datenräumen einen entscheidenden Schritt zur digitalen Souveränität – doch laut Studie investieren nur 13% gezielt in dedizierte Ressourcen, um technologische Abhängigkeiten aktiv zu reduzieren. Schwarz Digits stützt diese Datenlage mittels des neu entwickelten Software Sovereignty Frameworks (EU SSF). Das Modell bescheinigt EU-basierten Open-Source-Lösungen eine deutlich höhere Souveränität als proprietären Plattformen aus Nicht-EU-Staaten.
Risikofaktor Lieferkette
Die Studie identifiziert die enge Vernetzung der Wirtschaft als eine weitere Schwachstelle: Obwohl bereits jedes zweite Unternehmen Angriffe auf seine Zulieferer registriert hat, verzichten 75% weiterhin auf regelmäßige Audits ihrer Partner. Schwarz Digits betont, dass mangelnde Kontrolle riskant ist, da lediglich ein Drittel der Organisationen ihre tatsächlichen Abhängigkeiten innerhalb der Lieferkette vollständig überblickt. Das Unternehmen verweist darauf, dass besonders Angriffe über IT-Dienstleister (Managed Service Provider) oder kompromittierte Software-Updates besonders verehrend sind. Im Ernstfall kann es bis zu 30 Tage dauern, bis der Betrieb vollständig wiederhergestellt ist.
