Wir bitten Sie an dieser Stelle um Ihre Einwilligung für die Nutzung unseres Videodienstes. Nähere Informationen zu allen Diensten finden Sie, wenn Sie die Pfeile rechts aufklappen. Sie können Ihre Einwilligungen jederzeit erteilen oder für die Zukunft widerrufen. Rufen Sie dazu bitte diese Einwilligungsverwaltung über den Link am Ende der Seite erneut auf.
Diese Webseite setzt temporäre Session Cookies. Diese sind technisch notwendig und deshalb nicht abwählbar. Sie dienen ausschließlich dazu, Ihnen die Nutzung der Webseite zu ermöglichen.
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Ausführliche Informationen über Ihre Betroffenenrechte und darüber, wie wir Ihre Privatsphäre schützen, entnehmen Sie bitte unserer Datenschutzerklärung.
Einwilligung zum Videodienst JW-Player
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Energie. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Wie können kleine und mittlere Unternehmen (KMU) auf steigende Anforderungen im Bereich Cybersicherheit vorbereitet werden? Welche Rolle spielen Banken, Lieferketten, Versicherungen und andere Marktakteure? Und welche Unterstützungsangebote werden tatsächlich benötigt? Diesen Fragen widmete sich das Expertengespräch „Cybersicherheitsanforderungen an KMU“ der Begleitforschung Mittelstand-Digital am 17. Juni 2026 im Bundesministerium für Wirtschaft und Energie (BMWE).
Eröffnet wurde die Veranstaltung von Tanja Alemany, Leiterin der Unterabteilung VIID Innovative Wirtschaft, und Gesa C. Förster, Leiterin des Referats Mittelstand-Digital (VIID4) im BMWE. Durch das Gespräch führte Indre Zetzsche von Ramboll Management Consulting (Leiterin Begleitforschung Mittelstand-Digital). Vertreterinnen und Vertreter aus Wissenschaft, Wirtschaft, öffentlicher Verwaltung sowie Akteure aus Cybersicherheit, Kreditwirtschaft und Versicherungswesen diskutierten aktuelle Entwicklungen und Unterstützungsbedarfe für KMU.
Die Diskussion zeichnete ein einheitliches Bild: Die Anforderungen steigen schneller als die Umsetzungsfähigkeit der KMU. Während der regulatorische Druck aus CRA, NIS2 und angrenzenden Vorgaben rasant wächst, fehlen in vielen Unternehmen nach wie vor grundlegende Sicherheitsmaßnahmen. Markt- und Unterstützungsmechanismen wirken dabei nur eingeschränkt als Treiber.
Die Ergebnisse der Diskussion lassen sich in fünf Kernbefunden zusammenfassen.
1. Ausgangslage: Neue Anforderungen treffen auf unerfüllte Mindeststandards
In den letzten Monaten sind auf europäischer und deutscher Ebene neue Cybersicherheitsvorgaben in Kraft getreten bzw. stehen kurz davor: Die sogenannte NIS2-Richtlinie, die europaweit ein einheitliches Mindestniveau für IT-Sicherheit festlegt, gilt in Deutschland seit Dezember 2025 und betrifft rund 29.850 Unternehmen. Ergänzend dazu verpflichtet der Cyber Resilience Act (CRA) Hersteller digitaler und vernetzter Produkte zu mehr Sicherheit: Ab September 2026 gelten erste Meldepflichten, bis Ende 2027 müssen die Anforderungen vollständig umgesetzt sein. Zusätzlich rückt die Sicherheit von Maschinen, Produktionsanlagen und industriellen Steuerungssystemen, die sogenannte OT-Security, stärker in den Blick, was vor allem für produzierende KMU relevant wird.
Viele kleine und mittlere Unternehmen sind auf diese neuen Anforderungen jedoch nicht ausreichend vorbereitet. Umfragen und Erfahrungen von Cyberversicherern zeigen, dass rund 75% der Unternehmen nicht alle grundlegenden Sicherheitsanforderungen erfüllen, wie sichere Passwörter, regelmäßige Datensicherungen oder einen Notfallplan. Auch praktische Selbsttests wie der CyberRisiko-Check nach DIN SPEC 27076, mit dem KMU ihren Sicherheitsstand niedrigschwellig überprüfen könnten, werden bislang kaum genutzt. Die meisten derer, die ihn durchführen, erfüllen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kriterien nur teilweise.
Besonders auffällig ist die Kluft zwischen Selbsteinschätzung und Realität: Laut der TÜV-Studie 2025 halten sich über 90 % der Unternehmen für gut aufgestellt. Objektiv trifft das jedoch nur auf einen kleinen Teil der KMU zu. Die Lücke zwischen den KMU, die Cybersicherheit im Griff haben, und jenen, die den Anschluss verlieren, wird größer – und verschärft sich durch neue Regelungen wie den CRA und durch Angriffe, die mit Hilfe Künstlicher Intelligenz vermehrt automatisiert und in hoher Frequenz erfolgen.
2. Governance: Cybersicherheit ist Führungsaufgabe
Cybersicherheit ist längst kein reines IT-Thema mehr, sondern eine Querschnittsaufgabe, die das gesamte Unternehmen betrifft: von der Produktion über den Vertrieb bis hin zur Buchhaltung. Wirksam wird das Thema jedoch erst dann, wenn die Geschäftsführung es aktiv aufgreift und Verantwortung übernimmt. Die alleinige Delegation von Cybersicherheit an die IT-Abteilung oder einzelne IT-Verantwortliche greift zu kurz. Entscheidungen über Investitionen, Prioritäten und den Umgang mit Risiken müssen auf Führungsebene bewusst getroffen werden. Denn die möglichen Folgen eines Cybervorfalls sind gravierend: Sie reichen von Betriebsunterbrechungen und finanziellen Schäden bis hin zur existenziellen Bedrohung des gesamten Unternehmens.
Die zunehmende Digitalisierung und Vernetzung vergrößern die Angriffsfläche, und Angreifer passen Ransomware-Forderungen zunehmend an die Leistungsfähigkeit des betroffenen Unternehmens an. Gerade für KMU kann eine solche Forderung schnell existenzbedrohend werden.
In vielen Betrieben fehlt die Übersetzung technischer Cyberrisiken in konkrete unternehmerische Risiken. Erst wenn Fragen wie "Wie lange kann unser Unternehmen ohne Einnahmen weiterlaufen, wenn unsere Systeme ausfallen?" im Raum stehen, wird die Tragweite auf Führungsebene wirklich greifbar.
3. Treiberanalyse: Marktdruck wirkt eingeschränkt
Neben dem Gesetzgeber könnten auch Banken, Versicherer sowie Kunden und Geschäftspartner in der Lieferkette Druck aufbauen, damit KMU stärker in ihre Cybersicherheit investieren. Bislang geschieht das jedoch nur begrenzt: Belastbare Sicherheitsnachweise werden selten systematisch eingefordert, und es fehlen einheitliche Formate, mit denen Unternehmen ihr Sicherheitsniveau nachweisen könnten. Ein Blick auf die drei zentralen Marktakteure zeigt ein differenziertes Bild:
Lieferketten und Geschäftspartner: Cybersicherheit ist heute noch kein flächendeckender Marktfaktor. Die meisten KMU werden von ihren Kunden oder Zulieferern bislang nicht nach Sicherheitsstandards gefragt. Perspektivisch könnten Lieferketten jedoch – vor allem im Zusammenspiel mit NIS2 – zu einem wichtigen Hebel werden, um Cybersicherheitsanforderungen auch in Unternehmen zu tragen, die selbst nicht direkt reguliert sind. Betroffen wären dann vor allem Unternehmen am Ende der Lieferkette, die sich bislang häufig nicht mit dem Thema auseinandergesetzt haben.
Versicherungswirtschaft: Cyberversicherer prüfen bei ihren Kundinnen und Kunden, ob grundlegende Sicherheitsmaßnahmen umgesetzt sind: die sogenannte "Cyber-Hygiene". Sie verlangen nicht das höchste Sicherheitsniveau, aber ein solides Fundament. Damit können Versicherungen zu einem wirksamen Hebel werden: Wer versichert sein will, muss ein Mindestmaß an Sicherheit nachweisen. Zusätzlich setzen Versicherer sogenannte Schwachstellen-Scans ein, mit denen sich das Sicherheitsniveau technisch überprüfen lässt; branchenspezifische Auswertungen könnten daraus wertvolle Lagebilder liefern. Voraussetzung dafür ist allerdings, dass die heutigen Risikofragebögen verständlicher werden. Aktuell sind sie für viele KMU zu komplex.
Kreditwirtschaft: Bei der Kreditvergabe an KMU spielt Cybersicherheit bislang keine explizite Rolle. Im sogenannten Mengengeschäft, also bei kleineren Krediten für Klein- und Kleinstunternehmen, erfolgt die Bonitätsprüfung weitgehend automatisiert auf Basis des Kontoverhaltens. Cyberrisiken werden dort systembedingt und aufgrund nicht vorliegender Zahlen zu Risikoindikatoren (z. B. zu Insolvenzhäufigkeiten infolge von Cybersicherheitsvorfällen) nicht systematisch erfasst. Eine qualitative Beurteilung, in die Cyberrisiken zumindest indirekt und niedrigschwellig einfließen könnten, findet i.d.R. erst oberhalb der Offenlegungsgrenze nach § 18 des Kreditwesengesetzes statt (bislang 750.000 Euro, seit März perspektivisch sogar bis zu 1,5 Millionen Euro Obligo). Für die große Mehrheit der KMU entsteht aus der Kreditwirtschaft heraus damit derzeit kein zusätzlicher Anreiz, sich strukturiert mit dem eigenen Sicherheitsniveau zu befassen.
4. Wirkungsgrenze: Kostenfreie Angebote reichen nicht aus
Für KMU gibt es bereits heute zahlreiche kostenfreie Unterstützungsangebote: von Leitfäden über Selbsttests bis hin zu persönlicher Beratung. Genutzt werden sie jedoch nur begrenzt. Der Grund liegt also nicht am Preis. Entscheidend dafür, ob ein Angebot tatsächlich angenommen wird, sind vier andere Faktoren:
Dringlichkeit: Warum sollte ein Unternehmen gerade jetzt handeln? Ohne konkreten Anlass rückt Cybersicherheit im Alltag schnell nach hinten.
Berechenbarkeit: Es braucht einen klaren wirtschaftlichen Nutzen der Präventionsleistung für Cybersicherheit, einen Business Case, der zeigt, was eine Investition in Sicherheit bringt und was ihr Ausbleiben kosten kann.
Vereinfachung: regulatorische Anforderungen und Unterstützungsangebote müssen so gestaltet sein, dass sie im Arbeitsalltag eines KMU verständlich, handhabbar sind und keine zusätzliche Komplexität erzeugen.
Zielgruppengerechte Ansprache: Sprache, Formate und Kanäle müssen so gewählt sein, dass sie auch und vor allem Geschäftsführungen erreichen (nicht nur IT-Fachleute).
Hinzu kommt: Handlungsdruck entsteht bei KMU bislang selten aus dem Unternehmen selbst heraus, sondern fast immer von außen über Auftraggeber, Versicherungen oder gesetzliche Vorgaben. Nicht das Fehlen von Angeboten ist also das eigentliche Problem, sondern deren Übersetzung in unternehmerische Relevanz: Angebote müssen dort andocken, wo Geschäftsführungen tatsächlich Entscheidungen treffen.
5. Lösungsansatz: Wirksamkeit entsteht in der Kombination
Einzelne Maßnahmen greifen für sich genommen zu kurz. Wirksam wird Cybersicherheit für KMU erst durch das Zusammenspiel mehrerer Ansätze, die gleichzeitig wirken. Drei Hebel wurden dabei als besonders wichtig herausgestellt:
Sichere Produkte "out of the box": KMU sollten Soft- und Hardware nutzen können, die bereits ab Werk sicher konfiguriert ist und ohne aufwendige eigene Einstellungen einen soliden Schutz bietet. Ergänzt werden kann das durch vorgefertigte Sicherheitspakete von Herstellern und IT-Dienstleistern sowie durch niedrigschwellige Sicherheits- und Cyberrisiko-Siegel, die im Markt Orientierung geben und sichtbar machen, welches Sicherheitsniveau ein Anbieter oder Produkt erreicht.
IT-Dienstleister und weitere Multiplikatoren befähigen: IT-Dienstleister sind für viele KMU die erste und oft einzige Ansprechperson in Sicherheitsfragen. Sie zielgerichtet zu qualifizieren, ist deshalb einer ein wirksamer Hebel. Ergänzend können auch Versicherungs- und Kundenbetreuende sowie Kreditberatende in ihrer Rolle gestärkt werden, um KMU bei der Einordnung und Umsetzung von Cybersicherheitsfragen zu unterstützen.
Kommunikation entlang des Geschäftsnutzens: Cybersicherheit muss dort ansetzen, wo sie unternehmerisch relevant ist: bei Kundenanforderungen, bei der Versicherbarkeit des Betriebs und bei der Stabilität des Tagesgeschäfts. Für den Einstieg können auch angrenzende, für KMU attraktive Themen wie Digitalisierung oder Künstliche Intelligenz als eine Art "trojanisches Pferd" dienen: Der Zugang erfolgt über ein Thema, das Unternehmen ohnehin interessiert, und Cybersicherheit wird als selbstverständlicher Bestandteil mitgedacht.
Ergänzend braucht es einen schlanken, speziell auf KMU zugeschnittenen Standard. Der internationale Standard ISO 27001 gilt für den Mittelstand als zu umfangreich und zu aufwendig. Mit der DIN SPEC 27076 existiert bereits eine kleinere, für KMU angepasste Grundlage, die einem risikobasierten Ansatz folgt und dabei den Aufwand ins Verhältnis zum tatsächlichen Risiko setzt. Ihre Bekanntheit, Verbreitung und praktische Anschlussfähigkeit an die neuen regulatorischen Anforderungen sollten weiter gestärkt werden.
Orientierung, Befähigung, Umsetzung: Wo jetzt anzusetzen ist
Das Expertengespräch hat deutlich gemacht: Regulatorischer Druck und Umsetzungsfähigkeit klaffen bei KMU zunehmend auseinander. Um diese Lücke zu schließen, braucht es weniger neue Vorgaben als vielmehr ein abgestimmtes Zusammenspiel mehrerer Akteursgruppen im Kontext regulatorischer Anforderungen, die KMU im Alltag begegnen: von IT-Dienstleistern über Versicherungen, Kammern und Verbänden bis hin zu Kundenbetreuenden und Kreditberatenden. Drei Ansatzpunkte sind dabei besonders wichtig:
Orientierung schaffen: KMU brauchen verlässliche Anlaufstellen, die regulatorische Anforderungen verständlich einordnen, Standards und Unterstützungsangebote bündeln und passende Einstiegspfade für unterschiedliche Reifegrade aufzeigen. Empfehlungen und Sicherheits-Siegel können zusätzlich helfen, sich im Markt zurechtzufinden.
Multiplikatoren stärken: IT-Dienstleister, Versicherungen, Kundenbetreuende und Kreditberatende sind für viele KMU die entscheidenden Ansprechpersonen in Cybersicherheitsfragen. Sie gezielt zu qualifizieren und die Ansprache stärker auf Geschäftsführungen auszurichten, ist ein wirksamer Hebel. Ergänzend fördern Peer-Learning-Formate nach dem Prinzip "KMU lernen von KMU" den Austausch auf Augenhöhe.
Umsetzung erleichtern: Skalierbare Sicherheitslösungen und branchenspezifische Ansätze machen den Einstieg leichter. Wird Cybersicherheit konsequent mit Digitalisierungs- und KI-Vorhaben verknüpft, mit konkreten Business Cases unterlegt und durch bessere Datengrundlagen zu Vorfällen und Schäden untermauert, gewinnt sie an unternehmerischer Relevanz.
Die größten Potenziale liegen in Orientierung, Befähigung und konkreter Unterstützung bei der Umsetzung. Mit dem ab 2027 neu aufgestellten Netzwerk aus Plattform, Mittelstand-Digital Zentren, CYBERsicher-Trainern und Fokusprojekten steht dafür ein starkes Fundament bereit. Gemeinsam mit den vielen Multiplikatoren, die KMU im Alltag begleiten, entstehen so die besten Voraussetzungen, um Cybersicherheit im Mittelstand nachhaltig zu stärken und die digitale Transformation sicher zu gestalten.