Der heute auf der Cyber Security Conference (CSC) veröffentlichte „Cyber Security Report 2026“ von Schwarz Digits offenbart ein alarmierendes Bild der deutschen Wirtschaft. Trotz geschätzter Wirtschaftsschäden von über 202 Milliarden Euro jährlich durch Cyberangriffe zeigt die repräsentative Erhebung unter 1.001 deutschen Unternehmen eine tiefe Diskrepanz zwischen wahrgenommener Vorbereitung und struktureller Resilienz. Zwar stiegen Cybersicherheitsbudgets auf 17 % des IT-Budgets. Sie blieben jedoch reaktiv und regulatorisch getrieben. Fast jedes zweite Unternehmen unterschätzt seine regulatorische Betroffenheit unter NIS-2 massiv. Der Report belegt: Während Angreifer sich mithilfe von KI professionalisieren, geben sich viele Unternehmen einer gefährlichen Sicherheits-Illusion hin.
Shortfacts
- Massive Wissenslücke bei NIS-2: Rund 48 % der befragten Unternehmen unterschätzen ihre regulatorische Betroffenheit.
- Unterschätzte Gefahr: 54 % der Unternehmen gehen davon aus, dass KI-Anwendungen die Cyber-Bedrohungslage nicht beeinflussen.
- Risikofaktor Lieferkette: Jedes zweite Unternehmen registriert Angriffe bei Zulieferern, doch 75 % verzichten auf regelmäßige Audits ihrer Partner.
NIS-2-Wissenslücke und staatliche Resilienz
Der Report deckt ein kritisches Informationsdefizit auf: Womöglich 48 % der befragten Unternehmen gehen fälschlicherweise davon aus, nicht von der NIS-2-Richtlinie betroffen zu sein. Besonders gefährlich ist die Lage für umsatzstarke Kleinunternehmen: Obwohl sie mit 10 bis 49 Mitarbeitern eine geringe Personalstärke aufweisen, überschreiten sie die Umsatzgrenze von 10 Millionen Euro und werden damit regulierungspflichtig. In diesem Segment wiegen sich bis zu 92 % in trügerischer Sicherheit und schließen eine Betroffenheit fälschlicherweise aus.
Zudem wächst die Kritik an der öffentlichen Hand: 62 % der Unternehmen fühlen sich bei der NIS-2-Einführung von den Behörden unzureichend unterstützt. Auch die generelle digitale Handlungsfähigkeit des Staates wird abgestraft: Lediglich 21 % der Firmen fühlen sich durch politische und verwaltungstechnische Maßnahmen ausreichend geschützt.
Besonders kritisch wird die Basis bewertet: Nur 7 % attestieren den Ländern eine gute Aufstellung gegen Cyberangriffen – damit schneiden diese noch schlechter ab als die Kommunen (12 %) und der Bund (15 %). Angesichts dieser Lage befürworten 79 % der Befragten staatliche Hackbacks und über die Hälfte wünschen sich derartige Befugnisse für private Akteure – ein deutliches Zeichen für die wachsende Frustration über bislang rein defensive Strategien.
KI als doppelschneidiges Schwert
Künstliche Intelligenz prägt die derzeitige und künftige Gefahrenlage 2026 durch eine massive Beschleunigung und Skalierung bestehender Bedrohungen. Dennoch stuft mit 54% mehr als die Hälfte der Unternehmen das Cyberrisiko durch die Nutzung von KI als nicht oder überhaupt nicht vorhanden ein. Während bei großen Unternehmen (73%) klare Regeln zum KI-Einsatz vorhanden sind, haben mindestens 23% bei KMU Nachholbedarf.
Digitale Souveränität zwischen Wunsch und Wirklichkeit
Bei der digitalen Souveränität klaffen Anspruch und Wirklichkeit weit auseinander: Während die strategische Relevanz erkannt wird, mangelt es massiv an der operativen Umsetzung. Lediglich 19 % der Unternehmen verfügen über eine Strategie für digitale Souveränität, wobei regulierte Industrien wie die Finanz- und Versicherungswirtschaft hier die Vorreiterrolle einnehmen. Zwar wären 42 % der befragten Unternehmen bereit, für souveräne Lösungen tiefer in die Tasche zu greifen und die Hälfte sieht auch im Aufbau von europäischen Datenräumen einen entscheidenden Schritt zur digitalen Souveränität – doch die Realität hinkt dem Anspruch hinterher: Nur 13 % investieren gezielt in dedizierte Ressourcen, um technologische Abhängigkeiten aktiv zu reduzieren. Der Report untermauert diese Datenlage mittels des neu entwickelten Software Sovereignty Frameworks (EU SSF). Das Modell bescheinigt EU-basierten Open-Source-Lösungen eine deutlich höhere Souveränität als proprietären Plattformen aus Nicht-EU-Staaten.
Risikofaktor Lieferkette: Das offene Scheunentor
Die enge Vernetzung der Wirtschaft wird zur zentralen Schwachstelle: Obwohl bereits jedes zweite Unternehmen Angriffe auf seine Zulieferer registriert hat, verzichten 75 % weiterhin auf regelmäßige Audits ihrer Partner. Diese mangelnde Kontrolle ist riskant, da lediglich ein Drittel der Organisationen ihre tatsächlichen Abhängigkeiten innerhalb der Lieferkette vollständig überblickt. Besonders verheerend sind Angriffe über IT-Dienstleister (Managed Service Provider) oder kompromittierte Software-Updates. Solche Vorfälle zählen zu den schadenträchtigsten Bedrohungen: Im Ernstfall dauert es oft bis zu 30 Tage, bis der Betrieb vollständig wiederhergestellt ist.
Den gesamten Cyber Security Report 2026 können Sie auf den Seiten von schwarz digits anfordern.