HINTERGRUND & ANALYSE

Die deutsche Wirtschaft startet mit spürbaren Schwächen in das Jahr 2026, was die Widerstandsfähigkeit gegen Hackerangriffe betrifft. Zu diesem Ergebnis kommt der aktuelle „Cyber Security Report 2025/26“ des Cybersecurity-Anbieters Horizon3.ai. Der Report basiert auf einer Befragung von 300 – nach Angaben des Unternehmens überwiegend mittelständischen – Firmen. Kernbotschaft: Während Angreifer schneller, aggressiver und innovativer werden (unter anderem durch KI), setzen viele Unternehmen weiterhin auf Abwehr-Routinen, die im Ernstfall nicht nachweislich tragen.

Die Lücke ist nicht technologisch – sie ist organisatorisch

Die auffälligsten Ergebnisse der Umfrage sind weniger ein Beleg für „zu wenig Tools“, sondern für fehlende Prozesse – und damit für ein Managementproblem:

• 44 % der befragten Unternehmen nehmen keine Bewertung ihres Cyberrisikos vor.
• 48 % führen selbst nach einem erkannten Angriffsversuch keine systematische Risikoanalyse durch.
• 61 % geben an, keinen Notfallplan zu haben, um nach einem Angriff den Betrieb wiederherzustellen.

Gleichzeitig berichten 65 % der Firmen, in den letzten zwei Jahren mindestens einmal Opfer einer Cyberattacke geworden zu sein. Die Folgen reichen von Ausfallzeiten über Datendiebstahl bis hin zu Lösegeldforderungen und rechtlichen Konsequenzen. Das Muster ist typisch: Wenn das Thema „Cyber“ im Unternehmen zwar als Risiko bekannt ist, aber nicht als verbindlich gemanagte Führungsaufgabe organisiert wird, entsteht genau diese gefährliche Diskrepanz zwischen Bedrohungslage und Verteidigungsfähigkeit.

„Alarmanlage installiert – aber nie getestet“: Warum das Bild so gut passt

Dennis Weyel (International Technical Director bei Horizon3.ai) nutzt im Report einen Vergleich, der den Kern trifft: Viele Unternehmen bauen auf Firewalls, Virenschutz und Intrusion-Detection – ohne regelmäßig zu prüfen, ob diese Schutzschichten im Ernstfall tatsächlich wirken. Sinngemäß: Man installiert eine Alarmanlage, testet sie aber nie unter realistischen Bedingungen.

Das ist deshalb so kritisch, weil Angriffe heute kaum noch „von außen“ wie ein brachialer Einbruch wirken. Häufig sind sie eine Kette aus kleineren Schwächen: Fehlkonfigurationen, zu weitreichende Rechte, wiederverwendete Passwörter, ungeschlossene Schwachstellen – plus Social Engineering. Wenn diese Kette nicht regelmäßig durchgespielt wird, bleibt das Unternehmen blind für reale Angriffspfade.

Paradigmenwechsel: Von „passiv absichern“ zu „aktiv verifizieren“

Der Report plädiert für einen Schritt, der in vielen mittelständischen IT-Landschaften zwar bekannt ist, aber zu selten konsequent umgesetzt wird: Offensive Sicherheitsverfahren – also kontrolliertes „Angreifen“, um Schwachstellen zu finden, zu beheben und erneut zu prüfen.

Was das praktisch heißt: Penetrationstests – nicht als Event, sondern als Routine

In der Fachsprache entspricht die Ernstfallprüfung einem Penetrationstest (Pentest). Wichtig ist dabei die Ausgestaltung: Ein Pentest als einmaliges Projekt kann sinnvoll sein, wird aber im Alltag oft zur Momentaufnahme. Der Report argumentiert deshalb für kontinuierliche Tests, die wiederholt prüfen, ob neu eingespielte Updates, neue Systeme oder geänderte Berechtigungen neue Angriffswege öffnen.

Horizon3.ai positioniert in diesem Kontext eigene „autonome Pentest-Plattformen“ (hier: NodeZero) als technisches Mittel, um Tests häufiger und automatisierter durchführen zu können. Für mittelständische Entscheider ist dabei der entscheidende Punkt nicht der Produktname, sondern das Prinzip:

• Find: reale, ausnutzbare Schwachstellen finden (nicht nur theoretische Risiken).
• Fix: Priorisierung und Behebung nach geschäftlicher Auswirkung (was stoppt Produktion, Vertrieb, Buchhaltung?).
• Verify: erneut testen, ob die Lücke wirklich geschlossen ist.

Was Mittelständler sofort besser machen können

Die gute Nachricht: Viele der größten Resilienzgewinne sind kein High-End-IT-Projekt, sondern disziplinierte Grundarbeit. Drei Hebel stechen heraus:

1) Risiko- und Kritikalitätsbild erstellen (und pflegen)

Welche Systeme sind geschäftskritisch? Wo liegen Kronjuwelen (ERP, Buchhaltung, Produktionssteuerung, Kundendaten)? Ohne diese Landkarte bleibt jede Maßnahme zufällig.

2) Notfallplan & Wiederanlauf üben

Ein Notfallplan ist kein PDF im Intranet. Er muss im Zeitdruck funktionieren: Zuständigkeiten, Kommunikationswege, Ansprechpartner, Entscheidungsregeln, Backup-Strategie, Ersatzprozesse. Wer nie übt, lernt erst im Schadenfall – dann ist es zu spät.

3) „Testen statt hoffen“ – realistische Prüfungen einplanen

Ob klassisch (manuelle Pentests/Red-Teaming) oder teilautomatisiert: Entscheidend ist ein fester Takt. Cybersecurity ist kein Zustand, sondern ein Prozess. Und Prozesse brauchen Termine, Budgets und Verantwortliche.

Fazit

Cyber-Resilienz ist 2026 eine Führungsaufgabe. Nicht die Menge an Sicherheitsprodukten entscheidet, sondern die Fähigkeit des Unternehmens, reale Risiken zu erkennen, Gegenmaßnahmen umzusetzen und deren Wirksamkeit zu verifizieren. Wer heute ohne Risikoanalyse und ohne Notfallplan arbeitet, handelt nicht „sparsam“, sondern wirtschaftlich fahrlässig – weil ein einziger erfolgreicher Angriff Produktion, Reputation und Liquidität gleichzeitig treffen kann.

Quellen & Hinweis der Redaktion:
Grundlage dieses Beitrags sind Angaben aus dem
„Cyber Security Report 2025/26“ von Horizon3.ai
(Befragung von 300 Unternehmen, überwiegend mittelständisch)
sowie Aussagen von Dennis Weyel (International Technical Director).
Die Redaktion hat die Kernaussagen eingeordnet
und von Produktkommunikation getrennt.

Redaktion: Mittelstandsjournal.de · Stand: 20. Januar 2026