All Posts
6 min
min read
July 3, 2026
Eine PwC-Studie zeigt: Der Mittelstand überschätzt seine Cyberabwehr um ein bis zwei Reifegradstufen – mit Folgen für Lieferketten, Budget und Personal.

Wer die eigene Cyberabwehr für stark genug hält, überschätzt sie im Zweifel deutlich. Das zeigt eine aktuelle PwC-Studie, für die 400 Führungskräfte mittelständischer Unternehmen zu ihrer IT-Sicherheit befragt wurden: Die Selbsteinschätzung liegt im Schnitt ein bis zwei Reifegradstufen über dem, was unabhängige Benchmark-Analysen tatsächlich messen. Parallel wächst die Bedrohungslage – über Lieferketten, über KI-gestützte Angriffe und über schlicht zu knappe Budgets.
Dieser Artikel fasst die zentralen Befunde der Studie zusammen und zeigt, wo der Mittelstand aus der Fehleinschätzung konkrete Konsequenzen ziehen sollte – von der Kontrolle über Fernzugriffe von Zulieferern bis zur Entscheidung, Teile der Abwehr an einen Managed-Security-Partner auszulagern.
Wichtige Erkenntnisse
Für die Studie „Trügerische Sicherheit“ hat PwC 400 Führungskräfte aus mittelständischen Unternehmen zu ihrer Cybersicherheit befragt und die Antworten mit unabhängigen Reifegrad-Benchmarks abgeglichen – technische Inspektionen der IT-Infrastruktur, Reviews der Sicherheitsdokumentation und Interviews mit den Fachbereichen. Das Ergebnis: Die Selbsteinschätzung liegt durchgehend ein bis zwei Reifegradstufen über dem gemessenen Schutzniveau.
Diese Lücke ist kein akademisches Detail. Wer sein Schutzniveau überschätzt, verschiebt Investitionsentscheidungen, unterschätzt Restrisiken und trifft im Ernstfall unvorbereitet auf einen Vorfall, den er auf dem Papier längst im Griff zu haben glaubte.
Besonders deutlich zeigt sich die Fehleinschätzung in der Lieferkette. Nahezu die Hälfte der befragten Unternehmen berichtet von Cybercrime-Vorfällen, die im eigenen Lieferantennetzwerk ihren Ursprung hatten – nicht im eigenen Haus. Nur jedes zweite Unternehmen traut sich zu, solche Risiken frühzeitig zu erkennen. Für Angreifer ist die Rechnung einfach: Ein kompromittierter Fernwartungszugang bei einem Dienstleister öffnet oft nicht nur ein System, sondern ein ganzes Netzwerk.
Genau hier setzt eine Remote-PAM-Plattform wie VISULOX an: Sie begrenzt jeden externen Zugriff von Zulieferern und Dienstleistern auf ein einzelnes freigegebenes System, statt pauschalen VPN-Zugang ins Netz zu geben, und hält jede Sitzung über eine revisionssichere Aufzeichnung nachweisbar. Was privilegierten Zugriff technisch von einfachen Nutzerrechten unterscheidet, erklärt unser Artikel zu PAM, PIM und IAM.
Zwei Drittel der Unternehmen mit steigenden Sicherheitsbudgets nennen laut PwC KI-bezogene Risiken als wichtigsten Treiber ihrer Investitionsentscheidung – aus gutem Grund. Angreifer nutzen künstliche Intelligenz, um Schwachstellen schneller aufzuspüren, Kampagnen massenhaft auszurollen und Phishing-Mails zu formulieren, die selbst aufmerksame Mitarbeiter kaum noch von echter Kommunikation unterscheiden können.
Die Verteidigerseite zieht nach: Mustererkennung in Datenströmen und automatisierte Reaktion auf Vorfälle gehören inzwischen zum Standard-Werkzeugkasten moderner Sicherheitsteams. Wer in dieser Eskalation nicht mithalten kann, verlässt sich zunehmend auf externe Spezialisten.
Was bei den Investitionen passiert, überrascht selbst erfahrene Prüfer: Selbst größere Mittelständler begnügen sich teils mit weniger als 50.000 Euro pro Jahr für die gesamte Cyberabwehr. Für diese Summe lassen sich weder eine professionelle Überwachungsplattform noch ein erprobter Notfallplan finanzieren – von spezialisierten Analysten ganz zu schweigen.
Die Rechnung geht selten auf: Ein erfolgreicher Angriff kostet im Ernstfall ein Vielfaches der eingesparten Summe, durch Betriebsausfall, Wiederherstellung und im schlimmsten Fall Bußgelder nach NIS-2 oder DSGVO. Wer seine Pflichten aus der NIS-2-Checkliste ernst nimmt, kommt an einem realistischen Budget nicht vorbei.
Selbst mit ausreichendem Budget fehlt vielen Mittelständlern schlicht das Personal. Im Median stehen für Informationssicherheit gerade einmal drei Vollzeitkräfte zur Verfügung – zu wenig, um anspruchsvolle Bedrohungsszenarien rund um die Uhr zu überwachen. Konsequenterweise setzen laut PwC rund 78 Prozent der Unternehmen auf externe Managed-Security-Anbieter, die Überwachung, Schwachstellenanalyse und Vorfallreaktion als Dauerleistung übernehmen.
Auslagern heißt dabei nicht, Verantwortung abzugeben. Es heißt, die eigene Organisation von Routineaufgaben zu entlasten und interne Kapazität für Governance, Lieferantensteuerung und eine realistischere Selbsteinschätzung freizuhalten.
Aus allen Befunden ergibt sich eine gemeinsame Botschaft: Cybersicherheit ist kein Thema, das sich in den Serverraum delegieren lässt. Realistische Bestandsaufnahmen statt Wunschdenken, gezielte statt symbolischer Budgets und ein klarer Blick auf die eigene Lieferkette gehören auf die Agenda der Geschäftsführung – nicht nur der IT-Abteilung. Wer diese Reifegrad-Lücke schließen will, findet in einer zentral kontrollierten Remote-PAM-Plattform wie VISULOX einen konkreten ersten Schritt.
Kontakt
Sprechen Sie direkt mit einem Cybersecurity Experten.
Die PwC-Studie zeigt eine gefährliche Lücke zwischen gefühlter und tatsächlicher Cyberabwehr im deutschen Mittelstand: ein bis zwei Reifegradstufen, fast die Hälfte der Unternehmen mit Vorfällen aus der Lieferkette, Budgets unter 50.000 Euro und im Schnitt nur drei Sicherheitsfachkräfte. Wer diese Lücke schließen will, braucht eine ehrliche Bestandsaufnahme, kontrollierten Zugriff für Zulieferer und Dienstleister sowie gegebenenfalls einen externen Managed-Security-Partner. Wie sich privilegierter Fernzugriff mit einer deutschen Remote-PAM-Plattform wie VISULOX konkret absichern lässt, zeigt unser PAM-Einsteiger-Guide.
Table Of Content:
Sprechen Sie mit unseren Experten
Wir freuen uns Ihre individuellen Anforderungen unverbindlich zu besprechen.
Share:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Expertenwissen, Praxistipps und aktuelle Trends rund um PAM, Compliance und sichere Remote-Arbeit – direkt vom amitego-Team.