All Posts

Sicherheitstrends

6 min

 min read

July 3, 2026

Mittelstand überschätzt seine Cyberabwehr (PwC-Studie)

Eine PwC-Studie zeigt: Der Mittelstand überschätzt seine Cyberabwehr um ein bis zwei Reifegradstufen – mit Folgen für Lieferketten, Budget und Personal.

Jan Zeppernick - Amitego CEO

Jan Zeppernick

Management

Einführung

Wer die eigene Cyberabwehr für stark genug hält, überschätzt sie im Zweifel deutlich. Das zeigt eine aktuelle PwC-Studie, für die 400 Führungskräfte mittelständischer Unternehmen zu ihrer IT-Sicherheit befragt wurden: Die Selbsteinschätzung liegt im Schnitt ein bis zwei Reifegradstufen über dem, was unabhängige Benchmark-Analysen tatsächlich messen. Parallel wächst die Bedrohungslage – über Lieferketten, über KI-gestützte Angriffe und über schlicht zu knappe Budgets.

Dieser Artikel fasst die zentralen Befunde der Studie zusammen und zeigt, wo der Mittelstand aus der Fehleinschätzung konkrete Konsequenzen ziehen sollte – von der Kontrolle über Fernzugriffe von Zulieferern bis zur Entscheidung, Teile der Abwehr an einen Managed-Security-Partner auszulagern.

Wichtige Erkenntnisse

  • Die Selbsteinschätzung der Cyberabwehr liegt im Schnitt ein bis zwei Reifegradstufen über dem, was unabhängige PwC-Benchmarks tatsächlich messen (Basis: 400 befragte Mittelstands-Führungskräfte).
  • Fast die Hälfte der Unternehmen erlebte bereits Cybercrime-Vorfälle über ihr Lieferantennetzwerk – nur jedes zweite kann solche Risiken schnell genug erkennen.
  • Zwei Drittel der Unternehmen mit steigenden Sicherheitsbudgets nennen KI-bezogene Risiken als wichtigsten Investitionstreiber; Angreifer nutzen KI längst zum Skalieren von Phishing und Schwachstellensuche.
  • Selbst größere Mittelständler investieren teils unter 50.000 Euro jährlich in ihre Cyberabwehr – zu wenig für professionelle Überwachung und Notfallpläne.
  • Im Median stehen einem Mittelständler nur drei Vollzeitkräfte für Informationssicherheit zur Verfügung; 78 Prozent lagern deshalb Teile der Abwehr an Managed-Security-Anbieter aus.
  • Kontrollierter, protokollierter Zugriff für Zulieferer und Dienstleister – etwa über eine Remote-PAM-Plattform wie VISULOX – entschärft gezielt das Lieferketten-Risiko aus Punkt zwei.

Zwischen Wunschdenken und Wirklichkeit: die Reifegrad-Lücke im Mittelstand

Für die Studie „Trügerische Sicherheit“ hat PwC 400 Führungskräfte aus mittelständischen Unternehmen zu ihrer Cybersicherheit befragt und die Antworten mit unabhängigen Reifegrad-Benchmarks abgeglichen – technische Inspektionen der IT-Infrastruktur, Reviews der Sicherheitsdokumentation und Interviews mit den Fachbereichen. Das Ergebnis: Die Selbsteinschätzung liegt durchgehend ein bis zwei Reifegradstufen über dem gemessenen Schutzniveau.

Diese Lücke ist kein akademisches Detail. Wer sein Schutzniveau überschätzt, verschiebt Investitionsentscheidungen, unterschätzt Restrisiken und trifft im Ernstfall unvorbereitet auf einen Vorfall, den er auf dem Papier längst im Griff zu haben glaubte.

Das Lieferketten-Risiko: wenn ein Zulieferer alle mit reinzieht

Besonders deutlich zeigt sich die Fehleinschätzung in der Lieferkette. Nahezu die Hälfte der befragten Unternehmen berichtet von Cybercrime-Vorfällen, die im eigenen Lieferantennetzwerk ihren Ursprung hatten – nicht im eigenen Haus. Nur jedes zweite Unternehmen traut sich zu, solche Risiken frühzeitig zu erkennen. Für Angreifer ist die Rechnung einfach: Ein kompromittierter Fernwartungszugang bei einem Dienstleister öffnet oft nicht nur ein System, sondern ein ganzes Netzwerk.

Genau hier setzt eine Remote-PAM-Plattform wie VISULOX an: Sie begrenzt jeden externen Zugriff von Zulieferern und Dienstleistern auf ein einzelnes freigegebenes System, statt pauschalen VPN-Zugang ins Netz zu geben, und hält jede Sitzung über eine revisionssichere Aufzeichnung nachweisbar. Was privilegierten Zugriff technisch von einfachen Nutzerrechten unterscheidet, erklärt unser Artikel zu PAM, PIM und IAM.

KI gegen KI: die neue Bedrohungsdimension

Zwei Drittel der Unternehmen mit steigenden Sicherheitsbudgets nennen laut PwC KI-bezogene Risiken als wichtigsten Treiber ihrer Investitionsentscheidung – aus gutem Grund. Angreifer nutzen künstliche Intelligenz, um Schwachstellen schneller aufzuspüren, Kampagnen massenhaft auszurollen und Phishing-Mails zu formulieren, die selbst aufmerksame Mitarbeiter kaum noch von echter Kommunikation unterscheiden können.

Die Verteidigerseite zieht nach: Mustererkennung in Datenströmen und automatisierte Reaktion auf Vorfälle gehören inzwischen zum Standard-Werkzeugkasten moderner Sicherheitsteams. Wer in dieser Eskalation nicht mithalten kann, verlässt sich zunehmend auf externe Spezialisten.

Sparbudget als Bumerang: zu kleine IT-Sicherheitsbudgets

Was bei den Investitionen passiert, überrascht selbst erfahrene Prüfer: Selbst größere Mittelständler begnügen sich teils mit weniger als 50.000 Euro pro Jahr für die gesamte Cyberabwehr. Für diese Summe lassen sich weder eine professionelle Überwachungsplattform noch ein erprobter Notfallplan finanzieren – von spezialisierten Analysten ganz zu schweigen.

Die Rechnung geht selten auf: Ein erfolgreicher Angriff kostet im Ernstfall ein Vielfaches der eingesparten Summe, durch Betriebsausfall, Wiederherstellung und im schlimmsten Fall Bußgelder nach NIS-2 oder DSGVO. Wer seine Pflichten aus der NIS-2-Checkliste ernst nimmt, kommt an einem realistischen Budget nicht vorbei.

Personalmangel zwingt zur Auslagerung

Selbst mit ausreichendem Budget fehlt vielen Mittelständlern schlicht das Personal. Im Median stehen für Informationssicherheit gerade einmal drei Vollzeitkräfte zur Verfügung – zu wenig, um anspruchsvolle Bedrohungsszenarien rund um die Uhr zu überwachen. Konsequenterweise setzen laut PwC rund 78 Prozent der Unternehmen auf externe Managed-Security-Anbieter, die Überwachung, Schwachstellenanalyse und Vorfallreaktion als Dauerleistung übernehmen.

Auslagern heißt dabei nicht, Verantwortung abzugeben. Es heißt, die eigene Organisation von Routineaufgaben zu entlasten und interne Kapazität für Governance, Lieferantensteuerung und eine realistischere Selbsteinschätzung freizuhalten.

Was das für die Chefetage bedeutet

Aus allen Befunden ergibt sich eine gemeinsame Botschaft: Cybersicherheit ist kein Thema, das sich in den Serverraum delegieren lässt. Realistische Bestandsaufnahmen statt Wunschdenken, gezielte statt symbolischer Budgets und ein klarer Blick auf die eigene Lieferkette gehören auf die Agenda der Geschäftsführung – nicht nur der IT-Abteilung. Wer diese Reifegrad-Lücke schließen will, findet in einer zentral kontrollierten Remote-PAM-Plattform wie VISULOX einen konkreten ersten Schritt.

Kontakt

Ihr direkter Weg zu sicherem Remote Access

Sprechen Sie direkt mit einem Cybersecurity Experten.

Persönlicher Termin
Persönlicher Termin
Persönlicher Termin

Fazit

Die PwC-Studie zeigt eine gefährliche Lücke zwischen gefühlter und tatsächlicher Cyberabwehr im deutschen Mittelstand: ein bis zwei Reifegradstufen, fast die Hälfte der Unternehmen mit Vorfällen aus der Lieferkette, Budgets unter 50.000 Euro und im Schnitt nur drei Sicherheitsfachkräfte. Wer diese Lücke schließen will, braucht eine ehrliche Bestandsaufnahme, kontrollierten Zugriff für Zulieferer und Dienstleister sowie gegebenenfalls einen externen Managed-Security-Partner. Wie sich privilegierter Fernzugriff mit einer deutschen Remote-PAM-Plattform wie VISULOX konkret absichern lässt, zeigt unser PAM-Einsteiger-Guide.

Jan Zeppernick - Amitego CEO

Jan Zeppernick

Management

Jan verfügt über mehr als 12 Jahre Beratungserfahrung bei PwC und Ernst & Young, mit Schwerpunkt auf Informationssicherheit und Compliance für kritische Infrastrukturen und die Automobilbranche. Als zertifizierter ISO 27001 Lead Auditor und Strategieexperte berät er Organisationen beim Aufbau und der Auditierung von Sicherheitsmanagementsystemen nach ISO 27001 und TISAX.