Ein neues Risikobarometer der SMK Group zeigt, dass sich viele Mittelständler sicherer fühlen, als sie laut BSI mit durchschnittlich 56 Prozent erfüllten Basisanforderungen tatsächlich sind. Mit NIS2 wird aus dieser Lücke für rund 29.500 Unternehmen ein persönliches Haftungsrisiko der Geschäftsleitung.
Gefühlte Sicherheit verdeckt oft echte Lücken. NIS2 macht diesen blinden Fleck zur persönlichen Chefsache.
Der auffälligste Befund unseres erstmals erhobenen SMK Risikobarometers Mittelstand 2026 ist keine Zahl über Angriffe. Es ist eine Lücke im Selbstbild. 80 Prozent der von uns befragten Entscheider halten ihre IT- und Cybersicherheit für organisatorisch verankert und dokumentiert. Gleichzeitig berichtet jedes vierte dieser Unternehmen von einem Cybervorfall in den vergangenen zwölf Monaten, in den meisten Fällen ohne gravierende Folgen. Doch dass es überhaupt zu Vorfällen kommt, relativiert das Gefühl der vollständigen Kontrolle. Die gefühlte Sicherheit ist spürbar höher als die tatsächliche. Wer diese Differenz ignoriert, verwechselt das Vorhandensein von Schutzmaßnahmen mit dem Funktionieren von Schutz.
Diese Diskrepanz ist nicht mehr nur ein betriebliches Ärgernis, sie wird zum Haftungsthema. Mit dem NIS2-Umsetzungsgesetz gilt ein verbindlicher Rahmen ohne Übergangsfrist: Rund 29.500 Unternehmen oberhalb klar definierter Größenschwellen müssen Risikomanagement, Meldewege und technische Mindeststandards nachweisen. Der Druck reicht dabei weiter, als die Schwellenwerte vermuten lassen. Denn wer als Zulieferer oder Dienstleister für betroffene Unternehmen arbeitet, wird über Lieferketten- und Vertragsanforderungen ebenfalls in die Pflicht genommen. Entscheidend für die Führungsebene ist ein Punkt, der die kommenden Jahre prägen wird: Die Verantwortung für Cyberrisiken liegt ausdrücklich bei der Geschäftsleitung, persönlich und nicht delegierbar. Cybersicherheit wandert damit endgültig aus der IT-Abteilung in die Geschäftsführungs-/Vorstandsetage.
Die eigentliche Angriffsfläche liegt in der Organisation, nicht in der Technik
Den Mittelstand trifft dieser Wechsel an einer empfindlichen Stelle. Das zeigt nicht nur unsere Erhebung. Der aktuelle BSI-Lagebericht zur IT-Sicherheit in Deutschland stellt fest, dass kleine und mittlere Unternehmen im Schnitt nur rund 56 Prozent der Basisanforderungen an IT-Sicherheit erfüllen und ihr Schutzniveau häufig überschätzen. Beide Ergebnisse, unserer und der des Bundesamtes, beschreiben dasselbe Muster: Es fehlt selten am guten Willen. Es fehlt an der Verbindung zwischen Technik und Organisation.
Genau hier liegt der eigentliche Kern des Problems. Viele Unternehmen setzen technische Sicherheit, also Firewall, Virenschutz und Backup, mit organisatorischer Sicherheit gleich. Doch ein Angriff trifft nicht nur Systeme, er trifft Abläufe. Wer im Ernstfall nicht weiß, wer entscheidet, wie der Wiederanlauf geregelt ist, welche Daten wo liegen und wann gemeldet werden muss, hat keinen Schutz, sondern lediglich die Hoffnung, dass es „irgendwie“ funktioniert. Die reale Angriffsfläche verläuft heute entlang von Rollen, Prozessen und Zuständigkeiten, nicht mehr nur entlang der Hardware.
Dass diese Schwäche so verbreitet ist, hat einen strukturellen Grund. 60 Prozent der von uns befragten Mandanten verfügen nach eigener Einschätzung über kein oder nur ein ansatzweise strukturiertes Risikomanagement. Cybersicherheit lebt aber genau in diesem Vakuum. Wo keine Dokumentierung existiert, in der Risiken erfasst, bewertet und regelmäßig überprüft werden, bleibt auch IT-Sicherheit eine Sammlung von Einzelmaßnahmen ohne Steuerungslogik.
Künstliche Intelligenz und ungeregelte Nachfolge verschärfen die Lage zusätzlich
Verschärft wird die Lage durch die Art, wie der Mittelstand künstlicher Intelligenz und deren Nutzung umgeht. Nur 4,5 Prozent unserer Mandanten setzen künstliche Intelligenz unternehmensweit und strategisch gesteuert ein. Die übergroße Mehrheit verharrt in Pilotprojekten oder verzichtet ganz. Das ist aus Sicherheitssicht kein Randthema. Denn dort, wo Datenflüsse inkonsistent sind, Informationen mehrfach erfasst werden und Verantwortlichkeiten unklar bleiben, entstehen nicht nur Produktivitätsverluste, sondern auch Einfallstore. Ungeordnete Daten sind unsichere Daten. Wer KI einführt, ohne zu wissen, wo seine Informationen liegen und wer sie weitergibt, vergrößert seine Angriffsfläche, statt sie zu beherrschen.
Hinzu kommt ein Risiko, das in der Sicherheitsdebatte selten auftaucht, obwohl es eng damit verwandt ist: die Nachfolge. Fast jeder zweite Mandant, 47 Prozent, hat das Thema nicht oder nur in Ansätzen geregelt, während das IfM Bonn bis 2030 mit rund 186.000 anstehenden Unternehmensübergaben rechnet. Was das mit Cybersicherheit zu tun hat? Mehr, als es scheint. Wo Wissen in einzelnen Köpfen konzentriert ist, Prozesse nicht dokumentiert sind und Zuständigkeiten nicht sauber verteilt wurden, steigt die Verwundbarkeit im Tagesgeschäft. Eine Organisation, die nicht übergabefähig ist, ist auch im Krisenfall nicht handlungsfähig.
Erst Struktur macht aus Einzelmaßnahmen echten Schutz
Damit schließt sich der Kreis. Risikomanagement, IT-Sicherheit, Datenführung und Nachfolge wirken im Mittelstand bislang in der Regel nebeneinander, nicht miteinander. Unternehmen handeln, aber sie steuern nicht. Sie verbessern einzelne Themen und Bereiche, ohne sie zu einer belastbaren Gesamtlogik zu verbinden. Das ist der Punkt, an dem aus vielen kleinen Lücken eine systemische Schwäche wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die regulatorische Entwicklung erzwingt jetzt ohnehin, was gute Führung längst tun sollte. NIS2 verlangt kein neues Werkzeug, es verlangt eine Struktur: dokumentiertes Risikomanagement, klare Verantwortlichkeiten, definierte Meldewege, geübte Wiederanlaufpläne. Das ist exakt jene integrierte Steuerungslogik, die unser Risikobarometer als entscheidenden Reifegrad ausweist. Compliance ist hier nicht der Gegner unternehmerischer Freiheit, sondern ihre Voraussetzung.
Der Mittelstand hat die Mittel, diese Aufgabe zu lösen. Er ist schneller und entschlossener als große Konzerne, und er kennt seine Abhängigkeiten genau. Was ihm zu oft fehlt, ist der Schritt vom Maßnahmenkatalog zur Führungsroutine. Sicherheit entsteht nicht durch die nächste Anschaffung. Sie entsteht dort, wo ein Unternehmen weiß, was es schützt, wer dafür verantwortlich ist und was im Ernstfall geschieht. Wer sich sicher fühlt, hat den ersten Schritt noch vor sich. Wer sich prüft, hat ihn getan.
Über den Autor: Mike Kersting ist Vorstand der SMK Group. Mit einem interdisziplinären Team aus Versicherungs- und Unternehmensberatern, IT-Experten und Transformationsspezialisten berät die SMK Group mit Sitz in Gießen mittelständische Unternehmen aus Handwerk, Technik und Industrie bei der Identifikation und Bewältigung unternehmerischer Risiken.