Cyberangriffe werden von kleinen und mittleren Unternehmen (KMU) nicht mehr als seltene Ereignisse oder als etwas angesehen, worüber sich nur große Unternehmen Sorgen machen müssten. Angesichts dieser neuen Realität zeigen sich KMU zuversichtlich hinsichtlich ihrer Widerstandsfähigkeit, obwohl sie einräumen, dass sie die aktuelle Bedrohungslage im Zusammenhang mit KI nicht ausreichend verstehen.
Diese Beobachtung ist nur eine der Erkenntnisse aus dem „ESET SMB Cyber Readiness Index 2026“, einer weltweiten Umfrage unter 4.400 Entscheidungsträgern von KMU (25 bis 1.000 Endgeräte) aus verschiedenen Branchen.
Das Vertrauen wächst
Wenn Sie ein KMU sind, können Sie quasi eine Münze werfen, um zu sehen, ob Sie in diesem Jahr einen Cybervorfall erleben werden. Dementsprechend waren 45 % der kleinen und mittleren Unternehmen in den letzten 12 Monaten von einem Cybersicherheitsvorfall betroffen, und 14 % erlebten einen Vorfall mehr als einmal. Deutschland (64 %) führt mit der höchsten Rate an registrierten Vorfällen (einer oder mehrere), gefolgt von den USA (54 %) und Spanien (53 %).
Bemerkenswert ist, dass 61 % aller befragten KMU ernsthaft über Cyberangriffe besorgt sind sowie 75 % Cyberkriegsführung und globale Konflikte als reale Cyberbedrohungen betrachten, die sich auf ihre Unternehmen auswirken können.
Allerdings vertrauen 68 % der Unternehmen auf ihre Cybersicherheit, um diese Angriffe abzuwehren. Drei Viertel der Unternehmen geben an, von ihrer Widerstandsfähigkeit gegenüber Cyberangriffen – also ihrer Fähigkeit, mit Angriffen umzugehen – überzeugt zu sein.
Das Vertrauen in die Cyberresilienz ist bei Unternehmen, die bereits mehrere Vorfälle erlebt haben, sogar noch höher (81 %). Das könnte darauf hindeuten, dass Erfahrungen aus erster Hand zu realistischeren und ausgereifteren Sicherheitsstrategien führen.
Wahrnehmung versus Realität
Die Umfrage verdeutlicht jedoch auch eine beträchtliche Kluft zwischen wahrgenommenen und tatsächlichen Risiken. Während KI-gestützte Malware die Diskussionen in den Vorstandsetagen, die Schlagzeilen der Medien und andere wahrgenommene Bedrohungen in dieser Umfrage dominiert, werden Vorfälle in der Praxis weiterhin von bekannteren Problemen wie Phishing, schwachen Zugangsdaten, nicht gepatchten Systemen und unzureichender Überwachung verursacht.
„Die praktischen Auswirkungen von KI liegen heute weniger in neuartiger, autonomer Malware als vielmehr darin, dass sie ein höheres Volumen an überzeugenderen Phishing-Kampagnen, eine schnellere Malware-Entwicklung sowie den skalierbaren Missbrauch öffentlich zugänglicher KI-Tools und agentischer Fähigkeiten ermöglicht“, sagte Juraj Jánošík, VP of Artificial Intelligence bei ESET .
Zum Zeitpunkt der Erstellung dieses Artikels stellten die Experten eindeutig fest, dass der direkte Einsatz von KI zur Erstellung von Malware und Skripten nach wie vor begrenzt und spezifisch ist. „Angreifer setzen zunehmend auf Automatisierung und die Schaffung eines Vertrauensbildes, anstatt echte KI-Funktionalität zu erreichen. Sie nutzen KI, um professionelle Präsentationen und Interaktionen nachzuahmen – und festigen damit Social Engineering als eines der wichtigsten Schlachtfelder in der Cyberabwehr“, fuhr Jánošík fort.
Dennoch spielen KI-Tools in dieser sich wandelnden Bedrohungslandschaft eine doppelte Rolle: Einerseits integrieren kleine und mittlere Unternehmen (KMU) sie rasch, um Produktivität und Effizienz zu steigern, wobei die Akzeptanz in den Vereinigten Staaten besonders hoch ist (81 %). Andererseits verfügen 40 % aller befragten Unternehmen über keine Richtlinien zur Einschränkung von „Shadow-KI“, einem aufkommenden Angriffsvektor.
Insgesamt bleibt Phishing die häufigste Einzelursache für Cybersicherheitsvorfälle (26 %), ein Trend, der auch durch die ESET-Telemetriedaten für das gesamte Jahr 2025 bestätigt wird: Diese zeigten, dass 34 % aller Bedrohungen auf Phishing und damit verbundene Aktivitäten zurückzuführen waren.
Die Kompromittierung der Lieferkette rangiert trotz ihrer Zugehörigkeit zu den größten Bedrohungen bei Vorfällen und ihrer potenziell verheerenden Auswirkungen auf nachgelagerte Bereiche überraschend weit unten (14 %) auf der Liste der Sorgen von KMU.
Positive Trends
Insgesamt zeigt die Umfrage mehrere positive Trends, wie beispielsweise eine höhere Zufriedenheit mit den Budgets (65 % sind zufrieden; 15 % sind mehr als zufrieden) oder eine breitere Einführung höherwertiger Cybersicherheitsprodukte (nur 11 % geben an, über einen grundlegenden (minimalen) Schutz zu verfügen).
Schulungen und Sensibilisierung stechen als einer der beständigsten Lichtblicke in den Daten hervor. Ganze 87 % der KMU betrachten die Schulung ihrer Mitarbeiter als sehr wichtig oder entscheidend für ihre Cyber-Resilienz, und viele (72 %) gehen über grundlegende Programme hinaus und setzen auf strukturiertere Schulungen, die Phishing-Simulationen und regelmäßige Auffrischungen umfassen.
Schnellere Untersuchungszeiten (41 % benötigen weniger als zwei Wochen für die Untersuchung) und eine umfassendere Meldung von Vorfällen (nur 5 % melden keine Vorfälle) deuten ebenfalls darauf hin, dass das Stigma rund um Sicherheitsverletzungen nachlässt, wobei KMU die Bereitschaft zeigen, Versicherer, Partner, Kunden und Behörden einzubeziehen, wenn etwas schiefgeht.
Offensichtlich wird diese positive Entwicklung durch die breite Akzeptanz von Cyber-Risikoversicherungen (71 %), insbesondere von Versicherungen mit speziellen Anforderungen (37 %), unterstützt.
Leben mit Cyberbedrohungen
Letztendlich zeichnet der ESET Cyber Readiness Index 2026 ein differenziertes Bild der Cybersicherheit in KMU. Das Vertrauen wächst, nicht weil die Bedrohungen abnehmen, sondern weil Unternehmen lernen, mit ihnen zu leben. Cyberversicherungen, verbesserte Schulungen, schnellere Reaktionen und größere Transparenz haben allesamt zu einer stärkeren Widerstandsfähigkeit beigetragen.
Gleichzeitig bleiben die Grundlagen entscheidend. Die meisten Sicherheitsvorfälle sind nach wie vor auf vermeidbare Probleme zurückzuführen, und da erfolgreiche Cyberangriffe zur neuen Normalität werden, ist es wichtiger denn je, diese Grundlagen richtig zu gestalten. Für KMU, die sich in einem zunehmend komplexen und von KI geprägten Bedrohungsumfeld zurechtfinden müssen, wird die Widerstandsfähigkeit weniger davon abhängen, immer den neuesten Schlagzeilen hinterherzulaufen, sondern vielmehr von nachhaltigen, strategischen Investitionen in Mitarbeiter, Prozesse und bewährte Sicherheitspraktiken.
Lesen Sie den vollständigen Bericht zum „ESET SMB Cyber Readiness Index 2026 “.





