Inhalt in Kürze
- Kleine Unternehmen sind Hauptziel: Laut BSI-Lagebericht 2025 betrafen rund 80 Prozent der gemeldeten Cyberangriffe KMU.
- Drei Bedrohungen dominieren: Phishing/Social Engineering, Ransomware, Datenlecks durch interne Fehler — die Reihenfolge ändert sich kaum.
- Der Schutzplan ist pragmatisch: MFA überall (insbesondere phishing-resistent), modernes Endpoint-Schutzpaket, getestetes Backup, Awareness-Schulungen, klare Verantwortung.
- Kosten sind kalkulierbar: Rund 30–50 Euro pro Mitarbeitendem und Monat reichen für ein solides Schutzpaket — deutlich günstiger als der Schaden eines einzigen erfolgreichen Angriffs.
- NIS-2 trifft auch indirekt: Auch wer nicht direkt unter NIS-2 fällt, wird als Zulieferer Compliance-Nachweise liefern müssen.
„Wir sind zu klein für einen Cyberangriff.” Diesen Satz hören wir in Hamburger Erstgesprächen mindestens einmal die Woche. Er stimmte vielleicht 2015. 2026 ist er eine gefährliche Illusion. Automatisierte KI-Kampagnen treffen Unternehmen unabhängig von der Größe — und die Frage „bin ich ein Ziel?” ist statistisch längst beantwortet.
Dieser Artikel sortiert die wirklich relevanten Bedrohungen für kleine und mittlere Unternehmen, ordnet sie nach Eintrittswahrscheinlichkeit und Schadenshöhe — und liefert den pragmatischen Schutzplan, den ein 5- bis 50-Personen-Betrieb in Hamburg umsetzen sollte. Ohne Konzern-Vokabular, mit Preisangaben, ohne Marketing-Floskeln.
Warum „zu klein” 2026 nicht mehr stimmt
Drei Trends erklären, warum kleine Unternehmen 2026 verstärkt im Fokus stehen:
- Automatisierte Massenangriffe: KI-gestützte Phishing-Kampagnen kosten den Angreifer pro Ziel praktisch nichts. Ein 8-Personen-Steuerbüro bringt potenziell so viel ein wie ein Konzern — bei deutlich geringerem Aufwand.
- Schwächere Verteidigung: Konzerne haben SOC-Teams, KMU oft nur einen halbtags zuständigen Geschäftsführer. Angreifer wissen das und nutzen es.
- Lieferketten-Angriffe: Der Weg in den großen Kunden führt über den kleinen Zulieferer. Wer für eine Reederei in Hamburg arbeitet, ist ein attraktives Sprungbrett.
Das BSI bestätigt diese Lage in seinen öffentlichen Empfehlungen: Awareness, MFA und Patch-Management sind die Basis — für jede Unternehmensgröße.
Die fünf häufigsten Bedrohungen für KMU 2026
- 1. Phishing & Social Engineering: KI-generierte Mails, Voice-Phishing mit Stimm-Klon, QR-Code-Phishing. Häufigste Türöffner für alles, was danach kommt.
- 2. Ransomware: Verschlüsselung der Geschäftsdaten samt Backup, wenn das nicht segmentiert ist. Häufige Folge eines Phishing-Klicks.
- 3. Insider-Fehler: Versehentliches Versenden, falsche Berechtigungen, Datenpanne nach Mitarbeiterabgang. Selten böswillig, oft teuer.
- 4. Adversary-in-the-Middle (AiTM): Anmeldesitzung wird mitsamt MFA-Token gekapert. Klassische SMS-MFA reicht nicht mehr.
- 5. Lieferketten-Angriffe: Kompromittierte Software-Updates, gehackte Cloud-Dienste, ausgenutzte Drittanbieter-Zugänge.
„Wir haben einen Virenscanner, das reicht." Klassische Virenscanner erkennen 2026 nur einen Bruchteil moderner Angriffe — verschlüsselte Payloads, dateilose Angriffe, Living-off-the-Land-Techniken bleiben unsichtbar. Stand der Technik ist Endpoint Detection & Response (EDR), z.B. Microsoft Defender for Business in M365 Business Premium.
Aus der Praxis: Drei Monate Stillstand
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
So oder ähnlich klingen die Berichte, wenn neue Kunden zu uns wechseln nach einem Vorfall. Die Zahlen für deutsche KMU laut Bitkom-Studien: durchschnittliche Schadenshöhe bei einem Ransomware-Vorfall im sechsstelligen Bereich, plus reputationelle Folgekosten und Vertrauensverlust bei Kunden.
Der pragmatische Schutzplan für 5–50 Mitarbeitende
Wir teilen den Schutz in fünf Bausteine — alle fünf gehören zusammen, keiner ist optional.
1. Identität schützen (MFA & Identitätsmanagement)
- MFA überall, idealerweise phishing-resistent (FIDO2-Hardware-Token, Passkeys)
- FIDO2 zwingend für Geschäftsführung, Buchhaltung, Admins
- Conditional Access (z.B. via Microsoft Entra ID): nur erlaubte Geräte, nur erlaubte Standorte
- Strikter Offboarding-Prozess: Account am letzten Arbeitstag deaktivieren
2. Endpoint-Schutz (EDR statt klassischer Antivirus)
- Microsoft Defender for Business (in M365 Business Premium enthalten) oder vergleichbar
- Patch-Management automatisiert — über Microsoft Intune oder ein RMM-Tool
- Festplattenverschlüsselung (BitLocker) auf allen mobilen Geräten
- Geräte zentral verwalten — kein „Bring your own device" ohne Schutzrichtlinie
3. Backup, das wirklich funktioniert
Microsoft 365 ist kein Backup. Microsoft sichert die Plattform; Ihre Daten sind Ihre Sache. Drittanbieter-Backup (Dropsuite, Veeam, Acronis) für Mail, OneDrive, SharePoint, Teams ist Pflicht — kostet ab ca. 3 Euro pro Postfach im Monat.
Drei Eigenschaften, die jedes Backup haben muss: 1) off-site (nicht im selben Netz), 2) immutable (nachträglich nicht änderbar), 3) getestet — mindestens vierteljährlich Wiederherstellung in der Praxis prüfen.
Wir sehen es jede Woche: Backups, die seit Monaten nicht geprüft wurden. Alle denken, es läuft — bis der Ernstfall kommt und nichts wiederherstellbar ist. Deshalb testen wir Backups regelmäßig.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
4. Mensch & Awareness
- Awareness-Plattform mit Phishing-Simulation (z.B. Securepoint Awareness Plus, KnowBe4) — ab 2 €/User/Monat
- Codewort für Notfallanweisungen per Telefon (verhindert CEO-Fraud per Voice-Deepfake)
- Vier-Augen-Prinzip für Überweisungen ab 5.000 €
- „Phishing melden"-Knopf in Outlook plus klarer Meldeweg
5. Prozesse & Verantwortung
- Klare Verantwortung — entweder interner IT-Beauftragter oder externer Partner
- Incident-Response-Plan: Wer macht was, wenn was passiert? (1 Seite reicht)
- Quartalsweise Sicherheits-Review mit Geschäftsführung — was hat sich verändert?
- Cyber-Versicherung mit dokumentierten Schutzmaßnahmen — sonst Leistungsausschluss
Was kostet ein solides Schutzpaket?
Realistische Hausnummern für ein 25-Personen-Unternehmen:
| Baustein | Kosten/Monat |
|---|---|
| Microsoft 365 Business Premium (mit Defender) | ca. 22 €/User |
| Drittanbieter-Backup für M365 | ca. 3 €/User |
| MFA-Hardware-Token (einmalig 30 € pro GF/Buchhaltung/Admin) | umgelegt 1 €/User |
| Awareness-Plattform mit Simulation | ca. 2 €/User |
| Managed-IT-Services (Patch, Monitoring, Helpdesk) | ab ca. 30 €/User |
Summe: ca. 50–60 € pro Mitarbeitendem und Monat — als Festpreis. Für 25 Mitarbeitende rund 15.000 € pro Jahr. Vergleich: Eine einzige Ransomware-Attacke kostet im Durchschnitt das Zehnfache.
NIS-2 betrifft auch Sie — wenn Sie zuliefern
Auch wenn Sie selbst nicht direkt unter NIS-2 fallen: Wer für Banken, Logistik, Maschinenbau, Energie oder Gesundheitswesen arbeitet, wird als Zulieferer Compliance-Nachweise liefern müssen. Ihre Auftraggeber sind verpflichtet, ihre Lieferkette abzusichern — und das gibt das BSI mit den Supply-Chain-Pflichten klar vor.
Konkret heißt das: Auftragsverarbeitungsverträge, dokumentierte Schutzmaßnahmen, Nachweis von Awareness-Schulungen. Wer das nicht liefern kann, verliert Aufträge — wir haben in Hamburg bereits Fälle gesehen.
Auch lesenswert: IT-Sicherheit Trends 2026, Phishing 2.0 und Backup für Unternehmen. Komplettpaket: Cybersecurity Hamburg und Managed IT Services.
Fazit: Pragmatisch, nicht perfektionistisch
Kein KMU braucht ein 24/7-SOC. Aber jedes KMU braucht MFA, Defender, ein getestetes Backup, Awareness und einen klaren Verantwortlichen. Diese fünf Hebel decken die häufigsten Bedrohungen ab — pragmatisch, kalkulierbar, ohne Konzern-Komplexität. Der größte Fehler 2026 ist Stillhalten in der Hoffnung, nicht getroffen zu werden. Diese Hoffnung ist statistisch widerlegt.
Cyber-Risiko-Check für Ihr Unternehmen?
15 Minuten Erstgespräch. Wir prüfen MFA, Backup, Endpoint-Schutz und Awareness-Stand — und sagen, was Priorität hat. Ehrlich, ohne Verkaufsdruck.
Termin buchen →
