1. Zahl erfolgreicher Angriffe steigt deutlich

Laut Studie haben 15 % der Unternehmen im vergangenen Jahr einen Cybervorfall erlebt – ein Anstieg um 4 Prozentpunkte im Vergleich zur Vorjahreserhebung. Die Mehrheit dieser Vorfälle war erfolgreich und führte zu Systemausfällen, Datendiebstahl oder finanziellen Schäden. Die Angreifer nutzen dabei zunehmend automatisierte und KI-gestützte Techniken, um Schwachstellen schnell und effizient auszunutzen.

Gleichzeitig stuften sich 91 % der befragten Unternehmen als „gut aufgestellt“ ein. Diese Diskrepanz zwischen Selbstbild und Realität ist problematisch: Sie verhindert, dass präventive Maßnahmen rechtzeitig umgesetzt werden und begünstigt ein reaktives anstatt einem vorausschauenden Sicherheitsverhalten.

2. Phishing dominiert weiterhin – mit neuem technologischen Rückenwind

Phishing bleibt mit Abstand die häufigste Angriffsform: 84 % der Unternehmen mit Vorfällen nannten Phishing als Einfallstor. Gegenüber dem Vorjahr bedeutet das einen Anstieg um 12 %. Dabei werden zunehmend KI-basierte Werkzeuge eingesetzt, um E-Mails noch authentischer erscheinen zu lassen, z. B. mit täuschend echten Sprachmustern, personalisierten Inhalten sowie mit synthetischer Sprache.

Ernüchternd: Nur 10 % der Unternehmen setzen KI aktiv zur Verteidigung ein, z. B. für Anomalieerkennung, Incident-Response oder Risikobewertung.

3. Angriffe über die Lieferkette – das unterschätzte Risiko

Die größte Schwachstelle liegt laut Studie dort, wo viele Unternehmen gar nicht hinschauen: in der Lieferkette. Bei jedem zehnten Vorfall erfolgte der Erstzugang über einen externen Dienstleister, Zulieferer oder Kunden. Dennoch:

• Nur 33 % der Unternehmen stellen IT-Sicherheitsanforderungen an ihre Partner.
• Lediglich 6 % führen Audits bei Dritten durch.
• 76 % sehen kaum Risiken in der Lieferkette.

Das ist alarmierend – denn gerade über Drittanbieter gelangen Angreifer oft unbemerkt ins Herz der IT-Infrastruktur. Der Fall SolarWinds oder der kürzliche Vorfall bei Volkswagen unterstreichen das eindrücklich.

4. Schatten-IT, Altgeräte und fehlende Prozesse

Eine weitere Einfallstür sind Geräte und Systeme, die außerhalb der offiziellen IT-Verwaltung betrieben werden – sogenannte Schatten-IT. 9 % der erfolgreichen Angriffe in der Studie gehen darauf zurück. In 39 % der Unternehmen gibt es keine klaren Prozesse, wie mit Altgeräten oder eigenständig betriebenen Systemen umzugehen ist.

Auch mobile Geräte, Homeoffice-Setups und IoT-Systeme bleiben häufig unkontrolliert – mit entsprechendem Risiko.

5. Regulatorik: NIS2 und Normen sorgen für Orientierung – aber auch Überforderung

Normen wie ISO 27001 oder gesetzliche Vorgaben wie die NIS2-Richtlinie gelten laut Studie bei 75 % der Unternehmen als wichtige Orientierung. Gleichzeitig empfinden viele sie als zu komplex (53 %) oder zu kostspielig (59 %). Die NIS2 verlangt von vielen mittelständischen Unternehmen erstmals ein Risikomanagementsystem, Meldepflichten und strukturierte Sicherheitstests – eine Herausforderung, insbesondere ohne erfahrene Partner.

6. Handlungsempfehlungen aus der Studie – und wie smetrics unterstützen kann

Die TÜV-Studie liefert konkrete Handlungsempfehlungen, die wir bei smetrics aktiv in die Praxis übersetzen:

• Ganzheitliche Sicherheitsstrategien: Betrachtung von Systemen, Prozessen, Menschen, Partnern und Technologien.
• Lieferketten-Audits & Drittsystemanalysen: Wir helfen Ihnen, Ihre Partnerlandschaft auf Risiken zu überprüfen – transparent und DSGVO-konform.
• Technische Tests und Forensik: Unsere Penetration Tests decken nicht nur Schwachstellen auf, sondern bewerten auch deren Relevanz für reale Angriffsszenarien.
• Mitarbeiterschulungen & Awareness: Mit gezieltem Training reduzieren wir Ihre größte Schwachstelle: den Menschen.
• KI-Security-Readiness: Wir analysieren, wo in Ihrer Infrastruktur KI-Risiken bestehen – und wie Sie KI sicher nutzen können.

Fazit: Wer Cybersicherheit ernst nimmt, schaut über die Firewall hinaus

Die TÜV Cybersecurity Studie 2025 zeigt: Die Bedrohungslage ist real, hochdynamisch und komplex. Eine starke Firewall oder gute Antivirensoftware reichen heute nicht mehr aus. Sicherheit entsteht erst, wenn auch Lieferketten, Mitarbeitende, Prozesse und Systeme regelmäßig hinterfragt und verbessert werden. Besonders in der mittelständischen Industrie ist die Diskrepanz zwischen Risiko und gelebtem Schutz gefährlich groß.

Sie möchten wissen, wie gut Ihr Unternehmen aufgestellt ist – und was Sie konkret tun können?
Wir von smetrics unterstützen Sie mit klaren Analysen, verständlichen Handlungsempfehlungen und messbaren Ergebnissen. Melden Sie sich – wir beraten Sie gerne.