Cyberangriffe auf deutsche Unternehmen verursachen 2026 weiterhin Schäden von deutlich über 200 Milliarden Euro pro Jahr, mit Ransomware, Phishing und Lieferkettenangriffen als häufigsten und teuersten Angriffsvektoren. Die zentrale Zahl ist eindeutig datierbar: Bitkom beziffert den Schaden für die deutsche Wirtschaft im Jahr 2025 auf 289,2 Milliarden Euro, nachdem dieselbe Studienreihe 2023 noch 205,9 Milliarden Euro und 2024 bereits 266,6 Milliarden Euro ausgewiesen hatte. Parallel bleibt die Einordnung des Bundesamts für Sicherheit in der Informationstechnik nüchtern: Entwarnung gibt es nicht, die Lage bleibt angespannt.
Letzte Aktualisierung: 20. März 2026
Die kurze Antwort lautet: Deutsche Unternehmen müssen 2026 mit einer dauerhaft hohen Angriffsdichte rechnen. Für 2024 registrierte das BKA 131.391 Cybercrime-Fälle im Inland, Bitkom meldet für 2025 eine Betroffenheit von 87 Prozent der Unternehmen durch Datendiebstahl, Spionage oder Sabotage, und das BSI beschreibt vor allem wachsende Angriffsflächen, Lieferkettenrisiken und professionelle Ransomware-Gruppen als strukturelles Problem. Wer die operative und rechtliche Krisenseite vertiefen möchte, sollte parallel die Beiträge zu Krisenmanagement bei Cyberangriffen, Organhaftung bei IT-Sicherheit, Geschäftsführer-Haftung bei Cyberangriffen, BSI IT-Grundschutz und CRA, NIS2 und AI Act hinzuziehen.
Die wichtigsten Zahlen auf einen Blick
Cyberangriffe auf deutsche Unternehmen sind kein Randproblem mehr, sondern ein dauerhafter Kosten- und Resilienzfaktor. Besonders belastbar sind drei Kennzahlen aus den Primärquellen: das Schadensniveau, die Unternehmensbetroffenheit und die amtlich registrierten Fälle.
- Bitkom beziffert den Gesamtschaden durch Diebstahl, Sabotage und Spionage für 2025 auf 289,2 Milliarden Euro.
- 87 Prozent der Unternehmen waren laut Bitkom im zurückliegenden Jahr betroffen oder vermuten dies.
- Das BKA weist für 2024 genau 131.391 Cybercrime-Fälle in Deutschland aus.
- Das BSI bleibt bei seiner Lageeinschätzung zurückhaltend und bewertet die Bedrohungslage weiterhin als angespannt.
Für die Praxis wichtiger als jede Einzelzahl ist die Richtung: Die Schäden steigen seit Jahren, während die Angriffsmuster professioneller und arbeitsteiliger werden. Einfache Phishing-Kampagnen, professionelle Ransomware-Operationen, Datenerpressung ohne Verschlüsselung, Lieferkettenkompromittierungen und politisch motivierte DDoS-Angriffe wirken heute parallel. Das bedeutet für Unternehmen, dass nicht nur die Wahrscheinlichkeit eines Vorfalls hoch ist, sondern auch die Zahl möglicher Einstiegspfade.
Die Entwicklung zeigt auch, warum ältere Vergleichswerte weiterhin relevant bleiben. Die oft zitierte Bitkom-Zahl von rund 206 Milliarden Euro bezog sich auf 2023. Zwei Jahre später liegt dieselbe Zeitreihe bei 289,2 Milliarden Euro für 2025. Wer 2026 noch mit alten Schadensannahmen plant, unterschätzt also die tatsächliche Exponierung.
Tabelle: Cyberangriffe auf deutsche Unternehmen 2024 bis 2026
Die folgende Übersicht trennt bewusst zwischen veröffentlichten Volljahreswerten und dem Stand 2026. Für 2026 liegt im März noch keine vollständige amtliche Jahresbilanz vor, wohl aber eine klare Lageeinschätzung.
| Jahr | Betroffene Unternehmen / Fälle | Schadenshöhe | Dominanter Angriffsvektor | Quelle |
|---|---|---|---|---|
| 2024 | 131.391 registrierte Cybercrime-Fälle im Inland | 266,6 Mrd. Euro in der Bitkom-Zeitreihe; zusätzlich 178,6 Mrd. Euro in der amtlichen Lagebewertung des BKA-Kontexts | Phishing, Ransomware, DDoS | BKA, Bitkom |
| 2025 | 87 % der Unternehmen betroffen oder mutmaßlich betroffen | 289,2 Mrd. Euro | Ransomware, Datendiebstahl, Spionage, Sabotage | Bitkom Wirtschaftsschutz 2025 |
| 2026* | Noch keine amtliche Volljahreszahl, aber unverändert hohe Bedrohungslage | Noch keine belastbare Volljahressumme veröffentlicht | Ransomware, Phishing, Lieferkettenangriffe, KI-gestützte Social-Engineering-Angriffe | BSI-Lagebild, CERT-EU, Bitkom |
* Stand: März 2026.
Die Tabelle zeigt zugleich ein methodisches Problem: Nicht jede Zahl misst dasselbe. Polizeiliche Fallzahlen, Unternehmensbefragungen und Schadensschätzungen ergänzen sich, sind aber nicht direkt deckungsgleich. Für Managemententscheidungen ist deshalb weniger die absolute Vergleichbarkeit entscheidend als der konsistente Trend: hohe Betroffenheit, steigende Schäden und anhaltender Professionalisierungsdruck.
Welche Bedrohungen deutsche Unternehmen 2025 und 2026 am stärksten treffen
Ransomware bleibt 2026 die wirtschaftlich gefährlichste Bedrohung. Zwar verweisen BKA und BSI auf einzelne Erfolge gegen Täterinfrastrukturen und rückläufige Lösegeldzahlungen, doch die operative Wirkung ist begrenzt: Produktionsausfälle, Wiederanlaufkosten, Forensik, Krisenkommunikation und Lieferverzug verursachen weiterhin die größten Einzelschäden. Besonders betroffen bleiben Industrie, Fertigung, Automotive-nahe Lieferketten und IT-Dienstleister.
Phishing bleibt zugleich der häufigste Einstiegspfad. In der Research-Lageanalyse wird Deutschland als eines der weltweit am stärksten betroffenen Länder beschrieben; 2024 wurden dort 37,5 Millionen Phishing-Versuche erfasst. Für Unternehmen ist wichtiger als die absolute Zahl die Erfolgslogik: Angreifer brauchen heute oft keinen technischen Zero-Day, wenn Zugangsdaten, Zahlungsfreigaben oder Session-Tokens über täuschend echte Kommunikation abgegriffen werden. Genau deshalb sind Beiträge wie Hinweisgeberschutz und Cybersecurity oder Security Awareness Training operativ relevanter, als viele Geschäftsleitungen annehmen.
Lieferkettenangriffe gewinnen, weil sie Skaleneffekte bieten. Wer einen Software-Dienstleister, Fernwartungszugang oder Integrator kompromittiert, erreicht oft mehrere nachgelagerte Unternehmen zugleich. Für Deutschland ist das besonders kritisch, weil viele mittelständische Zulieferer tief in industrielle Wertschöpfungsketten eingebunden sind. Ein Angriff auf einen kleineren Anbieter kann deshalb zu Produktionsausfällen, Datenabfluss oder Meldepflichten auf Kundenseite führen.
Neu ist 2026 vor allem der Beschleunigungseffekt durch KI. KI ersetzt professionelle Tätergruppen nicht, senkt aber die Einstiegshürde und erhöht Geschwindigkeit sowie Glaubwürdigkeit. Besonders sichtbar ist das bei Business-E-Mail-Compromise, Deepfake-Anrufen und personalisierten Phishing-Mails. Wenn 40 Prozent der BEC-Mails bereits Mitte 2024 KI-generiert waren, ist die operative Konsequenz klar: Unternehmen dürfen Awareness nicht mehr nur als Spam-Filter-Thema behandeln.
Warum der Mittelstand überproportional im Visier steht
KMU und mittelständische Unternehmen bleiben das bevorzugte Ziel, weil dort Aufwand und Ertrag für Täter oft in einem besonders günstigen Verhältnis stehen. Die Research-Synthese geht davon aus, dass rund 80 Prozent der Angriffe auf kleine und mittlere Unternehmen zielen. Diese Zahl ist als Marktbeobachtung zu lesen, nicht als amtliche Meldequote, passt aber zur Realität vieler deutscher Betriebe.
Der Grund ist nicht, dass Mittelständler unwichtig wären. Das Gegenteil ist der Fall. Viele von ihnen sitzen an kritischen Schnittstellen: als IT-Dienstleister, Maschinenbauer, Logistikpartner, Automotive-Zulieferer, Engineering-Spezialisten oder regionale Infrastrukturdienstleister. Wer einen Mittelständler kompromittiert, kann unmittelbaren Lösegelddruck mit Lieferkettenhebeln kombinieren.
Hinzu kommt die typische Ressourcenlage. Große Konzerne leisten sich Security Operations Center, Red Teams, externe Threat Intelligence und dedizierte CISO-Funktionen. Im Mittelstand liegen IT-Betrieb, Helpdesk, ERP, Berechtigungen und Notfallkoordination dagegen oft bei sehr kleinen Teams. Das erhöht nicht nur die technische Verwundbarkeit, sondern auch die Wahrscheinlichkeit organisatorischer Fehler bei Erkennung, Eskalation und Wiederanlauf.
Besonders gefährlich ist diese Kombination mit menschlichen Angriffsvektoren. Phishing, CEO-Fraud, manipulierte Lieferantenrechnungen, Session-Hijacking und kompromittierte Fernwartungszugänge funktionieren gerade dort gut, wo es keine zweite Prüfinstanz, keine klare Vier-Augen-Freigabe oder keine regelmäßige Übung gibt. Wer typische Managementfehler sehen will, findet eine passende Ergänzung in Organhaftung bei IT-Sicherheit und Geschäftsführer-Haftung bei Cyberangriffen.
Deutsche Fallbeispiele: Was reale Vorfälle sichtbar machen
Der Fall Südwestfalen-IT zeigt, wie massiv die Folgen eines Angriffs selbst ohne bundesweite Schlagzeilen sein können. Nach Angaben der SIT verschlüsselte eine Ransomware-Gruppe in der Nacht auf den 30. Oktober 2023 die Systeme des kommunalen IT-Dienstleisters mit Auswirkungen auf 72 Mitgliedskommunen. Ein Jahr später berichtete die Organisation von rund 170 eingebundenen Personen, mehr als 50 essenziellen externen Partnern und etwa 43.000 Arbeitsstunden allein zur Krisenbewältigung. Die Lehre daraus ist eindeutig: Schon ein einzelner Angriff erzeugt hohe externe Abhängigkeiten, lange Nachlaufzeiten und einen immensen organisatorischen Schaden.
Der Fall Continental steht für Datendiebstahl ohne vollständigen Betriebsstillstand. Continental erklärte nach dem im August 2022 entdeckten Angriff, dass Täter Teile der IT-Systeme infiltriert und mehrere Terabyte Daten exfiltriert hätten. Das Unternehmen betonte zugleich, den Forderungen nicht nachgegeben zu haben und den Betrieb unter Kontrolle zu halten. Genau dieses Beispiel ist für 2026 wichtig, weil es zeigt, dass der Schaden nicht erst mit verschlüsselten Servern beginnt. Exfiltration, Erpressung und Reputationsrisiko genügen längst.
Rheinmetall zeigt die betriebswirtschaftliche Wirkung eines Cyberangriffs auf industrielle Einheiten. In der Quartalsmitteilung vom 9. November 2023 verweist das Unternehmen ausdrücklich auf zusätzliche Kosten durch die Folgen des Cyberangriffs auf die IT-Systeme der Division im April 2023. Damit wird sichtbar, was in vielen Statistiken untergeht: Selbst wenn das Unternehmen funktionsfähig bleibt, drücken Incident-Folgekosten, Produktionsstörungen und Risikomanagementmaßnahmen direkt auf Ergebnis und Planung.
Diese drei Beispiele stehen für drei typische Schadensbilder in Deutschland: erstens kommunale und regionale Handlungsunfähigkeit, zweitens Datendiebstahl und Erpressung, drittens operative und finanzielle Folgekosten in industriellen Strukturen. Genau deshalb reicht es nicht, Cyberangriffe nur als IT-Thema einzuordnen.
Regulatorische Antwort: NIS2 verschärft, der AI Act ergänzt
NIS2 ist die direkte regulatorische Antwort auf die gewachsene Bedrohungslage. Die Richtlinie verlangt nicht nur technische Schutzmaßnahmen, sondern auch Governance, Meldeprozesse, Lieferkettenkontrolle und Managementverantwortung. In Deutschland betrifft das nach aktueller Einordnung rund 25.000 bis 29.500 Unternehmen. Für die Geschäftsleitung heißt das: Cybersecurity ist spätestens 2026 keine delegierbare Randfunktion mehr.
Der AI Act ist keine Cybersecurity-Richtlinie, spielt aber in der Gesamtantwort des Gesetzgebers trotzdem eine Rolle. Seit dem 2. Februar 2025 gilt nach Art. 4 die Pflicht, dass Personen mit KI-Systembezug über ausreichende KI-Kompetenz verfügen. Das ist für Cybersecurity deshalb relevant, weil Angriffe zunehmend KI-gestützt ablaufen und Unternehmen selbst KI in Support, Security Monitoring, Freigabeprozessen oder Risikoanalysen einsetzen. Wer solche Systeme nutzt, braucht nicht nur Technik, sondern auch geschulte Mitarbeitende mit sauberer Einschätzungsfähigkeit.
Die operative Schlussfolgerung lautet daher: NIS2 adressiert die Sicherheitsorganisation direkt, der AI Act ergänzt die Kompetenz- und Governance-Seite dort, wo KI in Prozesse und Entscheidungen hineinwirkt. Wer diesen Zusammenhang strukturiert aufbauen will, findet auf der Seite zur EU AI Act Schulung den passenden Einstieg für Management, Compliance und Fachbereiche.
Welche Schutzmaßnahmen 2026 wirklich Priorität haben
Die wichtigste Schutzmaßnahme 2026 ist nicht ein einzelnes Tool, sondern die Reduktion unnötiger Angriffsflächen. Das BSI betont genau diesen Punkt für die aktuelle Lage besonders deutlich. Exponierte Dienste, veraltete Fernzugänge, schlecht segmentierte Netze, überprivilegierte Konten und unkontrollierte Drittzugriffe sind nach wie vor die realen Beschleuniger schwerer Vorfälle.
Direkt danach folgen drei organisatorische Pflichtblöcke. Erstens ein belastbarer Incident-Response-Prozess mit klaren Meldewegen, Freigaben und externen Ansprechpartnern. Zweitens ein Lieferkettenmodell mit Mindestanforderungen an Dienstleister, Fernwartung und Drittsoftware. Drittens regelmäßige Schulungen, die nicht nur Basics vermitteln, sondern konkrete Rollen und typische Angriffsmuster trainieren.
Schulungen sind deshalb keine weiche Maßnahme, sondern die erste Verteidigungslinie gegen Phishing, BEC und Social Engineering. Wenn E-Mail, Chat, Telefon und Videocalls immer glaubwürdiger manipuliert werden können, sinkt der Wert technischer Filter allein. Gute Schulungen verkürzen Reaktionszeiten, erhöhen Meldequoten und reduzieren Fehler bei Zahlungsfreigaben, Dateizugriffen und Eskalation. Genau diese Logik beschreibt auch unser Beitrag zu Security Awareness Training.
Für mittelständische Unternehmen ist die Priorisierung meist einfacher, als sie klingt:
- Externe Angriffsflächen und privilegierte Zugänge bereinigen.
- MFA, Backup-Wiederanlauf und Notfallkommunikation belastbar machen.
- Lieferanten- und Fernwartungszugriffe neu bewerten.
- Mitarbeitende und Führungskräfte regelmäßig zu Phishing, Deepfakes und Meldewegen schulen.
- Geschäftsleitung, IT und Compliance in einer gemeinsamen Krisenlogik ausrichten.
Fazit: 2026 ist kein Jahr der Entwarnung
Cyberangriffe auf deutsche Unternehmen bleiben 2026 ein strukturelles Geschäftsrisiko mit hoher Eintrittswahrscheinlichkeit und wachsender Komplexität. Die Datenlage ist eindeutig: steigende Schäden, hohe Betroffenheit, professionelle Tätergruppen, ein besonders verletzlicher Mittelstand und neue Beschleuniger durch KI-gestützte Social-Engineering-Angriffe.
Wer daraus nur die Botschaft „mehr IT-Sicherheit“ ableitet, greift zu kurz. Entscheidend sind Managementpriorisierung, klare Zuständigkeiten, belastbare Incident-Prozesse, Lieferkettenkontrolle und regelmäßige Schulungen. Genau dort entscheidet sich, ob ein Vorfall teuer, aber beherrschbar bleibt oder in Haftung, Stillstand und Reputationsverlust eskaliert.
Wenn Sie Governance, Schulung und belastbare Verantwortlichkeiten 2026 parallel aufbauen möchten, ist unsere EU AI Act Schulung der passende Einstieg für Geschäftsleitung, Compliance, HR und Fachbereiche. Ergänzend helfen Krisenmanagement bei Cyberangriffen, Organhaftung bei IT-Sicherheit und Geschäftsführer-Haftung bei Cyberangriffen, damit Cyberresilienz nicht nur technisch, sondern organisatorisch belastbar wird.
Häufig gestellte Fragen zu Cyberangriffen auf deutsche Unternehmen 2026
Wie viele Cyberangriffe gibt es in Deutschland pro Jahr?
Für das Jahr 2024 weist das BKA 131.391 Cybercrime-Fälle im Inland aus. Die tatsächliche Zahl liegt wahrscheinlich höher, weil viele Vorfälle nicht erkannt, nicht angezeigt oder intern ohne Strafanzeige bearbeitet werden.
Was ist der häufigste Cyberangriff auf deutsche Firmen?
Phishing ist der häufigste Einstiegspfad, weil es Zugangsdaten, Zahlungsfreigaben und Malware-Verteilung zugleich adressiert. Wirtschaftlich am gravierendsten bleibt jedoch Ransomware, weil sie Stillstand, Erpressung, Datenabfluss und Wiederanlaufkosten kombiniert.
Wie hoch ist der durchschnittliche Schaden pro Cyberangriff?
Eine belastbare Durchschnittszahl für jeden Einzelfall gibt es nicht, weil kleine Phishing-Schäden und große Produktionsausfälle nicht sinnvoll zusammengefasst werden können. Als Gesamtbild ist aber relevant, dass Bitkom den volkswirtschaftlichen Schaden 2025 auf 289,2 Milliarden Euro schätzt.
Welche Branchen sind am meisten betroffen?
Besonders häufig betroffen sind Industrie und Fertigung, IT- und Cloud-nahe Dienstleister, Handel, Finanzdienstleister und kritische Infrastrukturen. In Deutschland ist vor allem die industrielle Lieferkette ein attraktives Ziel, weil sie operative Hebel und Datensensibilität vereint.
Wie hat sich die Bedrohungslage 2026 verändert?
Die Bedrohungslage hat sich 2026 nicht entspannt. Neu ist vor allem die Kombination aus anhaltend hoher Ransomware-Gefahr, professioneller Lieferkettenausnutzung und KI-gestützten Angriffsformen wie Deepfake-basierter Täuschung oder hochgradig personalisierten Phishing-Kampagnen.