Der heute auf der Cyber Security Conference (CSC) veröffentlichte „Cyber Security Report 2026“ von Schwarz Digits offenbart ein alarmierendes Bild der deutschen Wirtschaft. Trotz geschätzter Wirtschaftsschäden von über 202 Milliarden Euro jährlich durch Cyberangriffe zeigt die repräsentative Erhebung unter 1.001 deutschen Unternehmen eine tiefe Diskrepanz zwischen wahrgenommener Vorbereitung und struktureller Resilienz. Zwar stiegen Cybersicherheitsbudgets auf 17 % des IT-Budgets. Sie blieben jedoch reaktiv und regulatorisch getrieben. Fast jedes zweite Unternehmen unterschätzt seine regulatorische Betroffenheit unter NIS-2 massiv. Der Report belegt: Während Angreifer sich mithilfe von KI professionalisieren, geben sich viele Unternehmen einer gefährlichen Sicherheits-Illusion hin.

NIS-2-Wissenslücke und staatliche Resilienz

Der Report deckt ein kritisches Informationsdefizit auf: Womöglich 48 % der befragten Unternehmen gehen fälschlicherweise davon aus, nicht von der NIS-2-Richtlinie betroffen zu sein. Besonders gefährlich ist die Lage für umsatzstarke Kleinunternehmen: Obwohl sie mit 10 bis 49 Mitarbeitern eine geringe Personalstärke aufweisen, überschreiten sie die Umsatzgrenze von 10 Millionen Euro und werden damit regulierungspflichtig. In diesem Segment wiegen sich bis zu 92 % in trügerischer Sicherheit und schließen eine Betroffenheit fälschlicherweise aus.

„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung”, sagt Christian Müller, Co-CEO von Schwarz Digits. “Wer NIS-2 als bürokratische Last missversteht, riskiert nicht nur schmerzhafte Sanktionen, sondern die operative Substanz seines Unternehmens.“ Zudem wächst die Kritik an der öffentlichen Hand: 62 % der Unternehmen fühlen sich bei der NIS-2-Einführung von den Behörden unzureichend unterstützt. Auch die generelle digitale Handlungsfähigkeit des Staates wird abgestraft: Lediglich 21 % der Firmen fühlen sich durch politische und verwaltungstechnische Maßnahmen ausreichend geschützt.

Besonders kritisch wird die Basis bewertet: Nur 7 % attestieren den Ländern eine gute Aufstellung gegen Cyberangriffen – damit schneiden diese noch schlechter ab als die Kommunen (12 %) und der Bund (15 %). Angesichts dieser Lage befürworten 79 % der Befragten staatliche Hackbacks und über die Hälfte wünschen sich derartige Befugnisse für private Akteure – ein deutliches Zeichen für die wachsende Frustration über bislang rein defensive Strategien.

KI als doppelschneidiges Schwert

Künstliche Intelligenz prägt die derzeitige und künftige Gefahrenlage 2026 durch eine massive Beschleunigung und Skalierung bestehender Bedrohungen. Dennoch stuft mit 54% mehr als die Hälfte der Unternehmen das Cyberrisiko durch die Nutzung von KI als nicht oder überhaupt nicht vorhanden ein. Während bei großen Unternehmen (73%) klare Regeln zum KI-Einsatz vorhanden sind, haben mindestens 23% bei KMU Nachholbedarf. „In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen“, warnt Dr. Alexander Schellong, Managing Director Institutes, Accelerators & Cybersecurity bei Schwarz Digits. “Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte ‚kinetische Prompt-Hack‘. Wir müssen dringend die Lücke zwischen der eingebildeten Sicherheit und der tatsächlichen Angreifbarkeit schließen.“

Bei der digitalen Souveränität klaffen Anspruch und Wirklichkeit weit auseinander: Während die strategische Relevanz erkannt wird, mangelt es massiv an der operativen Umsetzung. Lediglich 19 % der Unternehmen verfügen über eine Strategie für digitale Souveränität, wobei regulierte Industrien wie die Finanz- und Versicherungswirtschaft hier die Vorreiterrolle einnehmen. Zwar wären 42 % der befragten Unternehmen bereit, für souveräne Lösungen tiefer in die Tasche zu greifen und die Hälfte sieht auch im Aufbau von europäischen Datenräumen einen entscheidenden Schritt zur digitalen Souveränität – doch die Realität hinkt dem Anspruch hinterher: Nur 13 % investieren gezielt in dedizierte Ressourcen, um technologische Abhängigkeiten aktiv zu reduzieren. Der Report untermauert diese Datenlage mittels des neu entwickelten Software Sovereignty Frameworks (EU SSF). Das Modell bescheinigt EU-basierten Open-Source-Lösungen eine deutlich höhere Souveränität als proprietären Plattformen aus Nicht-EU-Staaten. „Digitale Souveränität ist zur strategischen Notwendigkeit gereift”, betont Rolf Schumann, Co-CEO von Schwarz Digits. “Wer sich in einseitige Abhängigkeiten außereuropäischer Plattformen begibt, verliert langfristig die Kontrolle über seine Daten und seine Handlungsfähigkeit“.

Risikofaktor Lieferkette: Das offene Scheunentor

Die enge Vernetzung der Wirtschaft wird zur zentralen Schwachstelle: Obwohl bereits jedes zweite Unternehmen Angriffe auf seine Zulieferer registriert hat, verzichten 75 % weiterhin auf regelmäßige Audits ihrer Partner. Diese mangelnde Kontrolle ist riskant, da lediglich ein Drittel der Organisationen ihre tatsächlichen Abhängigkeiten innerhalb der Lieferkette vollständig überblickt. Besonders verheerend sind Angriffe über IT-Dienstleister (Managed Service Provider) oder kompromittierte Software-Updates. Solche Vorfälle zählen zu den schadenträchtigsten Bedrohungen: Im Ernstfall dauert es oft bis zu 30 Tage, bis der Betrieb vollständig wiederhergestellt ist. Den gesamten Cyber Security Report 2026 finden Sie zum Download hier.