IT-Sicherheit 2026: Warum der Mittelstand gefährlicher lebt, als er glaubt

Ransomware und Lieferkettenangriffe: Warum der Mittelstand im Fadenkreuz steht

Ransomware ist kein Ausnahmefall mehr, sondern Alltag im digitalen Deutschland. Besonders kleine und mittlere Unternehmen sowie ihre Dienstleister – von IT bis ERP, Logistik oder Videoüberwachung – geraten ins Visier. Dieser Artikel zeigt, warum das so ist, welche Einfallstore besonders gefährlich sind und welche konkreten Zahlen hinter dieser Bedrohung stecken.

1. 🕵️‍♂️Der neue Normalzustand: Digitale Erpressung im Mittelstand

Ransomware- und Lieferkettenangriffe haben sich von spektakulären Einzelfällen zu einem konstanten Grundrauschen entwickelt. Praktisch jedes Umfeld ist betroffen: Maschinenbau, Handel, Logistik, Gesundheitswesen, öffentliche Verwaltung.

Große Konzerne verfügen über eigene Security-Teams, definierte Prozesse und Budgets. Viele KMU stehen dagegen mit einer kleinen internen IT, ein paar externen Dienstleistern und historisch gewachsenen Systemen da.

Zahlen sprechen eine klare Sprache: Laut Bundeskriminalamt wurden allein 2024 in Deutschland 950 Ransomware-Angriffe polizeilich angezeigt – die Dunkelziffer liegt deutlich höher [1]. Nahezu jedes zweite Unternehmen weltweit war bereits direkt betroffen; bei KMU steigen Studien zufolge die Betroffenheitsquoten auf über 70 % [7].

Genau diese Kombination macht den Mittelstand so attraktiv: Die Daten sind geschäftskritisch, die Zahlungsbereitschaft im Notfall hoch – aber die Verteidigung ist oft nur „best effort". Dienstleister werden dabei zur Drehscheibe: Wer sie kompromittiert, bekommt mit einem Schlag Zugang zu vielen Kundensystemen.

2. 🎯Warum ausgerechnet KMU und Dienstleister?

Kleine und mittlere Unternehmen sind ideale Ziele:

• Hohe Abhängigkeit von IT (ERP, Produktion, Lager, Kasse, Buchhaltung)
• Security ist oft nur „mitgedacht", nicht professionell organisiert
• Sicherheitsinvestitionen konkurrieren direkt mit produktiven Projekten
• Täglich werden im Schnitt 119 neue Schwachstellen erfasst – viele Systeme bleiben zu lange ungepatcht [2]

IT-Dienstleister geraten zusätzlich ins Fadenkreuz, weil sie:

• zentrale Admin- oder Servicezugänge zu vielen Kundenumgebungen besitzen
• Remote-Tools nutzen, um auf viele Systeme parallel zuzugreifen
• in vielen KMU praktisch die einzige Security-Kompetenz bündeln

Aus Sicht der Angreifer ist das ein Hebel: Ein kompromittierter Dienstleister bietet Einfallstore in zahlreiche Kundennetze – mit einem einzigen Angriffsaufwand.

3. 🧯Typische Einstiegstore – wie Angreifer wirklich reinkommen

Offene Schwachstellen und ungepatchte Systeme

VPN-Gateways, Firewalls, Remote-Management-Lösungen und Webanwendungen bleiben mit bekannten Lücken lange online. Patches sind verfügbar, werden aber verspätet oder gar nicht eingespielt. So reichen automatisierte Scans und bekannte Exploits, um Fuß zu fassen.

Schwache oder wiederverwendete Zugangsdaten

Einfache Passwörter, mehrfach genutzte Logins, fehlende Multi-Faktor-Authentifizierung – all das macht es leicht, gestohlene Zugangsdaten auszunutzen. Zugangsdaten kursieren über Phishing, Leaks und Untergrundmärkte.

Phishing und Social Engineering

Gut gemachte Phishing-Mails zielen besonders auf Admin- und Buchhaltungszugänge. Wird ein privilegiertes Konto erbeutet, stehen Türen weit offen. Das BSI betont: Der „Faktor Mensch" bleibt die häufigste Schwachstelle – Social Engineering ist günstiger als jeder Exploit [2].

⚠ Stillstandsrisiko: unterschätzt und teuer Nur 24 % der betroffenen Unternehmen schafften es, den Betrieb innerhalb einer Woche wiederherzustellen [3]. Rund ein Drittel kämpfte deutlich länger. Im Fertigungsbereich beträgt die durchschnittliche Stillstandszeit pro Angriff 13 Tage [8]. Bei KMU zeigen Studien: 73 % bleiben nach einem Angriff mehr als eine Woche eingeschränkt oder offline [6]. Tagesverluste im fünf- bis sechsstelligen Bereich sind dokumentiert.

4. ⚠️Faktor Mensch: Das größte Einfallstor sitzt vor dem Bildschirm

Technik allein schützt nicht. Der mit Abstand häufigste Weg in ein Unternehmensnetz führt nicht über ausgeklügelte Zero-Day-Exploits, sondern über einen einzigen unachtsamen Klick eines Mitarbeiters.

⚠ Der Mensch als Hauptrisikofaktor – in Zahlen Laut Verizon Data Breach Investigations Report 2024 sind 68 % aller bestätigten Sicherheitsvorfälle auf den menschlichen Faktor zurückzuführen – durch Phishing, Social Engineering oder schlichte Fehler [14]. In Deutschland wurden 2024 rund 37,5 Millionen Phishing-Angriffe registriert, ein Anstieg von 16 % gegenüber dem Vorjahr [15]. 26 % der deutschen Unternehmen erlitten in den letzten 12 Monaten konkrete Schäden durch Phishing [2]. Der durchschnittliche Schaden pro erfolgreichem Phishing-Angriff liegt laut HDI-Studie bei 95.000 Euro, bei einzelnen KMU teils deutlich darüber [16].

Wie Phishing-Angriffe funktionieren und warum sie so gefährlich sind:

• Gefälschte E-Mails imitieren heute täuschend echt interne Systeme, Microsoft 365, Banken oder Paketdienste – KI-gestützte Tools machen Rechtschreibfehler und schlechtes Deutsch zur Ausnahme
• Nutzer klicken auf schadhafte Links oft innerhalb von 60 Sekunden nach Erhalt der Mail, bevor technische Filter überhaupt reagieren können (Verizon DBIR 2024) [14]
• Führungskräfte (CEOs, GFs, VPs) sind bis zu viermal häufiger Ziel gezielter Phishing-Angriffe als Durchschnittsmitarbeiter – sie haben Budgetfreigaben, Überweisungsrechte und Systemzugänge (Ivanti-Studie 2023) [17]
• Über 40 % der erfolgreichen Social-Engineering-Angriffe sind sogenannte Business Email Compromise (BEC) / CEO-Fraud-Attacken: keine Links, keine Anhänge – nur eine gefälschte interne E-Mail, die zur Überweisung oder Zugabegabe auffordert (Verizon DBIR 2024) [14]

Warum das bei KMU besonders gefährlich ist:

In kleinen und mittleren Unternehmen fehlen oft dedizierte Security-Awareness-Programme. Ein einziger kompromittierter Admin-Account reicht aus, um Ransomware im gesamten Netz auszurollen. Besonders kritisch: Mitarbeiter öffnen geschäftliche E-Mails auch auf privaten Geräten, nutzen dieselben Passwörter für mehrere Dienste und sind selten in simulierten Phishing-Tests geschult worden.

Nur 20 % der Nutzer erkennen und melden Phishing-Mails in Simulationsübungen – 11 % derjenigen, die auf einen schädlichen Link geklickt haben, melden den Vorfall überhaupt (Verizon DBIR 2024) [14]. Der Rest schweigt – aus Scham, Unwissenheit oder weil niemand gefragt hat.

Die Konsequenz: Technische Maßnahmen allein reichen nicht. Wer Ransomware und Lieferkettenangriffe ernsthaft abwehren will, muss den Mitarbeiter als Teil der Sicherheitsarchitektur begreifen – und ihn entsprechend schulen, sensibilisieren und mit klaren Prozessen ausstatten.

5. 🧨Das übersehene Risiko: Fach-Dienstleister mit Fernzugang

Ein oft unterschätzter Risikofaktor sind Dienstleister, die gar nicht primär als IT-Firmen wahrgenommen werden, aber tief im Netz sitzen:

• ERP- und Warenwirtschaftsbetreuer
• Dienstleister für Lagerlogistik und WMS
• Errichter und Betreiber von Videoüberwachungs- und Zutrittsanlagen
• Anbieter für Gebäudeautomation und HLK-Steuerung
• Maschinen- und Anlagenbauer mit Remote-Service-Zugängen
• TK/UCC- und Kassen-/POS-Dienstleister

Sie alle haben eines gemeinsam: Remote-Zugänge oder Adminrechte in hochkritischen Systemen – häufig außerhalb des direkten Blickfelds der internen IT.

Konkrete Schwachstellen in der Praxis:

• Alte, undokumentierte Zugänge: VPN-Profile und Wartungsaccounts, die vor Jahren eingerichtet wurden und nie verschwanden, obwohl Projekte oder Verträge längst beendet sind
• Gemeinschafts-Accounts und statische Passwörter: Service-Accounts wie „erpadmin", „support" oder „service", deren Kennwörter seit Jahren unverändert bei mehreren Personen und Firmen bekannt sind
• Fehlende Segmentierung: Fernzugänge landen direkt in Produktions-, ERP- oder Kameranetzwerken ohne sauber getrennte Zonen oder Jump-Systeme
• Dauerhaft aktive Fernwartungssoftware: Remote-Tools, die ständig laufen und im Hintergrund dauerhaft Verbindungen ermöglichen – unabhängig davon, ob Wartung ansteht

⚠ Normen und BSI-Grundschutz warnen explizit Der BSI-Grundschutz-Baustein OPS.1.2.5 „Fernwartung" warnt ausdrücklich vor fehlender Dokumentation, unklaren Zuständigkeiten und unkontrollierter Weitergabe von Zugangsdaten an Subdienstleister [9]. Die DIN EN 50710 definiert inzwischen Mindestanforderungen für sichere IP-Fernservices an Sicherheitsanlagen – in der Praxis sind viele mittelständische Umgebungen davon noch weit entfernt [10, 12].

Besonders kritisch: Zugangsdaten wandern oft durch mehrere Hände. Der Hersteller gibt sie an einen Partner, der an einen Subdienstleister, der an einen Freelancer. Am Ende weiß niemand mehr genau, wer wann wo hineinkommt. Die Zahl der unbekannten „Subsub"-Verbindungen ist riesig – und damit auch die potenzielle Angriffsfläche.

6. ⚠️Lieferkettenangriffe – wenn der Dienstleister zum Einfallstor wird

Neben dem direkten Angriff auf ein Unternehmen nutzen Kriminelle verstärkt den Weg über die Lieferkette:

1. Ein Dienstleister oder Hersteller betreibt Wartungszugänge oder zentrale Managementsysteme
2. Ein Angreifer kompromittiert diesen Dienstleister oder nutzt eine Schwachstelle in dessen Infrastruktur
3. Über legitime Kanäle – Updates, Fernwartung, Skripte, Policies – wird Schadcode in viele Kundennetze getragen

⚠ Zahlen zur Lieferkettengefährdung Knapp ein Fünftel (18 %) der gemeldeten Ransomware-Fälle in Deutschland geht auf einen Angriff über einen Partner in der Lieferkette zurück – weitere 12 % sind sich nicht sicher [6]. 43 % der befragten deutschen Lieferketten berichten bereits von kompromittierten Partnern, und 90 % der Unternehmen äußern explizit Sorge vor Angriffen über Drittanbieter [4]. 75 % der IT-Führungskräfte sehen ihre Partner als Risiko-Multiplikator [5].

Für betroffene Unternehmen sieht es zunächst nach einem „internen Problem" aus: Das vertraute ERP-Update, der gewohnte Videodienstleister oder der Maschinenhersteller ist das trojanische Pferd. Viele KMU haben diese Kette nicht vollständig im Blick – weder vertraglich noch technisch.

7. 📉Die Folgen: Stillstand, Mehrarbeit, Vertrauensverlust

Trifft eine solche Kombination aus Ransomware und Lieferkettenangriff ein mittelständisches Unternehmen, entsteht schnell eine Kettenreaktion:

• Produktionsanlagen stehen, Liefertermine platzen
• ERP, Lagerverwaltung und Kassen fallen aus – weder einkaufen noch verkaufen ist vernünftig möglich
• Die Buchhaltung ist blockiert, Rechnungen können weder gestellt noch bezahlt werden
• Kommunikation verlagert sich hektisch auf private Kanäle und Messenger

Der technische Schaden – verschlüsselte Daten – ist nur ein Teil des Problems. Viel gravierender ist der Verlust von Handlungsfähigkeit und Vertrauen: gegenüber Kunden, Lieferanten, Mitarbeitern und Aufsichtsbehörden. Jede Stunde Stillstand ist teuer, jede unklare Kommunikation kostet zusätzlich Vertrauen.

8. 🌪️Wahrnehmungslücke: Gefühlte vs. tatsächliche Sicherheit

In vielen Gesprächen entsteht dasselbe Bild: „Wir haben doch eine Firewall, Antivirus und Backups, bei uns ist das Risiko überschaubar." Auf den ersten Blick klingt das gut – auf den zweiten fehlen häufig die entscheidenden Elemente:

• Patch-Management folgt „wenn Zeit ist", nicht einem verbindlichen Prozess
• Dienstleisterzugänge sind über Jahre gewachsen und nie systematisch bereinigt worden
• Fernwartung und Subdienstleister werden nicht als Sicherheitsrisiko geführt, sondern als reine Servicefrage
• Backups existieren, aber Wiederherstellung wurde nie realistisch getestet
• Es gibt keinen klaren Notfallplan: wer entscheidet was, wem wird was gesagt, wie wird priorisiert

⚠ Selbstüberschätzung als systematisches Risiko 91 % der deutschen Unternehmen halten sich für gut geschützt – erfüllen im Schnitt aber nur gut die Hälfte der Basisanforderungen [4]. Angreifer setzen nicht auf Spezialtricks, sondern auf genau diese Lücke in Alltagsroutinen.

9. ⚠️Dienstleister: Brandbeschleuniger oder Schutzschild?

Dienstleister – egal ob klassischer IT-Partner, ERP-Betreuer oder Anlagenbauer – können zwei Rollen einnehmen.

Brandbeschleuniger, wenn sie:

• selbst unzureichend gehärtet sind
• Zugänge über Jahre unverändert durch viele Hände gehen lassen
• Kundennetze ohne Segmentierung und Minimalprinzip verwalten
• Security als „mitgemacht" und nicht als Kernaufgabe verstehen

Schutzschild, wenn sie:

• eigene Systeme und Tools wie hochkritische Assets behandeln
• Fernzugänge konsequent dokumentieren, härten und mit Mehrfaktor absichern
• Altlasten systematisch abbauen (alte Zugänge, Accounts, VPNs)
• Patching, Monitoring und Notfallplanung aktiv mit Kunden gestalten
• Subdienstleister klar regeln – technisch, organisatorisch und vertraglich

Für viele KMU ist der Dienstleister der Hebel, um zwischen „wir hoffen, dass nichts passiert" und „wir können mit einem Vorfall umgehen" zu wechseln.

10. 📝Was Unternehmen jetzt konkret tun sollten

1. Angriffspfade überprüfen: Wo existieren VPNs, Fernwartungszugänge, Remote-Tools, Cloud-Anbindungen? Wer hat welche Rechte – und sind diese noch aktuell?
2. Altlasten beseitigen: Alte Dienstleisterzugänge, universelle Service-Accounts und nicht mehr benötigte Schnittstellen identifizieren und abschalten.
3. Sicherheits-Basics durchsetzen: Patch-Management, Multi-Faktor-Authentifizierung, Netzsegmentierung, Backup-Strategien und regelmäßige Wiederherstellungstests.
4. Dienstleisterkette transparent machen: Welche Dienstleister und Subdienstleister greifen auf welche Systeme zu? Welche Sicherheitsanforderungen gelten für sie?
5. Notfallfähigkeit herstellen: Zuständigkeiten, Kommunikationswege und Entscheidungen für den Ernstfall klären – bevor es ernst wird.

🧭Fazit

Ransomware und Lieferkettenangriffe sind längst ein strukturelles Risiko für den Mittelstand. Betroffen sind nicht nur „die IT", sondern alle Geschäftsbereiche. Die eigentliche Frage lautet nicht, ob jemand ein attraktives Ziel ist, sondern wie professionell mit dieser Realität umgegangen wird.

Dienstleister spielen dabei eine zentrale Rolle: Sie können der schwächste Punkt in der Kette oder der wichtigste Schutzfaktor sein. Wer seine Zugänge, Prozesse und Verantwortung ernst nimmt, reduziert das Risiko eines langen, teuren Stillstands drastisch – und gewinnt damit etwas, das im Angriffsfall unbezahlbar ist: Handlungsfähigkeit.

Quellen

1. BKA – Bundeskriminalamt: Cybercrime Bundeslagebild 2024. Wiesbaden: BKA, 2024.
2. BSI – Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2025. Bonn: BSI, 2025.
3. Sophos Ltd.: The State of Ransomware 2024. Abingdon, UK: Sophos, 2024.
4. Bitkom e. V.: Wirtschaftsschutz 2024 – Angriffsziel deutsche Wirtschaft. Berlin: Bitkom, 2024.
5. TÜV-Verband e.V.: Cybersecurity-Studie 2024 – Cybervorfälle in deutschen Unternehmen. Berlin: TÜV-Verband, 2024.
6. Veeam Software: 2024 Ransomware Trends Report – EMEA Supplement. Columbus, OH: Veeam, 2024.
7. Cybereason / Censuswide: Ransomware: The True Cost to Business 2024. Boston, MA: Cybereason, 2024.
8. Dragos Inc.: OT/ICS Cybersecurity Year in Review 2024. Hanover, MD: Dragos, 2024.
9. BSI: IT-Grundschutz-Kompendium, Baustein OPS.1.2.5 Fernwartung. Bonn: BSI, 2024.
10. BHE Bundesverband Sicherheitstechnik e.V.: Informationsblatt IP-Fernservice und sichere Fernwartung. Berlin: BHE, 2023.
11. DIN EN 50710:2022-06 – Anforderungen an IP-basierte Fernservices für Sicherheits- und Gefahrenmeldeanlagen.
12. ZVEI: Leitfaden Fernwartung und IT-Sicherheit in der Sicherheitstechnik. Frankfurt: ZVEI, 2023.
13. BSI: Verbraucher-Newsletter „Einfach – Cybersicher", Ausgaben 2025/2026. https://www.bsi.bund.de
14. Verizon: Data Breach Investigations Report (DBIR) 2024. Basking Ridge, NJ: Verizon Business, 2024.
15. Kaspersky: Spam and Phishing in 2024 – Deutschland-Auswertung. Ingolstadt: Kaspersky, 2025.
16. HDI Versicherung: Cyber-Risiken im Mittelstand 2024. Hannover: HDI, 2024.
17. Ivanti: Everywhere Work Report 2023 – Phishing-Risiko bei Führungskräften. Salt Lake City: Ivanti, 2023.

Gerd Kopp | gerd@gerds-it.de | Februar 2026