Ressourcen › Mittelstand-Cybersicherheit 2026
Die ungleiche Mathematik 2026
Ein Mittelständler verteidigt sich mit einem Mitarbeiter. Der Gegner greift an mit einem Algorithmus.
Cyberangriffe werden 2026 nicht häufiger — sie werden anders. Erst dokumentiert: KI-entwickelte Zero-Day-Exploits. Autonome Malware. Eine Asymmetrie, die der typische deutsche Mittelstand mit Bordmitteln verteidigen soll. Acht Fragen, die jeder Geschäftsführer für sich beantworten sollte.
Realitäts-Check starten8 Fragen · sofortiges Ergebnis · keine Anmeldung
oder 15 Minuten am Telefon zur Einordnung
Pillar-Artikel · Aktualisiert im Mai 2026 · Lesezeit ca. 8 Min.
Über diesen Leitfaden
Dieser Leitfaden basiert auf den offiziellen Daten des Bitkom-Wirtschaftsschutzberichts 2025, des BSI-Lageberichts 2025, des Google Threat Intelligence Reports vom Mai 2026 sowie auf der praktischen Erfahrung der AEGYS DATALYTICS AG aus Cybersecurity-Einsätzen im deutschen Mittelstand.
Erstellt von Gerald Hahn, Mitgründer der AEGYS DATALYTICS AG. Technische Basis: eine etablierte Open-XDR-Plattform, integriert und betrieben von AEGYS DATALYTICS mit Auswertung in Deutschland.
Wichtiger Hinweis: AEGYS DATALYTICS verkauft weder Cyberversicherungen noch ersetzt der Inhalt eine juristische Beratung.
Der deutsche Mittelstand verteidigt sich mit den verfügbaren Mitteln
Drei Zahlen, die das Kräfteverhältnis zwischen Angreifern und 50-500 Mitarbeiter-Unternehmen 2026 beschreiben.
Laut Statistischem Bundesamt sind 99,3 Prozent aller deutschen Unternehmen kleine oder mittlere Unternehmen. Die meisten verfügen nicht über dediziertes IT-Sicherheitspersonal.
Laut Bitkom (Februar 2025) fehlen 149.000 IT-Fachkräfte. Eine offene IT-Stelle bleibt durchschnittlich 7,7 Monate vakant.
Laut Bitkom Wirtschaftsschutz 2025 hatten 34 Prozent der Unternehmen in den vergangenen zwölf Monaten einen Ransomware-Vorfall — fast dreimal so viele wie 2022 (12 Prozent).
Die Realität: Ein typisches mittelständisches Unternehmen betreut seine gesamte IT — Server, Backups, DSGVO, Endgeräte, Awareness — mit einer oder zwei Personen. Für dedizierte Cybersecurity bleibt strukturell keine Kapazität.
2026 ist anders: Angreifer skalieren mit KI
Im Mai 2026 dokumentierte Google Threat Intelligence (Mandiant) den ersten Cyberkriminellen-Angriff mit einem KI-entwickelten Zero-Day-Exploit. Das ist kein PR-Stunt. Das ist die neue Normalität.
Erster mit KI entwickelter Zero-Day-Exploit dokumentiert
Mai 2026: Die Google Threat Intelligence Group dokumentiert eine kriminelle Gruppe, die mit KI-Unterstützung einen Zero-Day-Exploit für eine 2FA-Schwachstelle in einem weit verbreiteten Open-Source-Admin-Tool entwickelt hat. Geplant war ein Masseneinsatz — durch proaktive Gegenmaßnahmen und eine Patch-Bereitstellung vor dem Angriff wurde er verhindert.
→ Google Threat Intelligence, Mai 2026Autonome Malware, die sich selbst durch Systeme navigiert
Sicherheitsforscher dokumentieren Schadsoftware, die generative KI nutzt, um sich ohne menschliche Steuerung durch Systeme zu navigieren und sich an neue Umgebungen anzupassen. Vergleichbare Konzepte werden für weitere Plattformen experimentell entwickelt.
→ Google Threat Intelligence, Mai 2026KI-augmentierte Aufklärung gegen einzelne Unternehmen
Angreifer nutzen LLMs zur automatischen Erstellung von Organigrammen, zur Identifikation spezifischer Hardware-Konfigurationen einzelner Mitarbeiter und zur Generierung maßgeschneiderter Phishing-Lures pro Person. Was früher Wochen dauerte, dauert heute Minuten.
→ Google Threat Intelligence, Mai 2026Schadenshöhe in Deutschland: 202,4 Mrd. EUR allein durch Cyberangriffe
Bitkom Wirtschaftsschutzstudie 2025: 87 % der deutschen Unternehmen sind betroffen. Der Cyberschaden beträgt 202,4 Mrd. EUR (Teil der 289 Mrd. EUR Gesamtschaden). Ransomware ist die häufigste Angriffsform — 34 % aller Unternehmen hatten in den letzten 12 Monaten einen Ransomware-Vorfall.
→ Bitkom Wirtschaftsschutzstudie 2025
Die Botschaft ist nicht: „Habt Angst." Die Botschaft ist: Die Angreifer-Seite skaliert mit KI. Wenn die Verteidiger-Seite nicht ebenfalls skaliert, wird die Asymmetrie strukturell.
Drei Optionen — und ihre Mathematik
Welche Antworten hat ein 50-500-Mitarbeiter-Unternehmen 2026, wenn die eigene IT-Abteilung strukturell überfordert ist und der Gegner KI einsetzt?
Eigene Security-Mannschaft aufbauen
Eigenes SOC-Team aufbauen — typisch 3–5 Personen für minimale 24/7-Abdeckung.
- ·7,7 Monate durchschnittliche Vakanz pro IT-Stelle
- ·Personalkosten für ein Mindest-Team im hohen sechsstelligen Bereich pro Jahr
- ·Mehrjähriges Onboarding bis zur Detection-Reife
- ·Tool-Beschaffung und -Integration zusätzlich
Bilanz: Für 99 % aller Mittelständler wirtschaftlich nicht darstellbar.
Klassisches IT-Outsourcing
IT-Dienstleister vor Ort betreibt die Infrastruktur. Reaktiver Modus: wenn etwas auffällt, wird reagiert.
- ·Keine spezialisierte Security-Detection
- ·Mean Time to Detect (MTTD) typisch Tage bis Wochen
- ·Cyberversicherer akzeptieren das selten als ausreichende Maßnahme
- ·Keine Korrelation zwischen Geräten und Verhaltensauffälligkeiten
Bilanz: Funktioniert für IT-Betrieb. Nicht für moderne Bedrohungsabwehr.
Detection-as-a-Service — die Sicht ohne eigenes SOC
Network Detection and Response als Plug-and-Play-Appliance. Sensor steht beim Kunden, Auswertung in Deutschland. Technische Basis: eine etablierte Open-XDR-Plattform.
- ·Sensor anschließen → kontinuierliche Sicht ab Tag 1
- ·KI-gestützte Korrelation von Netzwerk, Endgeräten und Cloud-Quellen
- ·Auffälligkeiten typisch in Stunden statt Wochen sichtbar
- ·Strukturierte Nachweise für Ihren Versicherungsantrag
- ·Asset-basiertes Pricing, transparent im Erstgespräch
- ·Auswertung in Deutschland
Bilanz: Für Mittelständler die realistische Antwort auf KI-gestützte Angreifer — ohne ein eigenes SOC aufbauen zu müssen.
Es geht nicht darum, dass AEGYS ein 5-Mann-SOC ersetzt. Es geht darum, dass ein 5-Mann-SOC für 99 % aller Mittelständler nicht realistisch ist — und dass es trotzdem eine professionelle Antwort braucht.
Unsere Aufgabe ist nicht, das beste SOC der Welt zu sein. Unsere Aufgabe ist, einem 150-Mitarbeiter-Unternehmen eine Detection-Fähigkeit zu geben, die der eines fünfstelligen Unternehmens entspricht — zu Konditionen, die im Mittelstand funktionieren.
— Achim Kraus, CTO und Mitgründer AEGYS DATALYTICS AG
Was AEGYS liefert
Zwei Produkte. Beide auf einer etablierten Open-XDR-Plattform. Beide mit deutscher Auswertung. Beide ohne Implementierungs-Projekt.
AEGYS Monitor
- Kontinuierliche Sicht auf den Netzwerkverkehr. Was Geräte in Ihrem Unternehmen tatsächlich kommunizieren — ohne Software-Installation, ohne Eingriff in bestehende Systeme.
- KI-gestützte Korrelation über Netzwerk, Endgeräte, Cloud und Identitäten — reduziert Fehlalarme, statt sie zu vervielfachen.
- Strukturierte Nachweise für Ihren Versicherungsantrag und den Schadensfall — jederzeit abrufbar.
- Plug-and-Play. Sensor anschließen, Erstauswertung mit der Geschäftsführung, klare Empfehlungen — keine Folien.
- Asset-basiertes Pricing — transparent im Erstgespräch.
AEGYS Pentest
- Bewiesene Angriffspfade. Autonomer Penetrationstest mit echten Angriffspfaden — ohne Skripte, ohne Disruption Ihres Tagesgeschäfts.
- Realitäts-Check. Sie sehen, was Angreifer in Ihrem Netzwerk wirklich erreichen könnten — nicht nur, was theoretisch möglich wäre.
- Priorisierte Empfehlungen. Konkrete Maßnahmen nach tatsächlichem Risiko sortiert — kein Bericht, der unbearbeitet im Regal liegt.
- Pricing. Einmalig zur Erstaufnahme oder als laufende Subscription. Auf Anfrage.
Beide Produkte laufen auf einer etablierten, offenen Sicherheitsplattform — integriert und in Deutschland betrieben von AEGYS DATALYTICS.
Wer hinter AEGYS DATALYTICS steht
Anwalt, Partner Falch & Partner München. Spezialist für IT-rechtliche Fragen im Steuerberater- und Mittelstandskontext.
Cybersecurity-Experte. Ehemals Forschungsdirektor Acronis und Symantec. Spricht auf führenden Cybersecurity-Konferenzen weltweit.
Ehemals NATO Communications and Information Agency. Bringt Erfahrung aus Verteidigungs- und kritischer-Infrastruktur-Sicherheit.
KIT Karlsruhe, FZI Forschungszentrum Informatik. Industrie-4.0- und IT-Sicherheits-Forschung.
Mittelstandsunternehmer. Bringt Geschäftsperspektive aus der deutschen industriellen KMU-Welt.
Über zwei Jahrzehnte Erfahrung in der Cybersecurity-Branche. Vor AEGYS Country Manager DACH bei Gatewatcher.
Technische Leitung der AEGYS-Plattform und der XDR-Integration.
Der Mittelstands-Realitäts-Check 2026
8 Fragen, die jeder Geschäftsführer beantworten können sollte — bevor das nächste Budget verteilt oder die nächste Cyberversicherung verlängert wird. Jetzt direkt hier beantworten — 8 Fragen, sofortiges Ergebnis, keine Anmeldung.
8 Fragen · sofortiges Ergebnis · keine Anmeldung
Sie wissen jetzt, wo die Lücken sein könnten. Was tun Sie damit?
In einem 15-minütigen Gespräch ordnen wir Ihr Ergebnis gemeinsam ein und klären, ob eine genauere Analyse für Ihre Situation überhaupt sinnvoll ist. Wenn es nicht passt, sagen wir das.
15-Min-Erstgespräch vereinbarenHäufige Fragen
Vertiefen Sie das Thema
DATEV-IT-Sicherheit für Steuerkanzleien
Was DATEV absichert — und was nicht. Die typischen Lücken in Kanzlei-IT.
Artikel lesen§203 StGB für Steuerberater
Was die Verschwiegenheitspflicht im digitalen Kontext bedeutet.
Artikel lesenCyberversicherung für Kanzleien 2026
Was Versicherer 2026 verlangen und worauf es im Schadensfall ankommt.
Artikel lesenQuellen und weiterführende Informationen
- Bitkom e.V.: „Wirtschaftsschutzstudie 2025" — Studie zu Cyberangriffen gegen deutsche Unternehmen, 87 % Betroffenheit, 289,2 Mrd. EUR Gesamtschaden. bitkom.org
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „Die Lage der IT-Sicherheit in Deutschland 2025" — Offizieller Lagebericht. bsi.bund.de
- Bundesamt für Verfassungsschutz: Vorstellung der Bitkom-Studie „Wirtschaftsschutz 2025". verfassungsschutz.de
- Google Threat Intelligence Group: „GTIG AI Threat Tracker May 2026" — Dokumentation des ersten KI-generierten Zero-Day-Exploits und autonomer Malware. cloud.google.com
- Bitkom e.V.: „Rekord-Fachkräftemangel: In Deutschland sind 149.000 IT-Jobs unbesetzt". bitkom-akademie.de
- Statistisches Bundesamt: Übersicht zu kleinen und mittleren Unternehmen in Deutschland. destatis.de
- Check Point Research: Cyber-Attack-Trends und Branchen-Statistiken. research.checkpoint.com
