BSI-Lage 2026: Warum der Mittelstand das Hauptziel ist

Eine Warnung, die mehr verrät, als sie sagt

Anfang Juni warnten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz gemeinsam vor einer ungewöhnlichen Zielscheibe: schlecht geschützte Photovoltaik-Anlagen, die von staatsnahen Angreifern systematisch ausgespäht werden. Was zunächst nach einem Spezialthema klingt, ist in Wahrheit ein Lehrstück — denn betroffen sind nicht Konzerne mit eigener Sicherheitsabteilung, sondern ganz normale Betriebe, die eine Solaranlage ans Netz gehängt haben.

Genau das ist das Muster hinter der aktuellen Bedrohungslage: Angegriffen wird nicht, wo am meisten zu holen ist, sondern wo es am leichtesten geht. Und das ist häufiger der Mittelstand, als vielen lieb ist.

Der Mittelstand ist nicht „zu klein für Angreifer"

Das hartnäckigste Missverständnis in kleinen Unternehmen lautet: „Bei uns gibt es nichts zu holen." Die Zahlen des BSI sagen das Gegenteil. Im aktuellen Lagebericht (Berichtszeitraum Juli 2024 bis Juni 2025) richteten sich rund 80 Prozent der angezeigten Angriffe gegen kleine und mittlere Unternehmen.

Dazu kommt das Tempo: Das BSI registrierte im Schnitt 119 neue Schwachstellen pro Tag — ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Bei Ransomware, der Erpressung mit verschlüsselten Daten, zählte die Behörde 950 Meldungen; in 72 Prozent der Fälle wurden zusätzlich Daten gestohlen. Den jährlichen Gesamtschaden für die deutsche Wirtschaft durch Datendiebstahl, Spionage und Sabotage beziffert der Digitalverband Bitkom auf rund 289 Milliarden Euro.

Diese Angriffe sind selten persönlich gemeint. Sie laufen automatisiert: Schadprogramme durchsuchen das Internet rund um die Uhr nach verwundbaren Systemen — einer offenen Fernwartung, einem nicht aktualisierten Server, einem schwachen Passwort. Wer gefunden wird, wird angegriffen. Die Unternehmensgröße spielt dabei keine Rolle.

Warum gerade kleine Unternehmen getroffen werden

Drei Gründe machen den Mittelstand zum bevorzugten Ziel:

• Schutz mit Lücken: Anders als Großkonzerne haben kleine Betriebe selten eine eigene IT-Sicherheitsabteilung. Updates verzögern sich, Zuständigkeiten sind unklar — und genau diese Lücken finden automatisierte Angriffe.
• Wertvolle Daten, unterschätzt: Kundendaten, Angebote, Bankzugänge, Lieferantenkontakte — all das ist für Erpresser bares Geld wert, auch im kleinsten Betrieb.
• Das Tor zu anderen: Wer einen kleinen Dienstleister kapert, kommt manchmal an dessen größere Kunden heran. Über die Lieferkette wird der Handwerksbetrieb zum Einfallstor für den Konzern.

Dass viele Unternehmen das Risiko verdrängen, zeigt eine andere Zahl: Von rund 29.500 Betrieben, die unter die neue EU-Sicherheitsrichtlinie NIS-2 fallen, hatten sich bis zur Frist Anfang März 2026 nur etwa 11.500 registriert. Mehr als die Hälfte der Betroffenen hat den Handlungsbedarf also noch nicht einmal anerkannt.

Was wirklich schützt

Die gute Nachricht: Die meisten erfolgreichen Angriffe nutzen keine ausgefeilten Methoden, sondern bekannte, vermeidbare Schwächen. Fünf Maßnahmen verhindern den Großteil der Schäden — keine davon erfordert ein großes Budget:

• Updates konsequent einspielen: Die meisten Angriffe nutzen Lücken, für die längst ein Update bereitsteht. Wer zeitnah aktualisiert, schließt das häufigste Einfallstor.
• Mehr-Faktor-Anmeldung aktivieren: Ein gestohlenes Passwort allein nützt Angreifern nichts mehr, wenn zusätzlich eine Bestätigung per App oder Gerät nötig ist. Diese eine Maßnahme stoppt einen Großteil der Kontoübernahmen.
• Backups, die auch funktionieren: Sichern Sie wichtige Daten regelmäßig und getrennt vom Hauptsystem — und testen Sie die Wiederherstellung. Ein Backup, das im Ernstfall nicht zurückspielbar ist, ist kein Backup.
• Mitarbeitende sensibilisieren: Die meisten Angriffe beginnen mit einer E-Mail. Wer Phishing erkennt, ist die wirksamste Verteidigung — wirksamer als jede Software.
• Einen Notfallplan haben: Wer im Schadensfall weiß, wen er anruft und welche Schritte folgen, verliert Stunden statt Tage. Schreiben Sie es auf, bevor es brennt.

Was das für Ihr Unternehmen heißt

Sie müssen kein Sicherheitsexperte werden — aber Sie sollten den Status Ihres Betriebs kennen. Die ehrliche Ausgangsfrage lautet: Wüssten Sie heute, ob alle Systeme aktuell sind, ob ein funktionierendes Backup existiert und wer im Ernstfall was tut? Wenn die Antwort „nicht sicher" ist, liegt genau dort der erste Schritt.

Sicherheit ist dabei kein einmaliges Projekt, sondern ein Zustand, den man hält. Der Aufwand dafür ist überschaubar — vor allem im Vergleich zu den Kosten eines tagelangen Stillstands. Der durchschnittliche Schaden eines Datenlecks lag laut einer Erhebung von IBM zuletzt bei mehreren Millionen Euro. Für einen kleinen Betrieb kann schon ein Bruchteil davon existenzbedrohend sein.

Unsere Einschätzung

Die PV-Warnung des BSI ist ein Symptom, kein Einzelfall: Angreifer arbeiten sich entlang des geringsten Widerstands vor, und der Mittelstand steht oft genau dort, wo dieser Widerstand am kleinsten ist. Das ist keine Frage von Pech, sondern von Vorbereitung. Wir sehen in der Praxis immer wieder, dass die wirksamsten Schutzmaßnahmen die unspektakulärsten sind — Updates, Backups, Mehr-Faktor-Anmeldung, geschulte Mitarbeitende. Wer diese Grundlagen beherrscht, ist kein leichtes Ziel mehr. Und genau darum geht es: nicht unangreifbar zu sein, aber unattraktiv genug, dass der automatisierte Angriff weiterzieht.