idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Etwa jedes siebte Unternehmen in der Informationswirtschaft und jedes achte Unternehmen im Verarbeitenden Gewerbe hat im vergangenen Jahr Schäden durch Cyberangriffe erlitten. Das geht aus einer repräsentativen Befragung des ZEW Mannheim hervor, an der sich im Dezember 2025 und Januar 2026 rund 1.100 Unternehmen beteiligten. Die EU-Richtlinie zur Netz- und Informationssicherheit NIS-2 soll zu mehr Cybersicherheit beitragen. Deren Umsetzung wird aber von einem Großteil der von der neuen Regelung betroffenen Unternehmen in Deutschland kritisch bewertet.
„Für die Geschäftsabläufe der meisten Unternehmen sind möglichst reibungslos funktionierende IT-Systeme essenziell. Der jüngste Hackerangriff auf die Deutsche Bahn verdeutlicht allerdings, welchen Cyberbedrohungen Unternehmen hierbei täglich ausgesetzt sind“, erklärt Studienleiter Dr. Daniel Erdsiek aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. „In der Informationswirtschaft, die unter anderem IT-Dienstleister umfasst, berichten neun Prozent der Unternehmen, im vergangenen Jahr Ausfallzeiten durch Cyberangriffe erlitten zu haben. Im Verarbeitenden Gewerbe kam es bei sieben Prozent der Unternehmen zu solchen Betriebsunterbrechungen.“
Rund vier bis fünf Prozent der Unternehmen geben derweil an, finanzielle Verluste erlitten zu haben, wobei direkte Lösegeldzahlungen mit etwa ein bis zwei Prozent etwas seltener vorgekommen sind. Den Verlust oder den Abfluss sensibler Daten hatten rund drei Prozent der Unternehmen zu verkraften.
Größere Unternehmen häufiger betroffen
„Wie häufig Unternehmen von schädlichen Cyberangriffen berichten, steht im Zusammenhang mit deren Größe. So berichten größere Unternehmen mit mindestens 100 Beschäftigten besonders häufig, dass ihnen im vergangenen Jahr Schäden durch Cyberangriffe entstanden sind. In der Informationswirtschaft sind es 20 Prozent und im Verarbeitenden Gewerbe 17 Prozent der Unternehmen“, so Erdsiek.
NIS-2-Richtlinie für mehr Cybersicherheit
Vor diesem Hintergrund verschärft die NIS-2-Richtlinie der EU die Cybersicherheitsanforderungen für Unternehmen. Während unter der ersten NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen etwa aus den Bereichen Energie oder Gesundheitswesen erfasst waren, werden mit NIS-2 deutlich mehr und auch kleinere Unternehmen aus zusätzlichen Sektoren einbezogen. Darunter fallen auch Anbieter digitaler Dienste sowie Unternehmen aus Industriebranchen wie Chemie oder Lebensmittelproduktion. Die Richtlinie definiert Mindeststandards, sieht Meldepflichten bei Sicherheitsvorfällen vor und verschärft die Sanktionsregelungen. Das entsprechende Umsetzungsgesetz ist am 6. Dezember 2025 in Deutschland in Kraft getreten. Betroffene Unternehmen und Organisationen sind verpflichtet, sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
„Rund 57 Prozent der nach eigener Einschätzung von der NIS-2-Richtlinie betroffenen Unternehmen aus der Informationswirtschaft und dem Verarbeitenden Gewerbe geben an, die neuen Vorgaben bereits weitgehend zu erfüllen“, so Dr. Eliza Stenzhorn aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. Zugleich äußern jedoch 17 Prozent der Unternehmen, die Anforderungen bislang eher nicht oder überhaupt nicht zu erfüllen.
Rund die Hälfte der voraussichtlich betroffenen Unternehmen sieht in der Richtlinie einen Beitrag zur Stärkung der Cybersicherheit von Unternehmen in Deutschland. „Viele Unternehmen erkennen zwar den Nutzen der NIS-2-Richtlinie an. Gleichzeitig sehen viele Unternehmen die konkrete Ausgestaltung als herausfordernd. So bewerten rund 60 Prozent der Unternehmen den administrativen Aufwand als zu hoch und die Meldepflichten als zu umfangreich. Ähnlich viele Unternehmen sind darüber hinaus der Meinung, dass die möglichen Sanktionen zu hoch angesetzt sind“, so Stenzhorn.
1.100 Unternehmen zu Cyberrisiken befragt
Die Daten vom Dezember 2025 und Januar 2026 wurden im Rahmen des ZEW-Branchenreports Informationswirtschaft erhoben. Dafür haben die Forschenden rund 1.100 Unternehmen in Deutschland befragt. Sie stammen aus dem Verarbeitenden Gewerbe und der Informationswirtschaft, die sich aus IKT-Branche, Mediendienstleistern und wissensintensiven Dienstleistern zusammensetzt. Unter den befragten Unternehmen gaben rund 200 Unternehmen an, voraussichtlich von der NIS-2-Richtlinie betroffen zu sein.
Dr. Daniel Erdsiek
Wissenschaftler im ZEW-Forschungsbereich „Digitale Ökonomie“
daniel.erdsiek@zew.de
Dr. Eliza Stenzhorn
Wissenschaftlerin im ZEW-Forschungsbereich „Digitale Ökonomie“
eliza.stenzhorn@zew.de
https://www.zew.de/WS380 Übersicht über den ZEW-Branchenreport Informationswirtschaft
Anteil Unternehmen mit Schäden durch Cyberangriffe im Jahr 2025
Copyright: ZEW
Wahrnehmung zu Vorgaben, Nutzen und Belastung durch die NIS-2-Richtlinie
Copyright: ZEW
Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik, Wirtschaft
überregional
Forschungsergebnisse
Deutsch
Anteil Unternehmen mit Schäden durch Cyberangriffe im Jahr 2025
Copyright: ZEW
Wahrnehmung zu Vorgaben, Nutzen und Belastung durch die NIS-2-Richtlinie
Copyright: ZEW
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
