idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Etwa jedes siebte Unternehmen in der Informationswirtschaft und jedes achte Unternehmen im Verarbeitenden Gewerbe hat im vergangenen Jahr Schäden durch Cyberangriffe erlitten. Das geht aus einer repräsentativen Befragung des ZEW Mannheim hervor, an der sich im Dezember 2025 und Januar 2026 rund 1.100 Unternehmen beteiligten. Die EU-Richtlinie zur Netz- und Informationssicherheit NIS-2 soll zu mehr Cybersicherheit beitragen. Deren Umsetzung wird aber von einem Großteil der von der neuen Regelung betroffenen Unternehmen in Deutschland kritisch bewertet.
„Für die Geschäftsabläufe der meisten Unternehmen sind möglichst reibungslos funktionierende IT-Systeme essenziell. Der jüngste Hackerangriff auf die Deutsche Bahn verdeutlicht allerdings, welchen Cyberbedrohungen Unternehmen hierbei täglich ausgesetzt sind“, erklärt Studienleiter Dr. Daniel Erdsiek aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. „In der Informationswirtschaft, die unter anderem IT-Dienstleister umfasst, berichten neun Prozent der Unternehmen, im vergangenen Jahr Ausfallzeiten durch Cyberangriffe erlitten zu haben. Im Verarbeitenden Gewerbe kam es bei sieben Prozent der Unternehmen zu solchen Betriebsunterbrechungen.“
Rund vier bis fünf Prozent der Unternehmen geben derweil an, finanzielle Verluste erlitten zu haben, wobei direkte Lösegeldzahlungen mit etwa ein bis zwei Prozent etwas seltener vorgekommen sind. Den Verlust oder den Abfluss sensibler Daten hatten rund drei Prozent der Unternehmen zu verkraften.
Größere Unternehmen häufiger betroffen
„Wie häufig Unternehmen von schädlichen Cyberangriffen berichten, steht im Zusammenhang mit deren Größe. So berichten größere Unternehmen mit mindestens 100 Beschäftigten besonders häufig, dass ihnen im vergangenen Jahr Schäden durch Cyberangriffe entstanden sind. In der Informationswirtschaft sind es 20 Prozent und im Verarbeitenden Gewerbe 17 Prozent der Unternehmen“, so Erdsiek.
NIS-2-Richtlinie für mehr Cybersicherheit
Vor diesem Hintergrund verschärft die NIS-2-Richtlinie der EU die Cybersicherheitsanforderungen für Unternehmen. Während unter der ersten NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen etwa aus den Bereichen Energie oder Gesundheitswesen erfasst waren, werden mit NIS-2 deutlich mehr und auch kleinere Unternehmen aus zusätzlichen Sektoren einbezogen. Darunter fallen auch Anbieter digitaler Dienste sowie Unternehmen aus Industriebranchen wie Chemie oder Lebensmittelproduktion. Die Richtlinie definiert Mindeststandards, sieht Meldepflichten bei Sicherheitsvorfällen vor und verschärft die Sanktionsregelungen. Das entsprechende Umsetzungsgesetz ist am 6. Dezember 2025 in Deutschland in Kraft getreten. Betroffene Unternehmen und Organisationen sind verpflichtet, sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
„Rund 57 Prozent der nach eigener Einschätzung von der NIS-2-Richtlinie betroffenen Unternehmen aus der Informationswirtschaft und dem Verarbeitenden Gewerbe geben an, die neuen Vorgaben bereits weitgehend zu erfüllen“, so Dr. Eliza Stenzhorn aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. Zugleich äußern jedoch 17 Prozent der Unternehmen, die Anforderungen bislang eher nicht oder überhaupt nicht zu erfüllen.
Rund die Hälfte der voraussichtlich betroffenen Unternehmen sieht in der Richtlinie einen Beitrag zur Stärkung der Cybersicherheit von Unternehmen in Deutschland. „Viele Unternehmen erkennen zwar den Nutzen der NIS-2-Richtlinie an. Gleichzeitig sehen viele Unternehmen die konkrete Ausgestaltung als herausfordernd. So bewerten rund 60 Prozent der Unternehmen den administrativen Aufwand als zu hoch und die Meldepflichten als zu umfangreich. Ähnlich viele Unternehmen sind darüber hinaus der Meinung, dass die möglichen Sanktionen zu hoch angesetzt sind“, so Stenzhorn.
1.100 Unternehmen zu Cyberrisiken befragt
Die Daten vom Dezember 2025 und Januar 2026 wurden im Rahmen des ZEW-Branchenreports Informationswirtschaft erhoben. Dafür haben die Forschenden rund 1.100 Unternehmen in Deutschland befragt. Sie stammen aus dem Verarbeitenden Gewerbe und der Informationswirtschaft, die sich aus IKT-Branche, Mediendienstleistern und wissensintensiven Dienstleistern zusammensetzt. Unter den befragten Unternehmen gaben rund 200 Unternehmen an, voraussichtlich von der NIS-2-Richtlinie betroffen zu sein.
Dr. Daniel Erdsiek
Wissenschaftler im ZEW-Forschungsbereich „Digitale Ökonomie“
daniel.erdsiek@zew.de
Dr. Eliza Stenzhorn
Wissenschaftlerin im ZEW-Forschungsbereich „Digitale Ökonomie“
eliza.stenzhorn@zew.de
https://www.zew.de/WS380 Übersicht über den ZEW-Branchenreport Informationswirtschaft
Anteil Unternehmen mit Schäden durch Cyberangriffe im Jahr 2025
Copyright: ZEW
Wahrnehmung zu Vorgaben, Nutzen und Belastung durch die NIS-2-Richtlinie
Copyright: ZEW
Criteria of this press release:
Journalists
Economics / business administration, Information technology
transregional, national
Research results
German
Anteil Unternehmen mit Schäden durch Cyberangriffe im Jahr 2025
Copyright: ZEW
Wahrnehmung zu Vorgaben, Nutzen und Belastung durch die NIS-2-Richtlinie
Copyright: ZEW
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
