Eine ZEW-Befragung unter rund 1.100 Unternehmen zeigt spürbare Schäden durch Cyberangriffe in Informationswirtschaft und Industrie. Zugleich sieht etwa die Hälfte der voraussichtlich von NIS-2 betroffenen Unternehmen zwar einen Nutzen für die Cybersicherheit, viele kritisieren aber Aufwand, Meldepflichten und mögliche Sanktionen.

Cyberangriffe treffen Unternehmen nicht mehr nur auf der abstrakten Risikoebene, sondern direkt im laufenden Betrieb. Ausfallzeiten, finanzielle Verluste und der Abfluss sensibler Daten gehören inzwischen für einen Teil der Unternehmen zur Realität. Das ist ein zentrales Ergebnis einer repräsentativen Befragung des ZEW (Leibniz-Zentrum für Europäische Wirtschaftsforschung) in Mannheim unter rund 1.100 Unternehmen aus Informationswirtschaft und Verarbeitendem Gewerbe. Demnach erlitt im vergangenen Jahr etwa jedes siebte Unternehmen in der Informationswirtschaft und jedes achte Unternehmen im Verarbeitenden Gewerbe Schäden durch Cyberangriffe.

Anzeige

Schäden reichen von Ausfallzeiten bis Datenabfluss

Besonders sichtbar werden die Folgen bei Betriebsunterbrechungen. In der Informationswirtschaft berichteten neun Prozent der Unternehmen von Ausfallzeiten durch Cyberangriffe, im Verarbeitenden Gewerbe waren es sieben Prozent. Hinzu kommen finanzielle Schäden bei vier bis fünf Prozent der Unternehmen. Direkte Lösegeldzahlungen wurden mit ein bis zwei Prozent seltener genannt. Rund drei Prozent meldeten den Verlust oder Abfluss sensibler Daten.

Größere Unternehmen häufiger betroffen

Die Studie zeigt zudem einen Zusammenhang zwischen Unternehmensgröße und Schadenshäufigkeit. Vor allem größere Unternehmen mit mindestens 100 Beschäftigten meldeten überdurchschnittlich oft Schäden durch Cyberangriffe. In der Informationswirtschaft lag dieser Anteil bei 20 Prozent, im Verarbeitenden Gewerbe bei 17 Prozent.

NIS-2 wird als sinnvoll, aber belastend bewertet

Neben den unmittelbaren Angriffsschäden beleuchtet die Befragung auch den Blick der Unternehmen auf die Regulierung. Das deutsche NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Betroffene Unternehmen und Organisationen müssen sich bis zum 6. März 2026 beim BSI registrieren. Unter den Unternehmen, die sich selbst als voraussichtlich von NIS-2 betroffen einschätzen, gaben 57 Prozent an, die neuen Vorgaben bereits weitgehend zu erfüllen. 17 Prozent erklärten dagegen, die Anforderungen bislang eher nicht oder überhaupt nicht zu erfüllen.

Zugleich fällt die Bewertung der Richtlinie zwiespältig aus. Rund die Hälfte der voraussichtlich betroffenen Unternehmen sieht in NIS-2 einen Beitrag zur Stärkung der Cybersicherheit in Deutschland. Gleichzeitig kritisieren viele die praktische Umsetzung. Rund 60 Prozent halten den administrativen Aufwand für zu hoch und bewerten die Meldepflichten als zu umfangreich. Ähnlich viele sehen auch die möglichen Sanktionen als zu hoch angesetzt.