267 Milliarden Euro. So hoch beziffert der Bitkom den jährlichen Schaden durch Cyberkriminalität in der deutschen Wirtschaft – fast 6 % des Bruttoinlandsprodukts. 2023 waren es noch 206 Milliarden. Ein Anstieg von rund 30 % in einem einzigen Jahr.
Der bayerische Forschungsverbund ForDaySec hat dazu kürzlich ein Lagebild veröffentlicht, das einen Begriff prägt, den ich seitdem nicht mehr loswerde: Security by Disaster.
Der Mechanismus dahinter.
Der britische Sicherheitsforscher Ross Anderson hat das Problem früh benannt: Wer unsichere Produkte verkauft, trägt selten die Folgekosten. Die Kosten eines Sicherheitsvorfalls landen woanders – beim Kunden, bei der Allgemeinheit, in der Zukunft.
Das Ergebnis: Investitionen in Sicherheit erfolgen fast immer erst nach dem Schadensfall, nicht davor. Das Gegenteil von Security by Design: Security by Disaster.
Erst der Einbruch, dann das Schloss.
Warum „mehr Awareness" die falsche Antwort ist.
Die naheliegende Reaktion auf jeden Sicherheitsvorfall lautet: Schulung, Sensibilisierung, mehr Aufklärung. Klingt vernünftig. Ist es aber selten.
Ein Satz aus dem Whitepaper trifft den Punkt – ich musste laut lachen beim Lesen:
„Menschen können nicht für jede smarte Glühbirne eine Risikoanalyse durchführen."
Genau das verlangen wir aber gerade von ihnen. Jedes vernetzte Gerät, jede App, jeder KI-Dienst bringt seine eigenen Nutzungsbedingungen, Voreinstellungen und Risiken mit. Wer soll das im Alltag noch überblicken – neben Job, Familie und allem anderen?
Verantwortung auf Einzelne abzuwälzen und mehr Awareness zu fordern, führt zu Überforderung und Entscheidungsmüdigkeit. Nicht zu mehr Sicherheit.
Was die Forschung stattdessen vorschlägt.
Sicherheit muss systemisch gedacht werden – nicht individuell. Vier Ansätze aus dem Lagebild halte ich für den Mittelstand besonders relevant:
Transparente Risikokommunikation vor dem Kauf. Nicht im Kleingedruckten, sondern sichtbar, bevor Geld fließt.
Sichere Voreinstellungen als Standard. „Security by Default" – das sicherste Setting ist das, das schon aktiv ist, wenn niemand etwas einstellt.
Ein regulierender Staat, der Hersteller in die Pflicht nimmt. Der Cyber Resilience Act der EU geht genau in diese Richtung – mit Fristen bis 2027.
Offline-fähige Alternativen als Wahlmöglichkeit. Nicht jedes Gerät muss dauerhaft vernetzt sein, um nützlich zu sein.
Vier Fragen für Ihr Unternehmen.
Die Forschenden schlagen Unternehmen vier Fragen vor, die sich viele noch nicht ehrlich gestellt haben:
Investieren wir in echte Sicherheitsverbesserung – oder nur in Dokumentation und Compliance?
Wo schieben wir Verantwortung an Verbraucherinnen und Verbraucher ab?
Welche unserer Produkte müssen bis 2027 die Anforderungen des Cyber Resilience Act erfüllen?
Wie schaffen wir Transparenz, ohne Geschäftsgeheimnisse preiszugeben?
Offenheit und Schutz des eigenen Know-hows schließen sich nicht aus, sie müssen nur austariert werden – das hatten wir in der KI-Serie.
Der Wettbewerbsvorteil, den kaum jemand nutzt.
Wer diese vier Fragen offen beantwortet, kann aus regulatorischem Druck eine Chance machen. Vertrauen ist in einer zunehmend vernetzten Welt keine Selbstverständlichkeit mehr – wer es früh aufbaut, statt es sich nach dem ersten Vorfall neu zu erarbeiten, ist im Vorteil.
Sicherheit, die erst nach dem Schaden kommt, ist keine Sicherheit. Das nennt man Aufräumen.
Quelle: Bayerischer Forschungsverbund ForDaySec, Whitepaper „Cybersicherheit im Alltag" (2026); Bitkom Research 2024. Dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall.
Wenn Sie wissen wollen, wo Ihr Unternehmen bei diesen vier Fragen steht: Das erste Gespräch ist kostenlos.