Munich Re-Studie über Cyberangriffe: Unternehmen fühlen sich schlechter geschützt als vor vier Jahren

Eine weltweite Studie des Rückversicherers Munich Re ergab, dass sich Unternehmen verwundbarer gegenüber Cyberangriffen fühlen als noch vier Jahren. Neun von zehn Führungskräften erklärten Ende 2025, dass ihr Unternehmen nicht angemessen gegen Angriffe geschützt sei, 2021 waren es acht von zehn. Ein wesentlicher Sorgen-Treiber ist laut der Studie die zunehmende Vernetzung digitaler Anwendungen und der Vormarsch von KI.    

Mit jeder neuen Cloud-Anwendung, jedem vernetzten Prozess und jedem Einsatz künstlicher Intelligenz (KI) steigen auch Verwundbarkeit und Schadenspotenzial. So lautet eine Kernerkenntnis der Munich Re-Analyse „Global Cyber Risk and Insurance Survey 2026“. Dazu wurden im Dezember 2025 weltweit mehr als 9.500 Fach- und Führungskräfte in 20 Ländern, darunter auch Deutschland, befragt. Die Studie repräsentiere „alle Branchen und Unternehmensgrößen“, schreibt der weltgrößte Rückversicherer. Die Teilnehmer wurden „zu technologischen Abhängigkeiten, Bedrohungsmustern, dem Bewusstsein für Cyberrisiken sowie der Rolle von Cyberversicherungen befragt“.

Weltweit gaben 60 Prozent der befragten Manager an, über einen möglichen Cyberangriff auf das eigene Unternehmen „besorgt“ oder „äußerst besorgt“ zu sein. Besonders hoch ist die Nervosität in Indien und Südafrika mit jeweils 80 Prozent. In Frankreich liegt der Wert bei 71 Prozent, in Japan bei 70 Prozent. Deutschland kommt auf 60 Prozent und liegt damit exakt im globalen Durchschnitt.

Viele Unternehmen berichteten bereits von realen Vorfällen, wie aus dem Berichtsband hervorgeht. Besonders häufig genannt werden Datenpannen, Online-Betrug, Betriebsunterbrechungen, Ransomware-Angriffe und Ausfälle von Cloud-Diensten. Damit rückt ein Risiko in den Vordergrund, das Cyberversicherungsexperten schon länger Kopfzerbrechen bereitet: Nicht mehr nur allein der klassische Hacker „im stillen Kämmerlein“ kann ganze Unternehmen lahmlegen – oft reicht schon eine technische Störung bei einem zentralen Dienstleister.

Weiter kommen die Studienautoren zu der bitteren Erkenntnis, dass sich fast niemand der Befragten ausreichend gewappnet fühlt vor Cyberattacken. So erklärten 89 Prozent der Führungskräfte, dass sie ihre Organisation für nicht angemessen geschützt gegen Cyberangriffe halten. 2021 lag dieser Wert noch bei 81 Prozent. Die Lageeinschätzung hat sich also trotz steigender IT-Budgets und modernerer Sicherheitslösungen weiter verschlechtert.

Die größten Hindernisse sind laut Studie hausgemacht: mangelndes Sicherheitsbewusstsein der Beschäftigten und fehlende Fachkräfte sowie schlecht integrierte Sicherheitssysteme können eine giftige Mischung ergeben. Knappe Budgets und Abhängigkeiten in digitalen Lieferketten tun ihr Übriges.

Dass das Unbehagen eher noch wächst, hat auch mit dem rasant steigenden Einsatz von künstlicher Intelligenz (KI) zu tun. Obwohl die Mehrheit (57 Prozent) der befragten Unternehmen KI bereits im operativen Geschäft nutzen – und sich zwei Drittel der Unternehmen positive Auswirkungen auf ihr Unternehmen erwarten (23 Prozent rechnen mit negativen Folgen) – liegen die Risiken des KI-Booms auf der Hand.

Die Studienautoren verweisen in diesem Zusammenhang vor allem auf Datenschutzprobleme, fehlerhafte Ergebnisse, neue Einfallstore für Cyberangriffe, fehlende Kompetenzen sowie regulatorische Unsicherheiten. Kurzum: Die Technologie steigert die Produktivität, erweitert aber zugleich die Angriffsfläche.

Dass letzteres zutrifft, davon gehen die Fachleute von Munich Re fest aus: Cyberkriminalität dürfte stärker automatisiert und „demokratisiert“ werden, heißt es, also auch für weniger qualifizierte Täter verfügbar sein. Das senkt Eintrittsbarrieren für Angriffe und erhöht insbesondere den Druck auf kleine und mittelgroße Unternehmen. Die frühere Annahme, man sei „zu klein oder zu uninteressant“, um attackiert zu werden, gilt nach Einschätzung der Munich Re als überholt.

Ohne Cloud geht nichts mehr

Auch die Abhängigkeit von Cloud-Infrastrukturen wird in der Studie als Problem ausgemacht. Während 57 Prozent der Befragten KI nutzen, greifen fast alle (98 Prozent) Unternehmen auf Cloud-Dienste zurück. Und hier ist die Verwundbarkeit zugleich besonders groß. Ein relevanter Teil der Befragten rechnet bei nur einem Tag Unterbrechung mit Verlusten von mehr als einem Viertel des Tagesumsatzes.

Was die Sache besonders schwierig macht, ist, dass sich Cyberrisiken insofern längst nicht mehr nur innerhalb der eigenen Firewall abspielen, sondern sich zunehmend außerhalb des direkten Einflussbereichs – also bei Plattformen, Dienstleistern und Zulieferern – bemerkbar machen können. Gerade diese systemischen Risiken stellen Versicherer wie Unternehmen vor neue Herausforderungen, geben die Autoren zu bedenken.

Schon jetzt sind Dimensionen gewaltig. Würde man Cyberkriminalität als Volkswirtschaft betrachten, wäre sie bereits heute die drittgrößte der Welt, heißt es im Bericht. Bis 2028 könnten die Schäden laut Prognosen auf 14 Bio. Dollar steigen. Das wäre mehr als die kombinierte Wirtschaftsleistung von Deutschland, Japan und Indien.

Aber auch das gehört zum Gesamtbild: Munich Re kann von dieser düster klingenden Beschreibung profitieren. So schreibt Vorstand Stefan Golling in der Studie, dass er fest davon überzeugt sei, „dass Cyberversicherungen in einer von KI und Daten getriebenen Welt von entscheidender Bedeutung sind“. Unternehmen und auch Privatpersonen müssten „ihre digitale Verwundbarkeit erkennen und den Wert von Cyberrisikodeckung verstehen“, fährt Golling fort.

An anderer Stelle heißt es, dass eine „wirksame und umfassende Cyberversicherung“ ein „zentraler Bestandteil jeder Risikomanagementstrategie“ sei. Ein erheblicher Teil der Unternehmen erwägt laut Studie auch den Abschluss einer Police.

Was eine Absicherung alles leisten soll, liest sich wie eine Wunschliste: Unternehmen wollen finanzielle Schäden aus Betriebsunterbrechungen ersetzt bekommen, Haftungsfälle absichern und Zugang zu Spezialisten erhalten, die im Ernstfall bei Forensik, Krisenkommunikation oder Wiederherstellung helfen. „Für viele ist die Police inzwischen weniger Zusatzprodukt als Bestandteil professionellen Risikomanagements“, so die Erkenntnis der Autoren.

Dass die Erstversicherer den Schutz aber nur dann gewähren, wenn die Unternehmen in hohem Maße in Vorleistung gehen, lassen wiederum die Äußerungen von Thomas Blunck, Rückversicherungs-CEO bei Munich Re, erahnen: „Unternehmen müssen Resilienz und Schutz angesichts der sich wandelnden digitalen Chancen und Herausforderungen höchste Priorität einräumen.“

Zugleich zeigt die Untersuchung, dass der Markt noch nicht ausgeschöpft sei. Zahlreiche Befragte gaben an, dass ihnen Cyberversicherungen bislang nie angeboten worden seien. Für Versicherer eröffne sich damit ein erhebliches Wachstumspotenzial – vorausgesetzt, die Produkte werden verständlicher, transparenter und besser distribuiert, so der Appell der Autoren an die Erstversicherer.

Autor: Lorenz Klein