KI-getarnte Malware: 33.300 Angriffe auf KMU in 4 Monaten
01.07.2026 - 01:17:36 | boerse-global.de
Am 29. Juni verabschiedete das US-Repräsentantenhaus den „Small Business Cybersecurity Assistance Evaluation Act“ (HR 8880) per Votum. Das Gesetz beauftragt die Regierungsbehörde GAO mit einer Studie über bestehende Cybersicherheitsprogramme für kleine Betriebe. Der Vorstoß kommt nicht von ungefähr: Die Angriffswelle auf kleinere Firmen hat ein neues Niveau erreicht.
KI-getarnte Malware: Fünffacher Anstieg binnen Monaten
Sicherheitsforscher von Kaspersky schlagen Alarm. In den ersten vier Monaten des Jahres 2026 stieg die Zahl der Angriffe auf kleine und mittlere Unternehmen (KMU) mit Malware, die als KI-Dienste getarnt ist, um das Fünffache im Vergleich zum Vorjahr. Über 33.300 Attacken wurden gezählt – die Schadsoftware versteckte sich in gefälschten Versionen populärer KI-Tools wie ChatGPT, Claude und DeepSeek.
Phishing bleibt das Einfallstor Nummer eins. Branchenbeobachter berichten von einer Zunahme KI-gestützter, personalisierter Kampagnen und sogenannter Business-E-Mail-Compromise-Angriffe, bei denen Deepfake-Audio und -Video zum Einsatz kommen. Auch Ransomware setzt kleinere Organisationen massiv unter Druck.
Dramatische Zahlen aus Großbritannien: Zwischen April 2025 und März 2026 wurden über 300 Unternehmen als Ransomware-Opfer gemeldet – mehr als die Hälfte davon KMU. Die finanziellen Verluste stiegen um rund 50 Prozent auf im Median etwa 270.000 Pfund (rund 315.000 Euro) pro betroffenem Unternehmen. In den USA lag die mittlere Lösegeldzahlung 2024 bei 115.000 Dollar (etwa 107.000 Euro). Für Betriebe ohne solide Wiederherstellungspläne kann das existenzbedrohend sein.
Europa zieht die Zügel an: Strafen bis 15 Millionen Euro
Auch die europäischen Regulierungsbehörden verschärfen den Kurs. Der Cyber Resilience Act (CRA) führt ab dem 11. September 2026 verbindliche Meldepflichten ein. Die vollständige Einhaltung muss bis zum 11. Dezember 2027 gewährleistet sein. Bei Verstößen drohen Strafen von bis zu 15 Millionen Euro oder 2,5 Prozent des Jahresumsatzes.
Doch die Unternehmen sind schlecht vorbereitet. Eine aktuelle Umfrage der EU-Agentur für Cybersicherheit (ENISA) unter knapp 200 Organisationen zeigt: 54 Prozent der Befragten haben kein klares Verständnis der erforderlichen Konformitätsbewertungen. Besonders besorgniserregend: 57 Prozent der Kleinstunternehmen haben keine einzige Person, die für Cybersicherheit zuständig ist.
Der fünffache Anstieg KI-getarnter Malware-Angriffe auf KMU ist alarmierend – über 33.300 Attacken in nur vier Monaten. Wer jetzt nicht handelt, riskiert Lösegeldzahlungen bis 315.000 Euro und CRA-Strafen bis 15 Millionen Euro. Dieser Report liefert die entscheidenden Hebel: Checkliste, Compliance-Fahrplan und Musterrichtlinie. Jetzt kostenlosen Schutz-Report anfordern
Managed-Service-Anbieter berichten, dass 80 Prozent der kleinen Betriebe derzeit ohne formelle Cybersicherheitsrichtlinie arbeiten. In den USA sind zwar rund 95 Prozent der Unternehmen gesetzlich verpflichtet, umfassende Richtlinien zu Zugriffsregeln und Vorfallreaktion zu haben – doch nur 36 Prozent haben sie tatsächlich umgesetzt.
Technologieanbieter reagieren – Versicherungen werden strenger
Die Industrie stellt sich auf die neue Realität ein. Microsoft hat kürzlich Sicherheits-Add-ons für sein 365 Business Premium-Paket eingeführt. Sie helfen dabei, interne Datenbewegungen zu kontrollieren und KI-Nutzungsrichtlinien durchzusetzen. Ein Schritt, der angesichts der Forschungsergebnisse des Konzerns dringend nötig ist: Jedes dritte kleine Unternehmen wurde bereits Opfer eines Cyberangriffs.
Auch Telekommunikationsanbieter wie Verizon vermarkten netzwerkbasierte Sicherheitslösungen, die Schadsoftware und Ransomware blockieren – ohne dass ein eigenes IT-Team nötig wäre. Sicherheitsexperten empfehlen zunehmend das „Secure-by-Design“-Prinzip: Sicherheit von Anfang an in die Systeme einbauen, statt sie später nachzurüsten.
Finanzieller Schutz bietet eine Cyber-Versicherung. Die Kosten liegen typischerweise zwischen 500 und 5.000 Euro jährlich. Doch die Versicherer werden wählerischer. Sie verlangen oft den Nachweis von Multi-Faktor-Authentifizierung, Endgeräteschutz und regelmäßigen Backups, bevor sie überhaupt versichern oder die Prämien senken.
54 Prozent der KMU haben kein klares Verständnis der CRA-Konformitätsbewertungen – und 57 Prozent der Kleinstunternehmen haben niemanden, der für Cybersicherheit zuständig ist. Die Zeit drängt: Ab September 2026 gelten Meldepflichten, ab Dezember 2027 vollständige Compliance. Dieser Leitfaden schließt Ihre Wissenslücken mit praxisnahen Schritten. CRA-Compliance-Leitfaden jetzt sichern
Weiterbildung als Schlüssel
Um die Wissenslücken zu schließen, sind in den kommenden Monaten mehrere Schulungsangebote geplant. Ein kostenloses Webinar zu Phishing und Gerätesicherheit findet am 7. Juli 2026 statt. Ein Präsenz-Workshop zu den Grundlagen der Cybersicherheit folgt am 22. September in Michigan. Für deutsche Unternehmen empfiehlt sich parallel der Blick auf die Angebote des Bundesamts für Sicherheit in der Informationstechnik (BSI), das speziell für KMU praxisnahe Leitfäden bereitstellt.
