Für die meisten kleinen und mittleren Unternehmen (KMU) ist das „Büro“ heute eine Sammlung von WLAN-Heimnetzwerken, Hotspots in Cafés, gemeinsam genutzten Arbeitsbereichen und cloudbasierten SaaS-Tools.
Doch obwohl die Arbeit immer verteilter wird, haben viele Unternehmen es versäumt, Netzwerkkontrollen einzurichten. Weniger als die Hälfte der KMU nutzt ein VPN, um den Zugriff auf ihr Netzwerk zu schützen, so eine neue Studie von Proton.
Gleichzeitig nehmen Sicherheitsvorfälle zu. Jedes vierte KMU hat im vergangenen Jahr einen Cyberangriff oder ein Datenleck erlebt.
Warum also ist die Einführung von VPNs trotz der scheinbar dauerhaften Verlagerung hin zu hybrider Arbeit so uneinheitlich? Und ist das die Ursache für so viele der jüngsten Sicherheitsvorfälle?
Unser SMB Cybersecurity Report 2026 beleuchtet diese Frage. Für unsere exklusive Studie haben wir Tausenden Führungskräften weltweit Dutzende Fragen zu ihren Sicherheitspraktiken gestellt. Du kannst den kostenlosen Cybersicherheitsbericht herunterladen, um vier wichtige Erkenntnisse und fünf Empfehlungen für dein Unternehmen zu erhalten.
Warum Angreifer KMU ins Visier nehmen
Jahrelang konzentrierten sich Cyberkriminelle vor allem auf große Konzerne. Doch da sich die Abwehrmaßnahmen in Unternehmen verbessert haben, haben Angreifer zunehmend KMU ins Visier genommen(neues Fenster) aufgrund von:
Begrenzte Ressourcen: Kleinen Teams fehlen oft dedizierte Sicherheitsmitarbeiter und formale Sicherheitsrichtlinien.
Verteilte Netzwerke: Mitarbeiter verbinden sich von zuhause über WLAN, aus gemeinsam genutzten Arbeitsbereichen und öffentlichen Hotspots, wodurch mehr Einstiegspunkte für Angreifer entstehen.
Hochwertige Daten: KMU speichern möglicherweise dieselben sensiblen Daten wie große Unternehmen(neues Fenster) — darunter Kundeninformationen, Finanzunterlagen und geistiges Eigentum — jedoch mit weniger Schutzmaßnahmen.
Die Akzeptanzlücke: KMU vernachlässigen VPNs
Der Proton SMB Cybersecurity Report 2026 hat zwei Lücken bei kleinen und mittleren Unternehmen aufgedeckt:
- Akzeptanzlücke: Weniger als die Hälfte der KMU nutzt ein VPN, um ihre Endpunkte zu schützen(neues Fenster).
- Umsetzungslücke: Selbst unter VPN-Nutzern sind die Sicherheitspraktiken uneinheitlich.
Beginnen wir mit der Akzeptanzlücke.
Der Aufstieg von Software-as-a-Service hat bei kleinen Unternehmen ein falsches Sicherheitsgefühl erzeugt. Zwar verwenden die meisten SaaS-Plattformen starke Verschlüsselung (d. h. TLS(neues Fenster)), um Verkehr bei der Übertragung zu schützen, und einige wie Proton Mail oder Proton Drive nutzen auch Ende-zu-Ende-Verschlüsselung(neues Fenster) im Ruhezustand, aber sie sichern nicht den Weg ab, den deine Mitarbeiter zum Anmelden nehmen.
Deine Organisation nutzt zum Beispiel möglicherweise einen verschlüsselten E-Mail-Dienst(neues Fenster), um den Inhalt deiner Nachrichten zu schützen, aber ohne ein VPN kannst du keine IP-basierten Einschränkungen durchsetzen, um zu kontrollieren, wer sich bei der Plattform anmelden kann. Ein Angreifer mit geleakten Anmeldedaten könnte sich also anmelden und dein Netzwerk verletzen.
Während der Wandel hin zu hybrider Arbeit global ist, sind die begleitenden Sicherheitsanpassungen ungleichmäßig ausgefallen. Die Vereinigten Staaten sind das einzige Land in unserer Studie, in dem eine Mehrheit der KMU ein VPN nutzt. In jedem anderen Markt liegt die Nutzung unter 50 %. Diese Lücke ist außerhalb des Technologiesektors noch deutlicher, wo die Sicherheit nicht mit dem Wandel hin zu hybrider Arbeit Schritt gehalten hat.
Die Umsetzungslücke: Echte Sicherheit geht über ein VPN hinaus
52 % der KMU, die ein VPN nutzen, geben an, sehr oder vollständig zuversichtlich zu sein, Angriffen standhalten zu können. Unsere Daten zeigen jedoch, dass selbst in dieser Gruppe 26 % in den vergangenen 12 Monaten ein Datenleck erlebt haben. Wenn ein Unternehmen sein Netzwerk bereits absichert, wie kann das dann trotzdem passieren?
Das Problem ist nicht das VPN selbst, sondern die umgebenden Kontrollen und die Häufigkeit menschlicher Fehler. Nur 56 % der VPN-Nutzer in unserer Studie setzen Zwei-Faktor-Authentifizierung(neues Fenster) (2FA) durch. Wenn fast die Hälfte der Unternehmen sich allein auf Passwörter verlässt, wird das Risiko durch schlechte Disziplin beim Umgang mit Anmeldedaten noch verstärkt. Anstatt konsequent einen Passwort-Manager für Unternehmen(neues Fenster) zu verwenden:
- 31,5 % teilen Anmeldedaten immer noch per E-Mail
- 33,4 % über gemeinsam genutzte Dokumente
- 28 % verlassen sich auf Messaging-Apps, um Anmeldungen zu teilen
- 24,6 % schreiben Passwörter immer noch auf
Unsere Daten deuten darauf hin, dass viele Unternehmen Sicherheit als stückweise Investition in isolierte Produkte behandeln statt als kohärentes System, ohne konsequent umgesetzte Sicherheitsrichtlinien.
Sicherheit als Infrastruktur, nicht als Nachgedanke
Die Studie brachte noch eine weitere wertvolle Erkenntnis ans Licht: Sicherheit ist ein Umsatztreiber.
In unserem Bericht sagen 66 % der Unternehmen, dass es „sehr“ oder „äußerst“ wichtig ist, einen sicheren Umgang mit Daten nachzuweisen, um neue Geschäfte zu gewinnen. Ein VPN für Endpunktsicherheit gibt dir die Infrastruktur und Sichtbarkeit, um potenziellen Kunden genau das zu zeigen.
Ohne einen definierten Netzwerkperimeter vervielfachen sich Einstiegspunkte, die Sichtbarkeit nimmt ab und die Zugriffskontrolle ist über Drittanbieter-Plattformen verstreut. All das vergrößert die Angriffsfläche und erschwert es, verdächtiges Verhalten zu erkennen, Vorfälle einzudämmen oder Kunden und Partnern Kontrolle nachzuweisen. Ein VPN stellt die Grenze wieder her und schafft einen kontrollierbaren Perimeter um Mitarbeiter, egal wo sie arbeiten.
So kannst du die Erkenntnis in deinem Unternehmen anwenden:
- Zugriff nach IP oder Standort einschränken: Erlaube den Zugriff auf interne Tools nur von genehmigten Geräten oder Netzwerken aus.
- Volle Netzwerksichtbarkeit haben: Wenn Anmeldungen nur über dein VPN erlaubt sind, kannst du den Verkehr zu deinen Ressourcen überwachen und potenzielle Angriffe erkennen.
- Konsistente Richtlinien durchsetzen: Wende Sicherheitsregeln in deinem Netzwerk an, statt dich auf Versprechen von Drittanbietern zu verlassen.
Ohne ein VPN bewegt sich Remote-Verkehr ohne zentrale Kontrolle über öffentliche Netzwerke, was die Gefährdung erhöht. Echte Sicherheit erfordert, dass die Netzwerkebene und die Identitätsebene als ein einziges, verstärktes System zusammenarbeiten.
Lade den vollständigen SMB Cybersecurity Report 2026 herunter
Protons SMB Cybersecurity Report 2026 untersucht, an welchen Stellen das Vertrauen in Sicherheit bröckelt, warum grundlegende Kontrollen fehlen und wie hybride Arbeit die Angriffsfläche wachsender Unternehmen verändert hat.
Im Bericht findest du:
- Globale Muster bei Datenlecks und Trends bei menschlichen Fehlern
- Die finanziellen Auswirkungen moderner Datenlecks
- Vertrauenslücken bei Cloud und KI unter Führungskräften
- Praktische Schritte zum Aufbau mehrschichtiger Sicherheitssysteme
