WatchGuard Studie zeigt: Wiederverwendete Passwörter, nicht genehmigte KI-Tools und ausgefallene Sicherheitsschulungen unterlaufen still und leise jahrelange Investitionen in Cybersicherheitstechnologie bei kleinen und mittleren Unternehmen.
Trotz Rekordausgaben für Cybersicherheitstools liegt die größte Schwachstelle in kleinen und mittelständischen Unternehmen womöglich nicht in der Software selbst, sondern bei den Menschen, die sie bedienen. Das ist die zentrale Erkenntnis des „2026 Cybersecurity Hygiene Report“ von WatchGuard Technologies, einer unabhängigen Befragung von 684 Beschäftigten in den USA, Großbritannien, Deutschland, Frankreich, Australien, Brasilien, Mexiko und Spanien, die diese Woche veröffentlicht wurde.
Laut dem Bericht geben 76 Prozent der Befragten an, Passwörter zumindest gelegentlich mehrfach zu verwenden, während nur 22 Prozent überall Multi-Faktor-Authentifizierung (MFA) einsetzen. Diese Kombination schaffe, so die Autoren, eine ungewöhnlich große Angriffsfläche bei Zugangsdaten: Ein einziges geleaktes Passwort könne theoretisch mehrere Konten gleichzeitig öffnen, und ohne MFA gebe es oft keine weitere Hürde. Positiver fällt auf, dass 63 Prozent der Beschäftigten laut eigenen Angaben bereits einen Passwort-Manager nutzen und 94 Prozent komplexe Passwörter erstellen, ohne dazu aufgefordert worden zu sein – ein Beleg, so der Bericht, dass die Verfügbarkeit von Tools allein noch kein sicheres Verhalten garantiert.
Die Studie verweist zudem auf eine wachsende Lücke zwischen den tatsächlichen Arbeitsumgebungen der Beschäftigten und dem Ort, für den Unternehmenssicherheitskontrollen ursprünglich konzipiert wurden. 70 Prozent der Befragten gaben an, für Arbeitsaufgaben öffentliches WLAN zu nutzen, jedoch verwendet dabei nur etwa ein Fünftel ein VPN oder Zero-Trust-Network-Access. Mehr als die Hälfte nutzt Firmengeräte für private Zwecke wie Online-Shopping, und fast ein Drittel hat ein Arbeitsgerät schon einmal unbeaufsichtigt an einem öffentlichen Ort zurückgelassen.
Als eine der markantesten Erkenntnisse gilt die Nutzung von „Schatten-KI“: 64 Prozent der Beschäftigten geben an, frei verfügbare KI-Tools wie öffentliche Chatbots für Arbeitsaufgaben zu nutzen – ohne formelle Genehmigung, Richtlinien oder Kontrolle durch den Arbeitgeber. Verschärft wird das Risiko dadurch, dass nur 61 Prozent der Befragten glauben, ihr Unternehmen führe eine korrekte Bestandsliste der eingesetzten Software. Für einen erheblichen Teil der Unternehmen bleibt diese KI-Nutzung damit faktisch unsichtbar, bis etwas schiefgeht. Die Autoren von WatchGuard bezeichnen die Schatten-KI-Nutzung als „die entscheidende Governance-Lücke des Jahres 2026″.
Auch bei Schulungen zeigen sich Defizite. Fast jeder vierte Beschäftigte (23 Prozent) hat laut eigenen Angaben noch nie eine Schulung zu Phishing oder Social Engineering erhalten, und selbst unter geschulten Mitarbeitenden halten sich riskante Gewohnheiten: 26 Prozent öffnen Links oder Anhänge von unbekannten Absendern, und nur ein Viertel gibt an, routinemäßig Vorsicht walten zu lassen, bevor ein Link in einer E-Mail angeklickt wird. Grundschutzmaßnahmen wie Antivirensoftware sind weit, aber nicht flächendeckend verbreitet: 7 Prozent der Befragten berichten, auf keinem ihrer Geräte über Virenschutz zu verfügen.
Der Bericht stellt zudem eine Verbindung zwischen privater Cyberhygiene und unternehmerischem Risiko her. 30 Prozent der Befragten gaben an, im vergangenen Jahr Opfer von Identitätsdiebstahl geworden zu sein, während nur 18 Prozent regelmäßig Datensicherungen durchführen und lediglich 10 Prozent für jedes Konto ein individuelles Passwort verwenden. Da sich private und berufliche Zugangsdaten häufig überschneiden, könne ein kompromittiertes privates Konto laut WatchGuard zum Einfallstor in Unternehmenssysteme werden.
Bemerkenswert: Die Umfrage findet kaum einen Zusammenhang zwischen Bildungsniveau, Berufserfahrung und sicherem Verhalten. Fast die Hälfte der Befragten ist zwischen 30 und 44 Jahre alt, und mehr als drei Viertel verfügen über einen Hochschulabschluss – dennoch sind Passwort-Wiederverwendung und Schatten-KI-Nutzung in dieser erfahrenen Gruppe ähnlich verbreitet. Die Autoren schließen daraus, dass erfahrene Beschäftigte eher dazu neigen, Umgehungslösungen zu entwickeln, die Bequemlichkeit über Compliance stellen.
Für IT-Verantwortliche empfehlen die Autoren des Berichts, Zugangsdatensicherheit als Infrastrukturaufgabe statt als reine Schulungsfrage zu behandeln: verpflichtende Einführung von Passwort-Managern, unternehmensweite MFA-Pflicht und formelle Richtlinien zur akzeptablen KI-Nutzung, die gemeinsam mit Rechts- und Compliance-Abteilungen erarbeitet werden. Zudem raten sie zu fortlaufenden Phishing-Simulationen statt jährlicher Schulungstermine sowie zur Ausweitung von Geräte- und Netzwerkrichtlinien – einschließlich Mobile Device Management, DNS-Filterung und permanent aktivem VPN – auf die hybriden Arbeitsumgebungen, in denen Beschäftigte heute tatsächlich tätig sind.
Der Bericht deutet dieselben Erkenntnisse auch als kommerzielle Chance für Managed Service Provider (MSPs): Anbieter, die das „menschliche Risiko“ eines Kunden beziffern und messbare Fortschritte – etwa eine sinkende Klickrate bei Phishing-Simulationen – nachweisen könnten, würden die Kundenbindung stärken. „Die Cybersicherheits-Herausforderung für KMU und mittelständische Unternehmen ist nicht mehr primär ein Technologieproblem, sondern ein Problem des menschlichen Verhaltens“, sagte Marc Laliberte, Head of Security Operations bei WatchGuard, im Schlusswort des Berichts. „Die Kontrollmechanismen, um diese Unternehmen zu schützen, existieren glücklicherweise bereits.“
Redaktioneller Hinweis: Die Befragung wurde von WatchGuard Technologies, einem Cybersicherheitsanbieter mit kommerziellem Interesse am Thema, in Auftrag gegeben und veröffentlicht. Alle Angaben beruhen auf Selbstauskünften der Befragten und wurden nicht unabhängig verifiziert.

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de