Viele Unternehmen unterschätzen Security-Risiken

Eine aktuelle TÜV-Studie zeigt: Während ernstzunehmende IT-Sicherheitsvorfälle zunehmen, bewerten neun von zehn deutschen Unternehmen ihre Cybersicherheit als gut oder sehr gut. Nur die Hälfte der befragten Unternehmen kennt die NIS2-Richtlinie.

Ein Bild, das Computer, computer, Betriebssystem, Screenshot enthält. KI-generierte Inhalte können fehlerhaft sein.

Grundlage der Studienergebnisse ist eine repräsentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands (Grafik: TÜV-Verband)

Die Cybersicherheitslage in der deutschen Wirtschaft verschärft sich: 15 Prozent der Unternehmen verzeichneten in den vergangenen 12 Monaten nach eigenen Angaben einen IT-Sicherheitsvorfall. Dabei handelt es sich um erfolgreiche Cyberangriffe, auf die die Unternehmen aktiv reagieren mussten. Das ist das Ergebnis einer repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 506 Unternehmen ab 10 Mitarbeitenden. Im Vergleich zur Studie vor zwei Jahren ist der Anteil erfolgreich gehackter Unternehmen um vier Prozentpunkte gestiegen. "Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen", warnte Dr. Michael Fübi, Präsident des TÜV-Verbands, bei Vorstellung der "TÜV Cybersecurity Studie 2025" in Berlin. "Bei ihren Cyberattacken setzen die Angreifer verstärkt auf moderne Technologien wie Künstliche Intelligenz."

NIS2-Richtlinie – das unbekannte Wesen

Viele Unternehmen wiegen sich in Sicherheit und unterschätzen Risiken. Neun von zehn Unternehmen (91 Prozent) bewerten ihre Cybersicherheit als gut oder sehr gut. Und jedes vierte Unternehmen (27 Prozent) gibt an, dass IT-Sicherheit für sie nur eine kleine oder gar keine Rolle spielt. Fübi: "Unternehmen sollten Cybersicherheit ernst nehmen und dafür die notwendigen Ressourcen bereitstellen." Dennoch spricht sich eine Mehrheit für gesetzliche Vorgaben aus: 56 Prozent sind der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen.

Der Wunsch nach klaren Regeln – und damit Rechtssicherheit – wird konterkariert von der Bundesregierung, die in Sachen NIS2-Richtlinie nur langsam vorwärts kommt. "Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS2-Richtlinie zügig verabschieden", sagte Fübi. Die Regelung sieht gesetzliche Cybersicherheits- Mindestanforderungen für rund 30.000 in Deutschland ansässige Unternehmen vor. Kritisch: Laut der TÜV-Umfrage kennen bisher nur die Hälfte der Unternehmen die NIS2-Richtlinie. Hier wartet wohl auch auf Systemhäuser, Reseller und Berater viel Aufklärungsarbeit.

BSI-Präsidentin Claudia Plattner: "Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht. Verständlicherweise weisen Unternehmen darauf hin, dass regulatorische Vorgaben herausfordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen können. Richtig umgesetzt können sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen. Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation - und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet 'Cybersicherheit vor Bürokratie'. Das betrifft übrigens auch den Cyber Resilience Act (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebt."

Phishing häufigste Angriffsmethode

Laut den Ergebnissen der Umfrage ist die mit Abstand häufigste Angriffsmethode derzeit Phishing. 84 Prozent der betroffenen Unternehmen berichten von Phishing-Angriffen. Das sind 12 Prozentpunkte mehr als vor zwei Jahren. Ein Grund für den Anstieg ist der Einsatz Künstlicher Intelligenz. An zweiter Stelle stehen "sonstige Schadsoftware-Angriffe" (26 Prozent). Dabei handelt es sich um Malware, die meist sensible Daten abgreift. Ransomware-Angriffe (12 Prozent) und andere Methoden wie Passwort-Angriffe (12 Prozent) sind rückläufig.

Anteil der Schutzmaßnahmen

Die Unternehmen haben der TÜV-Befragung zufolge in der vergangenen 24 Monaten zahlreiche Maßnahmen ergriffen, um sich besser vor Cyberangriffen zu schützen. Hierzu zählen Investitionen in sichere Hardware (65 Prozent), Einführung neuer Cybersecurity-Software (48 Prozent), Beratung durch externe Experten (59 Prozent) oder Schulungen von Mitarbeitenden (53 Prozent). Jeweils 22 Prozent der befragten Unternehmen haben Notfallübungen oder Pentests durchgeführt. 27 Prozent der Unternehmen haben ihr Budget für die IT-Sicherheit erhöht.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden