Cybersicherheit der deutschen Wirtschaft: Bedrohungslage steigt

Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen vorgestellt. Die Ergebnisse sind laut BSI in zweifacher Hinsicht besorgniserregend: Zum einen konnte ein Anstieg der Bedrohungslage verzeichnet werden, zum anderen zeigen die Umfrageergebnisse, dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten. Das BSI warnt vor trügerischer Sicherheit.

Eine TÜV-Studie zur Cybersicherheit der deutschen Wirtschaft: Die Bedrohungslage steigt, aber Unternehmen wiegen sich in trügerischer Sicherheit.
Bild: Clipdealer

Zudem gab nur etwa die Hälfte der Befragten an, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu kennen. Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht, die aufgrund der vorgezogenen Neuwahlen in Deutschland bisher nicht erfolgt ist, wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie "wesentliche" (essential entities) und "wichtige" Einrichtungen (important entities) ergeben sich erstmals gesetzliche Pflichten.

Dr. Michael Fübi, Präsident des TÜV-Verbands: „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen. Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen. Neun von zehn (91 %) bewerten ihre Cybersicherheit als gut oder sehr gut. Und jedes vierte Unternehmen (27 %) gibt an, dass IT-Sicherheit für sie nur eine kleine oder gar keine Rolle spielt. Eine Mehrheit spricht sich für gesetzliche Vorgaben aus, um das Schutzniveau in der Wirtschaft zu erhöhen: 56 % sind der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS2-Richtlinie zügig verabschieden.“

Die wichtigsten Studienergebnisse auf einen Blick

• IT-Sicherheitsvorfälle nehmen zu: 15 % der Unternehmen sind 2024 Opfer eines Cyberangriffs geworden – das ist ein Anstieg um 4 Prozentpunkte im Vergleich zur TÜV Cybersecurity Studie 2023. Besonders häufig: Phishing (84 %).
• KI wird zur Waffe – aber nicht zur Verteidigung: Die Hälfte der Unternehmen (51 %) vermutet KI-gestützte Angriffe, doch nur 10 % nutzen selbst KI zur Abwehr – etwa zur Anomalie-Erkennung oder automatisierten Reaktion.
• Lieferketten als Einfallstor: 10 % der Unternehmen wurden über Zulieferer oder Kunden attackiert. Zwar stellen 32 % Sicherheitsanforderungen an Partner – eine echte Auditierung ist allerdings selten.
• Cybersicherheitsniveau wird überschätzt: 91 % der Unternehmen halten sich für „gut geschützt“ – trotz steigender Angriffszahlen und unzureichender technischer Abwehr.
• Normen geben Orientierung – werden aber selten voll umgesetzt: 70 % halten sie für wichtig, aber nur 22 % setzen sie konsequent um.
• Mehrheit fordert Regulierung: 56 % sprechen sich für gesetzliche Cybersecurity-Pflichten aus. Dennoch kennt nur die Hälfte der Befragten die NIS2-Richtlinie – ein gefährlicher Blindspot.

BSI-Präsidentin Claudia Plattner: „Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht. Verständlicherweise weisen Unternehmen darauf hin, dass regulatorische Vorgaben herausfordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen können. Richtig umgesetzt können sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen.“