Präsentierten den Cybersecurity-Report: (v.l.) BSI-Präsidentin Plattner und TÜV-Präsident Fübi. Quelle: Susanne Harmsen
Der TÜV verzeichnet im aktuellen Cybersicherheitsbericht IT-Sicherheitsvorfälle in 15 Prozent der Firmen und fordert die rasche Umsetzung der NIS-2-Richtlinie durch die Bundesregierung.
Die Cybersicherheitslage in der deutschen Wirtschaft bleibt angespannt. Laut einer repräsentativen Studie des TÜV-Verbands mit Sitz in Berlin meldeten 15 Prozent der Unternehmen in den vergangenen zwölf Monaten mindestens einen erfolgreichen IT-Sicherheitsangriff. Basis ist eine Erhebung des Marktforschungsinstituts Ipsos unter 506 Unternehmen mit mindestens zehn Mitarbeitenden. Im Vergleich zur Vorgängerstudie vor zwei Jahren ist der Anteil gehackter Unternehmen damit um vier Prozentpunkte gestiegen.
„Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen“, sagte Michael Fübi, Präsident des TÜV-Verbands, bei der Vorstellung der „TÜV Cybersecurity Studie 2025“ in Berlin. Besonders besorgniserregend sei der zunehmende Einsatz von Künstlicher Intelligenz (KI) durch Angreifer.
Gerade die Energiewirtschaft mit eng verknüpften Netzen und der Steuerung in Schaltzentralen und Rechenzentren gehört zur Kritischen Infrastruktur auch in der Cybersicherheit. Mit dem Smart-Meter-Rollout und der Fernsteuerbarkeit von Erzeugern und Verbrauchern muss auch hier für hohe Sicherheitsstandards gesorgt werden. Fübi berichtete vom TÜV, dass man nicht auf eine, sondern mehrere Cloudlösungen verschiedener Anbieter setze, um jeweils Backups von Daten und Prozessen zu besitzen.
Mehr Geld in Sicherheit investierenTrotz der wachsenden Bedrohungslage sehen sich die Unternehmen selbst gut aufgestellt: 91 Prozent bewerten ihre Cybersicherheit als gut oder sehr gut. Gleichzeitig gaben 27 Prozent an, IT-Sicherheit spiele bei ihnen nur eine untergeordnete Rolle. Fübi mahnte, die Risiken nicht zu unterschätzen: „Unternehmen sollten Cybersicherheit ernst nehmen und dafür die notwendigen Ressourcen bereitstellen.“
Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner unterstützte den Appell. „Ein erfolgreicher Angriff ist immer teurer als die Vorsorgemaßnahmen“, sagte sie. Zudem müssten alle Betroffenen voneinander lernen. Vorfälle aus Scham zu verschweigen, spiele nur den Angreifern in die Hände, sagte Plattner. Daher sollten Unternehmen Vorfälle unbedingt melden. Sie hofft auf eine schnelle Umsetzung der Network and Information Security Directive (EU-NIS-2), die einheitliche Vorgaben einführt.
 |
Häufigste Angriffsarten auf Unternehmen -
Für Vollbild bitte auf die Grafik klicken
Quelle: TÜV-Cybersicherheitsreport 2025 |
Auch der TÜV-Verband fordert angesichts der Bedrohungslage eine klare gesetzliche Regulierung. Die NIS2-Richtlinie sieht für rund 30.000 Unternehmen aus sicherheitskritischen Branchen Mindestanforderungen an die Cybersicherheit vor. „Die Bundesregierung sollte das Gesetz zügig verabschieden“, forderte Fübi. Kritisch sei, dass bisher nur die Hälfte der Unternehmen nach eigener Aussage die Richtlinie überhaupt kennen. Das BSI wolle Unternehmen mit Informations- und Beratungsangeboten unterstützen, um die wirtschaftliche Resilienz zu stärken, versprach Plattner.
Zusätzlich zur NIS2-Richtlinie weist der TÜV-Verband auf den ebenfalls geplanten Cyber Resilience Act (CRA) hin, der ab 2027 Sicherheitsanforderungen für digitale Produkte regeln soll. Das BSI strebt im Rahmen des CRA die Übernahme der Marktüberwachung an. Unternehmen sehen zu 70 Prozent Normen und Standards als wichtig oder sehr wichtig an. Doch nur 22 Prozent setzen die relevanten Anforderungen vollständig um, weitere 53 Prozent zumindest teilweise.
Künstliche Intelligenz im KommenKI spielt zunehmend auf Seite der Angreifer eine Rolle: Jeder zweite IT-Sicherheitsverantwortliche berichtete von KI-gestützten Angriffen auf das eigene Unternehmen. In größeren Unternehmen mit über 250 Mitarbeitenden liegt dieser Anteil bei 81 Prozent. „Trotzdem nutzen bisher nur 10 Prozent der Unternehmen KI für die eigene Abwehr, weitere 10 Prozent planen den Einsatz“, bedauerte Fübi. Dabei stehen die frühzeitige Erkennung von Bedrohungen, die Analyse von Schwachstellen und automatisierte Reaktionen im Fokus.
Zur Abwehr setzen Unternehmen auf verschiedene Maßnahmen: 65 Prozent investierten in sichere Hardware, 59 Prozent ließen sich extern beraten, 53 Prozent schulten ihre Mitarbeitenden. Notfallübungen und Penetrationstests wurden dagegen nur in jeweils 22 Prozent der Unternehmen durchgeführt. Die Ausgaben für IT-Sicherheit gehen zurück: Nur 27 Prozent erhöhten zuletzt ihr Budget, vor zwei Jahren waren es noch 52 Prozent.
Der
TÜV Bericht Cybersecurity 2025 steht als PDF zum Download bereit.
Mittwoch, 11.06.2025, 15:18 Uhr
© 2025 Energie & Management GmbH
