pek - stock.adobe.com
Viele Unternehmen stufen sich selbst als sicher ein
Mit der NIS2-Richtlinie soll flächendeckend die Sicherheit von Unternehmen und damit auch Bürgern verbessert werden. Viele Unternehmen kennen diese Regulierung bislang nicht.
Das ist eines der Ergebnisse der TÜV Cybersecurity Studie 2025. Für Studie wurden 506 Unternehmen ab zehn Mitarbeitenden in Deutschland befragt. Bei den Befragten handelte es sich um IT-Sicherheitsverantwortliche, Security-Experten, IT-Leiter und Mitglieder der Geschäftsführung.
Und diese befragten Unternehmen bewerten ihre eigene Cybersicherheit als eher gut bis sehr gut. Rund 90 Prozent der Befragten halten ihr eigenes Unternehmen für gut geschützt. Und diese Wahrnehmung erstreckt sich über alle teilnehmenden Unternehmensgrößen. Das Normen und Standards in Sachen Cybersicherheit eine wichtige Rolle spielen, wird von den meisten Unternehmen so gesehen. So befürwortet die Mehrheit gesetzliche Regelungen in Sachen Cybersicherheit. Etwas schwerer fällt es den Teilnehmern einzuordnen, welche Regelungen und Standards für das eigene Unternehmen relevant sind.
Geht es um die Widerstandsfähigkeit von Unternehmen soll die NIS2-Richtlinie beispielsweise eine deutliche Verbesserung bringen. In Deutschland sind voraussichtlich knapp 30.000 Unternehmen von der NIS2-Richtlinie betroffen. Verbessert sich deren Cybersicherheit und Resilienz, bedeutet das aufgrund der entsprechenden Sektoren für die gesamte Bevölkerung ein Plus an Sicherheit. Nun mag die Richtlinie an Security-Stammtischen seit langer Zeit ein geläufiges Gesprächsthema sein, bei einem etwas weiter gefassten Publikum offensichtlich nicht. In der Studie gaben 50 Prozent der Befragten an, die NIS2-Richtlinie nicht zu kennen. Kein wirklich beruhigendes Ergebnis (siehe auch Kostenloses E-Handbook: NIS2 - Was Unternehmen wissen müssen).
„Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht. Verständlicherweise weisen Unternehmen darauf hin, dass regulatorische Vorgaben herausfordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen können. Richtig umgesetzt können sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen.“, so BSI-Präsidentin Claudia Plattner.
Apropos Standards, ein Drittel der befragten Unternehmen lässt die Einhaltung von entsprechenden Regulierungen durch unabhängige Stellen überprüfen.
Wie sich Unternehmen schützen
Wie eingangs erwähnt, sehen sich die Unternehmen selbst relativ gut geschützt. Als Maßnahmen zur Verbesserung der IT-Sicherheit, die man in den letzten zwei Jahren ergriffen habe, zählen die Erhöhung des Security-Budgets sowie die Einstellung von entsprechenden IT-Experten.
Geht es um konkrete Maßnahmen so nennen die Unternehmen als wichtige Aktionen die Außerbetriebnahme veralteter Geräte (65 Prozent), die Anschaffung neuer Hardware (61 Prozent) sowie die Einführung neuer Software für Cybersicherheit (48 Prozent).
Apropos Hardware-Sicherheit, die Mehrheit (75 Prozent) der Unternehmen erfasst automatisch alle IT- und Kommunikationsgeräte. Eine regelmäßige Suche nach Altgeräten führen 43 Prozent der Unternehmen durch.
Betrachtet man nicht registrierte IT, die Probleme verursacht, dann nennen 55 Prozent der Unternehmen Smartphones, Tablets, Router und IoT-Geräte. Weitere Problemfelder sind Anwendungen und Browser-Erweiterungen sowie Online-Dienste und Cloud-Anwendungen.
Im Hinblick auf die Verbesserung des notwendigen Know-hows nennen 59 Prozent der Befragten die Beratung durch externe Fachexperten. Und 53 Prozent schulen die Mitarbeitenden, die nicht direkt mit der IT verbunden sind, entsprechend. Als weitere Maßnahmen werden Informationsaustausch, spezielle Fortbildungen für die IT und strategische Allianzen und Partnerschaften genannt.
Themen mit Nachholbedarf sind offensichtlich Penetrationstests sowie Notfallübungen. Hier geben jeweils nur 22 Prozent der Befragten an, diese Maßnahmen durchzuführen. „Sehr wichtig sind Notfallübungen, um Abläufe für den Ernstfall einzuüben, und Pentests, mit denen technische Schwachstellen im eigenen Unternehmen ausfindig gemacht werden können“, so Dr. Michael Fübi, Präsident des TÜV-Verbands.
Phishing ist die häufigste Angriffsmethode
Innerhalb der letzten zwölf Monate haben 15 Prozent der befragten Unternehmen einen Sicherheitsvorfall verzeichnet. Und die Hälfte dieser Unternehmen hat mehr als einen Vorfall registriert.
Viele Angriffe beginnen mit einer Mail, also Phishing oder Spear Phishing. Dies ist mit 84 Prozent der Nennungen die häufigste Angriffsmethode. Häufig ist die Art des Angriffs ja auch nur der Einstieg für einen weiteren Angriff. So werden Passwort- und Ransomware-Angriff als nächsthäufige Angriffsmethoden genannt.
Geht es um die Bewertung der Folgen der Angriffe, so geben 65 Prozent der betroffenen Unternehmen an, den Vorfall ohne Schaden überstanden zu haben. Sechs Prozent der Unternehmen spricht von einem eher schweren Schaden und ein Prozent ordnet diese als existenzbedrohend ein.
Bei der Bewältigung eines Sicherheitsvorfalls gibt die Mehrheit der Unternehmen (76 Prozent an), dies mit eigenen Ressourcen geschafft zu haben. Lediglich 25 Prozent der Befragten haben externe Spezialisten hinzugezogen.
Die vollständige Studie TÜV Cybersecurity Studie 2025 lässt sich beim TÜV Verband einsehen.
