Umfrage durch TÜV Rheinland und Einschätzung des BSI: IT-Sicherheitslage in Deutschland verschärft sich
18. Dezember 2024
Die IT-Sicherheitslage in Deutschland verschärft sich weiter. Das zeigt eine Umfrage unter Fachleuten für Cybersecurity, die TÜV Rheinland anlässlich des Internationalen Tages für Computersicherheit am 30. November in Auftrag gegeben hat. Zudem bewertet das BSI die Lage als angespannt.
In der von Civey im Oktober 2024 durchgeführten Online-Umfrage geben neun von zehn Befragten (90,2 Prozent) an, dass die Gefahr von Cyber-Angriffen für Unternehmen und Institutionen in Deutschland in den vergangenen zwölf Monaten zugenommen hat. Befragt wurden deutschlandweit rund 1.000 Personen, die im Bereich Cyber-Sicherheit tätig sind.
Diese Einschätzung bestätigt der Bericht zur Lage der IT-Sicherheit in Deutschland, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte November 2024 veröffentlicht hat: Das BSI schätzt die Situation als „angespannt“ ein, auch wenn es eine Verbesserung in der Resilienz gegenüber Cyber-Angriffen sieht. Anders gesagt: Es stellt sich längst nicht mehr die Frage, ob ein Unternehmen Opfer eines Cyber-Angriffs wird, sondern wann und wie sich mögliche Schäden durch Cyberangriffe durch vorbeugende Maßnahmen verringern lassen.
Veraltete Infrastruktur und mangelnde Vorbereitung als Herausforderungen
TÜV Rheinland ließ ebenfalls danach fragen, welches die größten Herausforderungen für die Gewährleistung von Cyber-Sicherheit in Unternehmen und Institutionen sind. Dabei sticht ein Aspekt hervor: Die ausgemachten Herausforderungen lassen sich nicht auf wenige, einzelne reduzieren. Die „Steigende Zahl von Angriffen“ (39,2 Prozent), „Veraltete IT-Infrastruktur“ (38,9 Prozent) und „Mangelnde Vorbereitung gegen Cyber-Angriffe“ (36,3 Prozent) werden von den Befragten am häufigsten genannt.
Ähnlich herausfordernd werden die „Wachsende Komplexität von IT-Systemen“ (35,3 Prozent), der „Fachkräftemangel im IT-Bereich“ (34,7 Prozent) und „KI-unterstützte Hacker-Angriffe“ (32,3 Prozent) wahrgenommen. Mangelnde Budgets sind hingegen nur für jeden Fünften (21,9 Prozent) eine Herausforderung. Einerseits haben die meisten Verantwortlichen offenbar erkannt, dass man an Cybersecurity nicht sparen sollte – andererseits ist es besorgniserregend, dass jeder Dritte die Unternehmen schlecht vorbereitet auf Cyber-Angriffe sieht.
Handlungsdruck durch neue Regulierungen
Zur Bedrohungslage kommen Veränderungen auf Ebene der Regulierung hinzu. So führt die „Network and Information Security Directive 2“ (NIS-2-Richtlinie) der Europäischen Union strengere Vorschriften zur Cyber-Sicherheit für mehr Sektoren und Unternehmen ein. Ab März 2025 müssen damit Unternehmen ab 50 Mitarbeitenden und mit mehr als 10 Millionen Euro Umsatz in 18 Sektoren verstärkte Cybersecurity-Maßnahmen umsetzen. Das Ziel: der Schutz von essentiellen, wichtigen Sektoren und (kritischen) Infrastrukturen sowie eine höhere Widerstandsfähigkeit gegenüber Cyber-Angriffen.
Ebenfalls auf der Regulierungsebene setzt der Cyber Resilience Act an. Hiermit führt die Europäische Union verbindliche Cyber-Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ ein. Das Ziel auch hier: die Widerstandsfähigkeit gegen Cyber-Angriffe zu erhöhen und verlässliche digitale Dienste zu gewährleisten.
Insgesamt führen die steigenden Risiken durch Cyber-Angriffe verbunden mit den neuen regulatorischen Anforderungen dazu, dass der Handlungsdruck in den Unternehmen steigt. Die weltweit mehr als 250 Cybersecurity-Fachleute von TÜV Rheinland unterstützen dabei sowohl mit klassischen Cybersecurity-Dienstleistungen wie dem Pentesting, als auch bei der regelkonformen Umsetzung der Regulierungen. (rhh)
