Berlin, 11. Juni 2025 – Die Cybersicherheitslage in der deutschen Wirtschaft verschärft sich: 15 Prozent der Unternehmen verzeichneten in den vergangenen 12 Monaten nach eigenen Angaben einen IT-Sicherheitsvorfall. Dabei handelt es sich um erfolgreiche Cyberangriffe, auf die die Unternehmen aktiv reagieren mussten. Das ist das Ergebnis einer repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 506 Unternehmen ab 10 Mitarbeitenden. Im Vergleich zur Studie vor zwei Jahren ist der Anteil erfolgreich gehackter Unternehmen um 4 Prozentpunkte gestiegen. „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen“, sagte Dr. Michael Fübi, Präsident des TÜV-Verbands, bei Vorstellung der „TÜV Cybersecurity Studie 2025“ in Berlin. „Bei ihren Cyberattacken setzen die Angreifer verstärkt auf moderne Technologien wie Künstliche Intelligenz.“ Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen. Neun von zehn Unternehmen (91 Prozent) bewerten ihre Cybersicherheit als gut oder sehr gut. Und jedes vierte Unternehmen (27 Prozent) gibt an, dass IT-Sicherheit für sie nur eine kleine oder gar keine Rolle spielt. Fübi: „Unternehmen sollten Cybersicherheit ernst nehmen und dafür die notwendigen Ressourcen bereitstellen.“ Dennoch spricht sich eine Mehrheit für gesetzliche Vorgaben aus: 56 Prozent sind der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. „Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS2-Richtlinie zügig verabschieden“, sagte Fübi. „Die Regelung sieht gesetzliche Mindestanforderungen für die Cybersicherheit von rund 30.000 Unternehmen sicherheitskritischer Branchen vor.“ Kritisch sei, dass laut Umfrage bisher nur die Hälfte der Unternehmen die NIS2-Richtlinie kennen.
BSI-Präsidentin Claudia Plattner: „Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht. Verständlicherweise weisen Unternehmen darauf hin, dass regulatorische Vorgaben herausfordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen können. Richtig umgesetzt können sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen. Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation – und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet ‚Cybersicherheit vor Bürokratie‘. Das betrifft übrigens auch den Cyber Resilience Act (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebt.“
Phishing die mit Abstand häufigste Angriffsmethode
Laut den Ergebnissen der Umfrage ist die mit Abstand häufigste Angriffsmethode derzeit Phishing: In der Regel handelt es sich dabei um E-Mails, die zu einer Schadsoftware führen. 84 Prozent der betroffenen Unternehmen berichten von Phishing-Angriffen – 12 Prozentpunkte mehr als vor zwei Jahren. Ein Grund für den Anstieg ist der Einsatz Künstlicher Intelligenz. „Mit Hilfe der gängigen KI-Systeme können Phishing-Mails personalisiert, Texte perfekt formuliert oder auch Sprachnachrichten gefälscht werden“, sagte Fübi. An zweiter Stelle stehen „sonstige Schadsoftware-Angriffe“ (26 Prozent). Dabei handelt es sich um so genannte Malware, die zum Beispiel dazu dient, sensible Daten abzugreifen. Wie die Schadsoftware in das IT-System eines Unternehmens gelangt, lässt sich nicht immer nachvollziehen. Ransomware-Angriffe (12 Prozent) und andere Methoden wie Passwort-Angriffe (12 Prozent) sind rückläufig. Bei Ransomware-Attacken werden sensible Daten verschlüsselt oder gestohlen. Dann wird das Management erpresst. „Ransomware-Angriffe bleiben ein großes Problem für die Wirtschaft“, sagte Fübi. „Aber viele Unternehmen haben sich besser auf Ransomware eingestellt, vor allem, wenn es um die Sicherung ihrer Daten geht.“
Eine wichtige Rolle spielt Künstliche Intelligenz sowohl bei Angriffen als auch bei ihrer Abwehr. Jeder zweite IT-Sicherheitsverantwortliche beobachtet Cyberangriffe im Unternehmen, die mit Hilfe von KI erfolgt sind (51 Prozent). In großen Unternehmen ab 250 Mitarbeitenden liegt der Wert bei 81 Prozent. Nach Ansicht von 82 Prozent der Befragten ermöglicht es KI den Angreifern, gezielt Schwachstellen in den IT-Systemen ihres Unternehmens auszunutzen. Und 89 Prozent stimmen der Aussage zu, dass KI dazu beiträgt, Angriffe effizienter und zielgerichteter durchzuführen. Auf der anderen Seite nutzen erst 10 Prozent der Unternehmen KI für die Abwehr von Cyberangriffen, weitere 10 Prozent planen den Einsatz – vor allem, um Bedrohungen besser zu erkennen (70 Prozent), Anomalien in Datenbeständen und Datenströmen zu identifizieren (59 Prozent), Schwachstellen zu analysieren (58 Prozent) oder automatisiert auf Angriffe zu reagieren (51 Prozent).
Mit diesen Maßnahmen schützen sich Unternehmen
Die Unternehmen haben in der vergangenen 24 Monaten zahlreiche Maßnahmen ergriffen, um sich besser vor Cyberangriffen zu schützen. Hierzu zählen Investitionen in sichere Hardware (65 Prozent), Einführung neuer Cybersecurity-Software (48 Prozent), Beratung durch externe Expert:innen (59 Prozent) oder Schulungen der Mitarbeitenden (53 Prozent). „Sehr wichtig sind Notfallübungen, um Abläufe für den Ernstfall einzuüben, und Pentests, mit denen technische Schwachstellen im eigenen Unternehmen ausfindig gemacht werden können“, sagte Fübi. Jeweils 22 Prozent der befragten Unternehmen haben Notfallübungen oder Pentests durchgeführt. 27 Prozent der Unternehmen haben ihr Budget für die IT-Sicherheit erhöht. Zum Vergleich: Vor zwei Jahren waren es noch 52 Prozent. Fübi: „Die Ausgaben für Cybersicherheit müssen mit den steigenden Anforderungen Schritt halten.“
Ein wichtiges Instrument sind Normen und Standards. Sie geben vor, was Unternehmen technisch und organisatorisch tun müssen, um ihre Cybersicherheit zu verbessern. Für 70 Prozent der Befragten sind Normen und Standards wichtig oder sehr wichtig, um den Schutz vor Cyberangriffen stetig zu verbessern. In der Umfrage geben 22 Prozent an, bestimmte Normen und Standards für die IT-Sicherheit vollständig zu erfüllen. Weitere 53 Prozent orientieren sich zumindest daran, setzen diese aber nur teilweise um. „Normen und Standards helfen Unternehmen dabei, die Cybersicherheit auf ein höheres Level zu bringen und diese fest in einer Organisation zu verankern“, betonte Fübi.
Handlungsbedarf bei Politik und Wirtschaft
Aus Sicht des TÜV-Verbands besteht angesichts der technischen und geopolitischen Entwicklungen die Notwendigkeit, das Sicherheitsniveau in der Wirtschaft auch mit Hilfe gesetzlicher Vorgaben zu erhöhen. Diese Ansicht teilt die Mehrheit der befragten Sicherheitsverantwortlichen: 55 Prozent sagen, dass strengere gesetzliche Vorgaben für die Cybersecurity von Unternehmen das Internet sicherer machen. Die europäische Network and Information Security Directive (NIS2-Richtlinie) legt Mindestanforderungen für Unternehmen in 18 sicherheitskritischen Branchen wie Energie, Gesundheit, Transport oder digitalen Diensten fest. Allerdings hinkt Deutschland bei der Umsetzung wegen des Regierungswechsels hinterher. „Die neue Bundesregierung muss jetzt handeln und das nationale Umsetzungsgesetz zügig verabschieden“, sagte Fübi. „Fatal ist, dass bisher nur die Hälfte der Unternehmen die NIS2-Richtlinie kennt. Hier ist noch viel Aufklärungsarbeit notwendig.“ Die Unternehmen sollten sich frühzeitig mit der anstehenden Regulierung auseinandersetzen. Darüber hinaus müsse auch der Cyber Resilience Act (CRA) wie vorgesehen ab Ende 2027 umgesetzt werden. Die EU-Verordnung sieht IT-Sicherheitsanforderungen für Hardware- und Software-Produkte vor, die digitale Komponenten enthalten und digital vernetzt sind.
Methodik-Hinweis: Grundlage der Studienergebnisse ist eine repräsentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands unter 506 Unternehmen ab 10 Mitarbeitenden in Deutschland. Befragt wurden Verantwortliche für IT-Sicherheit, darunter leitende Cybersecurity-Expert:innen, IT-Leiter und Mitglieder der Geschäftsleitung.
