Die hybride Bedrohungslage verschärft sich: Staatliche und kriminelle Hacker attackieren gezielt Kritische Infrastrukturen, Unternehmen und staatliche Stellen. Besonders betroffen sind die Energieversorgung, das Gesundheitswesen und die Verteidigungsindustrie. Phishing, Erpressung, Datendiebstahl – die Angriffe werden raffinierter, häufig auch mit dem Einsatz von KI. Die neue TÜV Cybersecurity Studie zeigt: Zwar ist das Problembewusstsein gewachsen, doch viele Unternehmen sind unzureichend vorbereitet. Die Mehrheit fordert daher klare gesetzliche Vorgaben und mahnt eine zügige Umsetzung der NIS-2-Richtlinie an.
Die wichtigsten Studienergebnisse auf einen Blick
- IT-Sicherheitsvorfälle nehmen zu: 15 Prozent der Unternehmen sind 2024 Opfer eines Cyberangriffs geworden – das ist ein Anstieg um 4 Prozentpunkte im Vergleich zur TÜV Cybersecurity Studie 2023. Besonders häufig: Phishing (84 Prozent).
- KI wird zur Waffe – aber nicht zur Verteidigung: Die Hälfte der Unternehmen (51 Prozent) vermutet KI-gestützte Angriffe, doch nur 10 Prozent nutzen selbst KI zur Abwehr – etwa zur Anomalie-Erkennung oder automatisierten Reaktion.
- Lieferketten als Einfallstor: 10 Prozent der Unternehmen wurden über Zulieferer oder Kunden attackiert. Zwar stellen 32 Prozent Sicherheitsanforderungen an Partner – eine echte Auditierung ist allerdings selten.
- Cybersicherheitsniveau wird überschätzt: 91 Prozent der Unternehmen halten sich für „gut geschützt“ – trotz steigender Angriffszahlen und unzureichender technischer Abwehr.
- Normen geben Orientierung – werden aber selten voll umgesetzt: 70 Prozent halten sie für wichtig, aber nur 22 Prozent setzen sie konsequent um.
- Mehrheit fordert Regulierung: 56 Prozent sprechen sich für gesetzliche Cybersecurity-Pflichten aus. Dennoch kennt nur die Hälfte der Befragten die NIS2-Richtlinie – ein gefährlicher Blindspot.
Politische Empfehlungen des TÜV-Verbands
Cybersicherheit voranbringen – der Auftrag für die neue Bundesregierung
Das neu geschaffene Bundesministerium für Digitales und Staatsmodernisierung (BMDS) und das Bundesinnenministerium müssen Cybersicherheit priorisieren und das Thema in die übergeordnete Sicherheitsstrategie der Bundesregierung eingebunden werden. Die Kompetenzen und Zuständigkeiten zwischen den Ministerien und dem BSI müssen klar geregelt, die Cybersicherheitsagenda aktualisiert und Förderprogramme neu ausgerichtet werden.Cybersecurity-Regulierung zügig umsetzen und so das Schutzniveau erhöhen
Bei der Umsetzung der europäischen NIS2-Richtlinie ist Deutschland stark in Verzug. Die Bundesregierung muss das nationale Umsetzungsgesetz zügig auf den Weg bringen. Der Cyber Resilience Act (CRA) gilt als EU-Verordnung erst ab Dezember 2027 und muss wie geplant umgesetzt werden. Jetzt geht es darum, das Schutzniveau zu erhöhen und Staat, Wirtschaft und Zivilgesellschaft widerstandfähiger gegen kriminelle und staatliche Cyberangriffe zu machen. Richtig ist, die Qualität, Praxistauglichkeit und Effektivität gesetzlicher Anforderungen zu verbessern – ohne dabei das Schutzniveau zu gefährden.
Empfehlungen für Unternehmen
- Cyberrisiken ernst nehmen
Unternehmen sollten eine qualifizierte Risikoanalyse durchführen und diese angesichts des dynamischen technologischen und geopolitischen Umfelds regelmäßig aktualisieren. Was ist besonders zu schützen? Welche Bedrohungen gibt es? Was sind potenzielle Schwachstellen im Unternehmen? Diese und weitere Fragen gilt es zu beantworten. Je nach Größe, Branche und Tätigkeitsgebiet können Cyberrisiken sehr unterschiedlich bewertet werden. - Cybersecurity-Strategie entwickeln
Übergeordnetes Ziel der Strategie ist es, ein angemessenes Sicherheitslevel für das jeweilige Unternehmen zu definieren. Bestandteil dessen sollte eine IT-Sicherheitsrichtlinie sein. In dieser werden messbare Ziele definiert, konkrete Sicherheitsanforderungen festgelegt und klare Verantwortlichkeiten geschaffen. Sie ist die Basis für die Maßnahmenplanung. - Maßnahmenplan ausarbeiten
Auf Grundlage der Risikoanalyse und strategischer Überlegungen sollten konkrete Maßnahmen festgelegt werden.
