Cyber-GAU: Deutsche Firmen in Gefahr?: Cybersicherheit: TÜV-Studie entlarvt fatale Irrtümer
Die Bedrohungslage im Cyberraum verschärft sich – doch viele Unternehmen glauben weiterhin, gut geschützt zu sein. Eine neue Studie des TÜV-Verbands in Zusammenarbeit mit dem BSI zeigt: Es mangelt nicht nur an Resilienz, sondern auch am Risikobewusstsein. Besonders alarmierend: Nur etwa die Hälfte der Unternehmen kennt die bevorstehenden Pflichten aus der NIS-2-Richtlinie.
Fast täglich erreichen uns Nachrichten über Ransomware-Angriffe, Industriespionage oder Angriffe auf kritische Infrastrukturen. Die neue TÜV-BSI-Studie zur Cybersicherheit der deutschen Wirtschaft zeigt jedoch: 91 Prozent der befragten Unternehmen bewerten ihre IT-Sicherheit als gut oder sehr gut – obwohl die tatsächliche Bedrohungslage deutlich zugenommen hat.
„Ein gefährlicher Trugschluss“, warnt TÜV-Präsident Dr. Michael Fübi. Denn trotz wachsender Angriffsfläche gibt mehr als jedes vierte Unternehmen an, IT-Sicherheit spiele kaum eine Rolle. Gerade in Zeiten zunehmender digitaler Vernetzung und geopolitischer Spannungen sei das „eine riskante Selbsttäuschung“, so Fübi.
NIS-2: Pflichten für 29.000 Unternehmen – kaum bekannt
Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) kommen auf viele Unternehmen erstmals verbindliche Anforderungen an ihre IT-Sicherheit zu – doch nur rund die Hälfte kennt die Richtlinie überhaupt. Betroffen sind künftig ca. 29.000 Organisationen, die als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Dazu zählen etwa Energieversorger, Gesundheitsdienstleister, Logistikfirmen oder größere Industrieunternehmen.
Die nationale Umsetzung der Richtlinie ist durch die politischen Umstände ins Stocken geraten. Das BSI soll künftig Aufsichtsbehörde für alle betroffenen Sektoren werden. Für bereits regulierte Kritische Infrastrukturen bleibt vieles gleich – für Tausende Unternehmen jedoch beginnt ein neues Kapitel der regulatorischen Verantwortung.
Zwischen Wunsch nach Sicherheit und Angst vor Bürokratie
Die Mehrheit der Unternehmen sieht gesetzliche Vorgaben grundsätzlich positiv: 56 Prozent fordern verpflichtende Maßnahmen für alle Betriebe, um das allgemeine Schutzniveau zu heben. Gleichzeitig äußern viele die Sorge vor zu viel Bürokratie.
BSI-Präsidentin Claudia Plattner setzt deshalb auf Kooperation statt Kontrolle: „Cybersicherheit darf nicht in bürokratischer Überforderung enden. Unser Anspruch ist es, Unternehmen zu unterstützen – mit klaren Vorgaben, aber auch mit praktischer Hilfe.“ Das gelte auch für den Cyber Resilience Act (CRA), der europaweit einheitliche Mindeststandards für vernetzte Produkte einführt.
Mit der vom BSI entwickelten Technischen Richtlinie TR-03183 sollen Hersteller und Anbieter künftig besser verstehen, welche Anforderungen an Cybersicherheit für Hard- und Softwareprodukte gelten – von der Entwicklung bis zur Markteinführung.
Fazit: Realität anerkennen, Resilienz stärken
Die TÜV-BSI-Studie offenbart eine gefährliche Diskrepanz: Die Bedrohung nimmt zu, das Sicherheitsgefühl bleibt hoch – oft unbegründet. Während kriminelle und staatliche Akteure ihre Taktiken professionalisieren, fehlt vielen Unternehmen der Blick für das eigene Risikoprofil.
Der Weg zur digitalen Resilienz führt über mehr als nur Technik: Es braucht verbindliche Standards, verankertes Sicherheitsbewusstsein und aktive Unterstützung durch Behörden und Verbände. Denn wer heute glaubt, ausreichend geschützt zu sein, könnte morgen zum nächsten Ziel werden.
Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin, präsentieren eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen.
