Der TÜV-Verband warnt: Viele Unternehmen – insbesondere kleinere – überschätzen ihre Widerstandsfähigkeit im Bereich der Cybersicherheit. Eine Strategie wird von Angreifern aktuell besonders häufig verwendet.
Angesichts zunehmender Cyberangriffe sind viele Unternehmen nach Einschätzung von Experten nicht ausreichend geschützt. "Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen", sagte Michael Fübi, Präsident des TÜV-Verbands, zu den Ergebnissen einer repräsentativen Studie. "Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen", warnte er. Dies gelte speziell für kleine Unternehmen.
15 Prozent der Unternehmen Opfer von Cyberangriffen
Wie die gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellte Studie zeigt, sind 2024 insgesamt 15 Prozent der Unternehmen Opfer eines erfolgreichen Cyberangriffs geworden. Das sind vier Prozentpunkte mehr als 2023. Dabei kam es besonders häufig (84 Prozent) zu Phishing-Angriffen. Bei ihnen wird versucht, sich mit gefälschten E-Mails oder Websites persönliche Daten wie Passwörter oder Kreditkartennummern zu verschaffen. Daneben gibt es auch Angriffe durch Schadsoftware. Dabei setzen die Angreifer verstärkt auf KI.
BSI warnt vor Wunschdenken bei eigener Sicherheit
Insgesamt bewerten rund 90 Prozent der befragten Unternehmen ihre eigene Cybersicherheitslage als gut oder sehr gut. Für BSI-Präsidentin Claudia Plattner ist dies allerdings "reines Wunschdenken". Gerade bei kleinen Unternehmen zeige sich im Rahmen der Cyber-Risiko-Checks, dass die Hälfte der geprüften Unternehmen die Anforderungen nicht erfüllen. Dabei verglich sie den Cyber-Risiko-Check mit dem "Seepferdchen" – ein Schwimmzeichen, mit dem man nachweise, gerade mal an den Beckenrand zu kommen.
Unternehmen sollten Risikoanalysen durchführen
Nach Ansicht Fübis sollte jedes Unternehmen eine entsprechende Risikoanalyse durchführen. Dabei gehe es nicht nur um die Frage, wie hoch das Risiko eines Cyberangriffes und einer möglichen Betriebsunterbrechung sei. Dabei gehe es auch um die Frage der Datensicherheit von Kundendaten. Mit Blick auf die Sicherheit von Kundendaten in einer Cloud sagte Fübi, gerade für kleinere Unternehmen mit weniger Ressourcen könne dies ein Weg sein, die Risiken zu minimieren. Plattner betonte, dass Daten grundsätzlich verschlüsselt sein sollten und auch immer Backups erstellt werden sollten.
BSI: "NIS-2" noch wenig bekannt
Überrascht zeigten sich Fübi und Plattner, dass nur etwa die Hälfte der befragten IT-Verantwortlichen, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) kennen. Umso wichtiger sei ihre zügige Umsetzung in nationales Recht. Dabei laute das Credo des BSI: "Cybersicherheit vor Bürokratie". Das Amt werde sich für eine bürokratiearme Umsetzung einsetzen und den Unternehmen weiterhin mit Informations- und Beratungsangeboten zur Seite stehe. Dies gelte auch für den "Cyber Resilience Act". Dieser gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor.