Sicherheit

Angespannt bis kritisch: Die Cybersicherheitslage in Deutschland

Der Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) macht deutlich: Die Bedrohung durch Cyberangriffe in Deutschland ist so hoch wie nie zuvor. Der russische Angriffskrieg gegen die Ukraine sowie die Entwicklung neuer Technologien wie Künstliche Intelligenz (KI) verschärfen die Situation zunehmend. Der TÜV-Verband fordert daher seit Jahren eine Nachschärfung der gesetzlichen Vorgaben, um die Cybersicherheit von Staat, Unternehmen, Organisationen und Verbraucher:innen zu gewährleisten. „Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cybersicherheit notwendig“, sagt Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband. „Dazu gehört zum Beispiel der Cyber Resilience Act, der Standards für vernetzte Produkte schafft, um die Widerstandsfähigkeit von Systemen gegen Cyberangriffe zu stärken. Hier kommt es jetzt auf eine zügige Umsetzung an.“ Gesetzliche Vorgaben und Regulierungen helfen zudem, die Geschäftsleitungen für das Thema zu sensibilisieren.

Die meisten Unternehmen schweigen über IT-Sicherheitsvorfälle

Cyberangriffe sind eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe die größte Bedrohung dar. Dies zeigen auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder der Angriff auf die Hotelkette MotelOne. Die Folgen solcher Cyberangriffe reichen von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitenden bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung von personenbezogenen Daten.

82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim. Das ergab eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands, bei der rund 500 Unternehmen befragt wurden. Nur 15 Prozent der Unternehmen informierten die Öffentlichkeit über den Vorfall, 4 Prozent davon, weil sie gesetzlich dazu verpflichtet sind. Dies ist zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen gaben an, dass sie es vermeiden, einen Cybersicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchten (74 Prozent). Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cybersicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.

Transparenz schärft Bewusstsein für Cyberangriffe

Den meisten Unternehmen fehlt es an Transparenz, wenn sie Opfer eines Cyberangriffs geworden sind. Dabei kann Transparenz sogar zur Cybersicherheit beitragen. Das Publikmachen solcher Angriffe zeigt anderen Betroffenen, dass Cyberattacken ein weit verbreitetes Phänomen sind. „Täter und Opfer werden in der Wahrnehmung oft vertauscht“, so Fliehe, „auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyberangriffs werden.“ Transparenz könne hier ein Umdenken bewirken. „Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hacker:innen werden“, so Fliehe. „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cybersicherheitsvorfällen selbstverständlich ist.“

Aufklärung hilft dabei, Hacker:innnen zuvorzukommen

Cybersicherheit ist nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Expert:innen beraten lassen. Auch Praxistests werden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Fliehe: „Wichtig ist es, alle Mitarbeiter:innen gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.“

Im Ernstfall kommt es auf die Vorbereitung an

Neben der Prävention von Cyberangriffen ist es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, muss bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, sagt Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden.“ Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.

Die TÜV-Unternehmen leisten einen aktiven Beitrag dazu, die Cybersicherheit von Staat, Wirtschaft, Wissenschaft und Verbraucher:innen zu erhöhen. Sie bieten vielfältige Angebote begleiten ihre Kunden in allen Phasen des Cybersicherheitszyklus‘. Mehr Informationen zu den cybersicherheitsrelevanten Dienstleistungen der TÜV-Unternehmen gibt es hier.

Methodik-Hinweis: Grundlage der Angaben ist eine repräsentative bundesweite Befragung des Marktforschungsunternehmens Ipsos GmbH im Auftrag des TÜV-Verbands. Für die Studie wurden 501 Unternehmen zwischen dem 31. Januar und 03. März 2023 in Form einer telefonischen CATI-Befragung interviewt.

Über den TÜV-Verband e.V.

Als TÜV-Verband e.V. vertreten wir die politischen Interessen der TÜV-Prüforganisationen und fördern den fachlichen Austausch unserer Mitglieder. Wir setzen uns für die technische und digitale Sicherheit sowie die Nachhaltigkeit von Fahrzeugen, Produkten, Anlagen und Dienstleistungen ein. Grundlage dafür sind allgemeingültige Standards, unabhängige Prüfungen und qualifizierte Weiterbildung. Unser Ziel ist es, das hohe Niveau der technischen Sicherheit zu wahren, Vertrauen in die digitale Welt zu schaffen und unsere Lebensgrundlagen zu erhalten. Dafür sind wir im regelmäßigen Austausch mit Politik, Behörden, Medien, Unternehmen und Verbraucher:innen.

Firmenkontakt und Herausgeber der Meldung:

TÜV-Verband e.V.
Friedrichstraße 136
10117 Berlin
Telefon: +49 (30) 760095-400
Telefax: +49 (30) 760095-401
https://www.tuev-verband.de

Ansprechpartner:
Maurice Shahd
Leiter Kommunikation & Pressesprecher
Telefon: +49 (30) 760095-320
E-Mail: maurice.shahd@vdtuev.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel