TÜV-Studie zur Cybersicherheit: Unternehmen in Deutschland weiter unter Druck

Unternehmen wiegen sich in „trügerischer Sicherheit“, warnen BSI und TÜV – was angesichts anhaltender Bedrohungen wie eine überraschende Erkenntnis klingt, untermauert eine aktuelle Studie zur Cybersicherheit in Unternehmen.

Viele Firmen unterschätzen die Lage, überschätzen die eigenen Fähigkeiten und tun zu wenig zu ihrem eigenen Schutz. Zu diesem und anderen Ergebnissen kommen der TÜV-Verband (Technischer Überwachungsverein) und das Bundesamt für Sicherheit in der Informationstechnologie BSI. Nur die Hälfte der Befragten kenne NIS-2, was angesichts der davon neuerdings betroffenen 29000 zusätzlichen Betrieben ein Alarmsignal sei. Gleichzeitig halten über 90 Prozent die eigene Sicherheit für gut oder sehr gut, für ein Viertel spielt IT-Sicherheit erschreckenderweise nur eine Nebenrolle.

BSI-Chefin besorgt

BSI-Chefin Claudia Plattner zeigt sich dementsprechend besorgt und warnt, es liege offenbar noch viel Arbeit vor Deutschland. Sie verweist auch auf den Cyber Resilience Act der EU , der Mindestvoraussetzungen für vernetzte Produkte in Europa vorschreibe. Laut TÜV sei das Problembewusstsein zwar gestiegen, dennoch seien viele Unternehmen nicht ausreichend vorbereitet.

Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin bei der Vorstellung der Studie, Quelle: BSI

Vier Prozent mehr Opfer von Cyberangriffen

In der 58 Seiten umfassenden Studie finden sich zahlreiche besorgniserregende Erkenntnisse. Die Zahl der Unternehmen, die Opfer eines Cyberangriffs wurden, ist im vergangenen Jahr um vier Prozent gestiegen, sodass nun jedes siebte Unternehmen betroffen ist. In fast allen Fällen (84 %) erfolgte der Einbruch über Phishing. Mehr und mehr Angreifende nutzen KI-gestützte Angriffstechniken, während auf der Seite der Verteidigung kaum KI zum Einsatz kommt (51 % vs. 10 %). 7 von 10 Befragten halten Sicherheitsnormen für wichtig, aber nur ein Fünftel setzt sie selbst um.

„Cybersicherheit in deutschen Unternehmen“ – die TÜV Cybersecurity Studie 2025

Der TÜV-Verband fordert deshalb von der Politik, Cybersicherheit zu priorisieren und in die übergeordnete Sicherheitsstrategie aufzunehmen. Zudem sollten Kompetenzen klarer geregelt werden. NIS2 und CRA müssten entgegen allen bisherigen Verzögerungen „zügig auf den Weg“ gebracht werden.

Empfehlungen für Firmen

Unternehmen sollen, so der TÜV, Bedrohungen ernst nehmen und regelmäßig qualifizierte Risikoanalysen durchführen. Eine geeignete Cyberstrategie ist dabei unerlässlich, ebenso wie Sicherheitsrichtlinien mit messbaren Zielen, klaren Verantwortlichkeiten und Maßnahmenkatalogen.

Unterschiede zwischen großen und kleinen Unternehmen

Als auffällig erweist sich in der Studie der Unterschied je nach Unternehmensgröße. Während 95 Prozent der Firmen mit mehr als 250 Mitarbeitern der IT-Sicherheit einen hohen Stellenwert beimessen, tun dies nur zwei Drittel der Firmen bis 50 Mitarbeiter. Nur bei der Selbsteinschätzung sind sich groß und klein einig: über 90 % halten sich für gut geschützt, egal wie groß die Firma ist. Aber fast die Hälfte der großen Unternehmen (41 %) weiß um das große Risiko in der Lieferkette, während nur 21 Prozent der kleinen Firmen diese Einschätzung teilen. 78 Prozent der Unternehmen unter 50 Beschäftigten glaubt übrigens auch nicht, dass die Lieferkette ein Risiko für einen Cyberangriff darstellt.

Herkunft unbekannt

Die meisten Firmen fürchten Angriffe mit kriminellen oder staatlichen Hintergründen. Bedrohungen durch internes Personal werden hingegen vernachlässigt. Nur neun Prozent konnten Angriffe einer regionalen Quelle zuordnen. Von diesen stammten sechs Prozent aus China, erklärten die mehr als 500 Befragten.

Investitionen in Cybersicherheit

27 Prozent der Firmen haben auch im letzten Jahr das Budget für IT-Sicherheit erhöht, und 15 Prozent haben zusätzliches Fachpersonal eingestellt – etwas niedrigere Werte als im Vorjahr. Sowohl mehr als auch weniger Cloud-Nutzung wird in Unternehmen als Lösungsansatz ausprobiert (jeweils etwa 20 %). Auch Pentesting und Notfallübungen rangieren mit je um 25 % auf den hinteren Plätzen.

Überwiegend investiere man in Hardware-Updates, neue Software für Cybersecurity und Maßnahmen für vernetzte Systeme – Schwerpunkte, die auch durch die spezialisierten Lösungen von Greenbone adressiert werden.

Fazit: Unspezifische Bedrohung, bekannte Methoden, lasche Sicherheitsdisziplin

Wer die Ergebnisse der Studie betrachtet, kommt zu dem Ergebnis: Es ist zwar nicht klar, woher die Angriffe kommen, die erfolgreichen Methoden der Angriffe sind jedoch zu erkennen. Auch liegt eine Asymmetrie beim Technologieeinsatz vor, wie das Beispiel KI zeigt.

Dass knapp 80 Prozent der Befragten zugeben, Sicherheitsnormen nur bedingt umzusetzen, dürfte nicht nur für BSI, Politik und Sicherheitsexperten ein Warnsignal sein. Wenig überraschend leitet der TÜV-Verband daraus die Anforderung an die Bundesregierung ab, die Cybersicherheit voranzubringen und Regulierungen zügig umzusetzen. Das wünscht sich ja auch die Mehrheit der Befragten.