TÜV-Studie: Unternehmen wollen strengere Vorgaben für Cybersecurity

Gesetzliche Auflagen könnten zu mehr Aufmerksamkeit der Geschäftsleitung und höheren Budgets für externe Unterstützung führen

Deutsche Unternehmen sehen sich weiterhin stark von Cyberkriminalität bedroht. Das geht aus einer aktuellen, repräsentativen Studie des TÜV-Verbands hervor. Demnach sind 2022 rund 50.000 Betriebe mindestens einmal zum Opfer von Angriffen geworden, wobei die Dunkelziffer deutlich höher liegen dürfte.

Denn ein Großteil der Unternehmen hält seine IT-Sicherheitsvorfälle immer noch geheim: Von den 2022 betroffenen Firmen waren nur vier Prozent zur Offenlegung verpflichtet. Freiwillig von ihren Sicherheitsvorfällen berichteten laut eigenen Angaben 11 Prozent und der große Rest schwieg sich aus.

„Cybervorfälle sind heute keine Ausnahme mehr in der deutschen Wirtschaft, sondern sie sind die Regel und Alltag", sagte der Präsident des TÜV-Verbands, Johannes Bussmann. Früher oder später werde es jedes Unternehmen treffen.

Die Studie zeigt auf, dass Bedrohungszenarien wie Phishing, Ransomware- oder DDOS-Attacken in vielen Unternehmen als ganz reale Gefahr gelten. Als Angstgegner sehen sie vor allem organisierte Cyberbanden (57 Prozent), staatliche organisierte Wirtschaftspione und „Innentäter"(22 Prozent), also Personen, die im Unternehmen arbeiten oder gearbeitet haben.

Jeder zweite der rund 500 Befragten befürwortet strengere IT-Sicherheitsvorschriften von staatlicher Seite - auch weil Cybersecurity im eigenen Unternehmen bisher keine ausreichend hohe Priorität hat. Oder es schlicht an Geld fehlt, um Investitionen zu tätigen, die aus Sicht der Geschäftsleitung nicht zwingend erforderlich sind.

13 Prozent der Befragten (Verantwortliche für IT-Sicherheit, Cybersecurity-Experten, IT-Leiter und Mitglieder der Geschäftsleitung) gaben an, überhaupt kein Budget für Cybersecurity zu haben. 60 Prozent weisen ihre Aufwendungen für Sicherheit nicht gesondert aus.

Gäbe es strengere Vorgaben, würden deutlich mehr Unternehmen stärker in IT-Sicherheit investieren, schreibt der TÜV-Verband. Gesetzliche Regelungen dürften „in knapp jedem zweiten Unternehmen dabei helfen, zusätzliche Maßnahmen für IT-Sicherheit umzusetzen und das Thema in der Firmenleitung zu priorisieren."

"Politisch besteht Handlungsbedarf bei den großen europäischen Regelungen. Hier müssen die Sicherheitslücken zügig geschlossen werden", konstatiert der Präsident des TÜV-Verbands Johannes Bussmann.

Augenblicklich nehmen 23 Prozent der Unternehmen Cyberrisiken sogar bewußt in Kauf, heißt es in der Studie.

Kleine Unternehmen brauchen Unterstützung

Was die repräsentative TÜV-Untersuchung bei rund 500 deutschen Unternehmen mit mehr als 10 Mitarbeitenden erneut bestätigt: Gerade in kleineren Firmen hat Cybersicherheit noch immer keinen ausreichend hohen Stellenwert.

Daher auch Bussmanns Mahnung an die Politik: "Angesichts des Fachkräftemangels müssen wir in das Know-how der kleinen und mittelständischen Unternehmen investieren, damit sie sich ausreichend vor Cyberangriffen schützen können."

An der Basis hilfreicher könnte jedoch vertrauensbildende Beratung aus dem Channel sein. Zumal der Widerstand gegen Cloud-basierte Security-Lösungen und Managed Services durch kompetente Dienstleister bröckelt. So gaben 49 Prozent der Befragten an, zunehmend auf externe Dienstleister angewiesen zu sein. Security-Service-Provider haben also gute Chancen, den Unternehmen zu helfen und damit ihren eigenen Umsatz zu steigern.