Die Cybersicherheit der Unternehmen in Deutschland wird durch jüngste technologische Trends wie die Verbreitung der Künstlichen Intelligenz noch stärker gefährdet. „Phishing bekommt mit neuen generativen KI-Anwendungen wie ChatGPT eine neue Dimension“, sagte Johannes Bussmann, Präsident des TÜV-Verbands, am Montag bei der Vorstellung einer neuen Studie in Berlin. Als Phishing werden E-Mails bezeichnet, mit denen Passwörter abgegriffen werden oder Schadsoftware verbreitet wird.
„Wegen Fehlern oder holprigen Formulierungen leicht erkennbare Phishing-Mails wird es bald nicht mehr geben“, erklärte Bussmann weiter. Phishing ist die mit Abstand häufigste Angriffsmethode. An zweiter Stelle stehen laut TÜV-Verband Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden.
Organisierte Cyberkriminalität Bedrohungsfaktor Nr. 1
Nach einer repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden war im vergangenen Jahr gut jedes zehnte Unternehmen (11 Prozent) von einem IT-Sicherheitsvorfall betroffen. In absoluten Zahlen entspreche das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen.
Die größte Gefahr geht aus der Sicht der Befragten von der organisierten Cyberkriminalität aus, 57 Prozent fühlten sich von organisierten Hacker-Banden bedroht, sagte Bussmann. Jeweils 27 Prozent sehen demnach staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. Insgesamt 22 Prozent fürchten laut der Studie so genannte Innentäter, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können.
Brüssel muss Vorgaben für Produktsicherheit machen
Angesichts der wachsenden Bedrohung durch die organisierte Kriminalität, staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure müsse der Gesetzgeber dringend handeln, forderte der TÜV-Verbandspräsident. Hier sei vor allem Brüssel gefragt. „Entscheidender Hebel für mehr Cybersecurity sind die Vorgaben für die Produktsicherheit in der EU“, so Bussmann.
Mit dem so genannten Cyber Resilience Act müsse digitale Sicherheit endlich integraler Bestandteil aller vernetzten Produkte werden. Je nach Risiko, das von ihnen ausgehe, müssten sie bestimmte Sicherheitsvorgaben erfüllen. Tempo sei auch bei der KI-Verordnung (AI Act) angesagt, die sich gerade in Abstimmung befinde. Darüber hinaus sollten vor allem kleine und mittelständische Unternehmen bei ihren Maßnahmen für Cybersicherheit unterstützt werden.
BSI-Vize-Chef: Energieversorger relativ robust aufgestellt
In großen Teilen der Wirtschaft werde immer noch zu wenig Resilienz aufgebaut, mahnte Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). „Die Unternehmen haben kein Maßnahmen-, sondern eher ein Umsetzungsproblem“, erklärte Schabhüser. Ransomware-Angriffe stellten nach wie vor die qualitativ größte Gefahr dar, die Auswirkungen seien deutlich nachhaltiger als beim Phishing. Als wachsendes Problem müsse zudem die Gefährdung der Lieferketten gesehen werden.
„Cybersicherheit muss höchste Priorität genießen, das ist Chefsache“, forderte der BSI-Vizepräsident. Mit Blick auf die Kritische Infrastruktur hob Schabhüser vor allem die Bedeutung der Energienetze hervor. „Sie sind für uns von größter Bedeutung“, so Schabhüser. Die Energieversorger seien bei der Cybersicherheit „relativ robust aufgestellt“, doch „Luft nach oben gibt es immer“. Anders die Situation bei den Wasserversorgern. Hier sei die Sicherheitslage „sehr heterogen“. Der Grund dafür liege in der stark differierenden Größe der Unternehmen. Im Süden Deutschlands dominierten kleinere Versorger, im Norden hingegen größere Einheiten. (hil)
