Von Stephanie Gust
Cybersicherheit wird in Deutschland zunehmend zur kritischen Managementaufgabe – auch wenn das viele Unternehmen noch nicht wahrhaben wollen. Die vom TÜV-Verband gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Cybersicherheitsstudie 2025 zeigt eine Zunahme erfolgreicher Angriffe, wachsendes Risiko durch KI und deutliche Defizite beim Schutz kritischer Prozesse. Besonders für Stadtwerke und Netzbetreiber, die bereits unter das KRITIS-Regime fallen oder künftig durch NIS 2 in den Fokus rücken, ist die Botschaft eindeutig: Handeln ist dringend geboten.
Phishing bleibt Hauptangriffsweg
Rund 15 Prozent der befragten Unternehmen waren im vergangenen Jahr von mindestens einem erfolgreichen Cyberangriff betroffen – vier Prozentpunkte mehr als 2023. Besonders häufig kamen Phishing- und Spear-Phishing-Attacken zum Einsatz (84 Prozent: 12 Prozentpunkte mehr im Vorjahresvergleich), mit deutlichem Abstand gefolgt von Passwort- und Ransomware-Angriffen (je 12 Prozent). Trotz dieser Entwicklung betrachten 91 Prozent der Unternehmen ihre Cybersicherheit als gut oder sehr gut. Für das BSI ein trügerisches Selbstbild.
"Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt", betont Claudia Plattner, Präsidentin des BSI. "Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht." Bislang sei dies aufgrund der vorgezogenen Neuwahlen nicht geschehen – doch für rund 29.000 Unternehmen bringt die Richtlinie erstmals umfassende Pflichten mit sich.
Künstliche Intelligenz als Risiko – und verpasste Chance
Cyberkriminelle professionalisieren ihre Methoden – auch mit Hilfe von KI. 51 Prozent der Unternehmen vermuten bereits den Einsatz von künstlicher Intelligenz auf Angreiferseite, bei großen Firmen liegt der Wert sogar bei 81 Prozent. Bei den kleineren Unternehmen sind es nur 47 Prozent, die davon ausgehen, dass die Angreifer mit KI arbeiten. Gleichzeitig nutzen nur zehn Prozent KI aktiv zur Abwehr. 10 Prozent der Befragten planen es. Dabei könnte sie entscheidend zur Früherkennung, Schwachstellenanalyse und Reaktionsautomatisierung beitragen.
Lieferkette und Schatten-IT bleiben gefährliche Lücken
Zehn Prozent der Unternehmen berichten von Angriffen, die über Kunden oder Zulieferer erfolgten – meist unentdeckt oder schwer nachvollziehbar. Dennoch stellen nur 32 Prozent Sicherheitsanforderungen an ihre Partner, regelmäßige Audits sind mit sechs Prozent die Ausnahme. Die Schatten-IT – etwa nicht erfasste private Geräte – stellt in neun Prozent der Unternehmen ein Einfallstor dar. Definierte Prozesse zur Identifikation und Abkopplung veralteter Systeme fehlen häufig.
Eine systematische Erhebung, welche Geräte im Einsatz sind, leisten immerhin 75 Prozent. Allerdings: Weniger häufig ist die systematische Erfassung bei den Sektoren Energie, Bau und Verkehr mit 67 Prozent.
Investitionen ja – aber zu wenig Tests
Immerhin: In neue Hardware investieren 61 Prozent, in Sicherheitssoftware 48 Prozent. Auch Schulungen (53 Prozent) und externe Beratungen (59 Prozent) sind auf dem Vormarsch. Doch nur 22 Prozent führen Notfallübungen oder Penetrationstests durch – der Ernstfall bleibt oft theoretisch. "Neun von zehn Unternehmen bewerten ihre Sicherheitslage als gut – und jedes vierte misst IT-Sicherheit nur geringe Bedeutung bei", kritisiert TÜV-Präsident Michael Fübi. "Das ist alarmierend. Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS-2-Richtlinie zügig verabschieden."
NIS 2 und Cyber Resilience Act: Neue Regeln, neue Verantwortung
Nur rund die Hälfte der befragten Unternehmen kennt die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2). Mit ihrer Umsetzung wird das BSI zur Aufsichtsbehörde für deutlich mehr Einrichtungen – neben den bestehenden KRITIS-Betreibern auch für zahlreiche "wesentliche" und "wichtige" Unternehmen. Die Anforderungen reichen von Risikomanagement über Berichtspflichten bis hin zu technischen und organisatorischen Sicherheitsmaßnahmen.
Das BSI setzt dabei auf pragmatische Hilfestellung statt Bürokratie. "Unser Credo lautet ‘Cybersicherheit vor Bürokratie’", so Plattner. Das gelte auch für den Cyber Resilience Act (CRA), der Cybersicherheitsanforderungen für vernetzte Produkte vorschreibt. Um die Anforderungen greifbar zu machen, hat das BSI die Technische Richtlinie TR-03183 veröffentlicht. Künftig will das Amt auch die Marktüberwachung im Rahmen des CRA übernehmen.
Fazit:
Laut TÜV-Studie wächst die Bedrohungslage, die Maßnahmen halten nicht Schritt. Besonders Stadtwerke, Netzbetreiber und kritische Versorger müssen ihre IT-Sicherheitsarchitektur – und ihre regulatorische Vorbereitung – jetzt auf den Prüfstand stellen. Cybersicherheit ist keine Option mehr, sondern Voraussetzung für Betriebsfähigkeit. Wer weiter zögert, handelt fahrlässig – und riskiert nicht nur Datenverluste, sondern auch die Stabilität der Versorgung.
