Obwohl die Gefahr von Ransomware-Attacken ständig zunimmt, ist die IT-Sicherheit nur schwach aufgestellt. Zu den unklaren Verantwortlichkeiten kommen vielerorts technische Mängel. Automatisierte Sicherheitstests nutzen nur wenige Betriebe.
IT-Sicherheitslage Deutschland 2025: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die IT-Sicherheitslage in Deutschland 2025 im aktuellen Lagebericht als „besorgniserregend“ ein. In der Wirtschaft ist allerdings die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend „chaotisch“ organisiert. Diese Diskrepanz deckt der „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai auf, der auf einer Umfrage unter 300 Führungskräften überwiegend mittelständischer Firmen basiert. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.
Bei knapp einem Viertel der Firmen (22 Prozent) liegt die Verantwortung für IT-Sicherheit beim Teamleiter-IT, bei 16 Prozent ist der Chief Technology Officer dafür zuständig und bei 14 Prozent der Chief Information Officer. Lediglich 13 Prozent der Unternehmen verfügen über einen Chief Information Security Officer, der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. Bei einem Viertel der befragten Firmen liegt die Zuständigkeit für die Abwehr von Cyberkriminellen bei untergeordneten Positionen wie IT-Manager, Administrator oder Systemarchitekt. Bei einem guten Fünftel (21 Prozent) trägt die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.
IT-Sicherheitslage Deutschland 2025: Alarmierende Bedrohung trifft auf organisatorisches Chaos
„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, berichtet Dennis Weyel, International Technical Director bei Horizon3.ai. Er erklärt: „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen Chief Information Security Officer als zentrale Sicherheitsinstanz zu etablieren.“
Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich der Grund dafür, dass beinahe ein Drittel (30 Prozent) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten feststellen konnten. Dennis Weyel erläutert: „Niemand kann ernsthaft glauben, zwei Jahre lang von Hackern verschont geblieben zu sein.“
Der Sicherheitsfachmann verweist auf Untersuchungen des BSI, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwerpunkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt. „Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft“, warnt Dennis Weyel. „Die Cyberkriminellen professionalisieren ihre Vorgehensweise, sind technisch auf dem neuesten Stand und gehen zudem überaus aggressiv vor.
Aktive versus passive Sicherheit
„Das Gros der Unternehmen verlässt sich auf passive Sicherheit, die im Wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert“, erklärt Dennis Weyel. „Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter“. Er erläutert die Unterschiede anschaulich: „Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.“
Der Sicherheitsfachmann rät Unternehmen, mindestens einmal im Monat einen solchen „Einbruch“ zu simulieren, also einen Penetrationstest auf die eigene IT-Infrastruktur durchzuführen. Horizon3.ai betreibt unter dem Namen NodeZero eine Plattform, über die Firmen ihre Resilienz gegenüber Hackerattacken automatisiert auf die Probe stellen können.
Automatisiertes Testing stärkt Resilienz
Eine Auswertung von über 50.000 über NodeZero durchgeführten Testangriffen hat zutage gefördert, dass es bei 71 Prozent der Unternehmen für professionelle Hacker vergleichsweise leicht ist, an Zugangsdaten zum Firmennetzwerk zu gelangen. In beinahe 100.000 Fällen konnte NodeZero über Sicherheitslücken eindringen, die längst bekannt, aber bei den Unternehmen noch nicht gestopft waren.
Bislang führt laut Studie nur gut die Hälfte (51 Prozent) der 300 befragten Unternehmen Penetrationstests durch. 13 Prozent verwenden hierzu automatisierte Systeme, was die Voraussetzung ist, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzen auf manuelles Testing, davon 21 Prozent auf externe Sicherheitsdienstleister. „Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Plattform“, gibt Dennis Weyel zu bedenken. Dabei gehe es nicht in erster Linie um die Kosten, sondern um die Unterschiede im Sicherheitsniveau: „Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit ist, desto häufiger wird sie von den Unternehmen durchgeführt. Angesichts von täglich beinahe 70 neu entdeckten Schwachstellen in Computerprogrammen sind regelmäßige Tests ein wichtiger Faktor, um IT-Umgebungen sicher zu halten.“ Jürgen Frisch
