Berlin, 11. Juni 2025 – Die Cyber­sicher­heit­slage in der deutschen Wirtschaft ver­schärft sich: 15 Prozent der Unternehmen verze­ich­neten in den ver­gan­genen 12 Monat­en nach eige­nen Angaben einen IT-Sicher­heitsvor­fall. Dabei han­delt es sich um erfol­gre­iche Cyberan­griffe, auf die die Unternehmen aktiv reagieren mussten. Das ist das Ergeb­nis ein­er repräsen­ta­tiv­en Ipsos-Umfrage im Auf­trag des TÜV-Ver­bands unter 506 Unternehmen ab 10 Mitar­bei­t­en­den. Im Ver­gle­ich zur Studie vor zwei Jahren ist der Anteil erfol­gre­ich gehack­ter Unternehmen um 4 Prozent­punk­te gestiegen. „Die deutsche Wirtschaft ste­ht im Fadenkreuz staatlich­er und krim­ineller Hack­er, die sen­si­ble Dat­en erbeuten, Geld erpressen oder wichtige Ver­sorgungsstruk­turen sabotieren wollen“, sagte Dr. Michael Fübi, Präsi­dent des TÜV-Ver­bands, bei Vorstel­lung der „TÜV Cyber­se­cu­ri­ty Studie 2025“ in Berlin. „Bei ihren Cyber­at­tack­en set­zen die Angreifer ver­stärkt auf mod­erne Tech­nolo­gien wie Kün­stliche Intel­li­genz.“ Allerd­ings scheinen viele Unternehmen die Risiken zu unter­schätzen. Neun von zehn Unternehmen (91 Prozent) bew­erten ihre Cyber­sicher­heit als gut oder sehr gut. Und jedes vierte Unternehmen (27 Prozent) gibt an, dass IT-Sicher­heit für sie nur eine kleine oder gar keine Rolle spielt. Fübi: „Unternehmen soll­ten Cyber­sicher­heit ernst nehmen und dafür die notwendi­gen Ressourcen bere­it­stellen.“ Den­noch spricht sich eine Mehrheit für geset­zliche Vor­gaben aus: 56 Prozent sind der Mei­n­ung, dass alle Unternehmen verpflichtet sein soll­ten, angemessene Maß­nah­men für ihre Cyber­se­cu­ri­ty zu ergreifen. „Die Bun­desregierung sollte die über­fäl­lige nationale Umset­zung der NIS2-Richtlin­ie zügig ver­ab­schieden“, sagte Fübi. „Die Regelung sieht geset­zliche Min­destanforderun­gen für die Cyber­sicher­heit von rund 30.000 Unternehmen sicher­heit­skri­tis­ch­er Branchen vor.“ Kri­tisch sei, dass laut Umfrage bish­er nur die Hälfte der Unternehmen die NIS2-Richtlin­ie kennen.

BSI-Präsi­dentin Clau­dia Plat­tner: „Die Studie des TÜV-Ver­ban­des zeigt, dass auf dem Weg zur Cyber­na­tion Deutsch­land noch eine Menge Arbeit vor uns liegt. Was mich beson­ders besorgt, ist die geringe Bekan­ntheit der NIS-2-Richtlin­ie. Umso wichtiger ist ihre zügige Umset­zung in nationales Recht. Ver­ständlicher­weise weisen Unternehmen darauf hin, dass reg­u­la­torische Vor­gaben her­aus­fordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen kön­nen. Richtig umge­set­zt kön­nen sie uns aber dabei helfen, die Resilienz unser­er Wirtschaft umfassend zu erhöhen. Wir als BSI leg­en dabei unseren Schw­er­punkt auf Hil­festel­lung und Koop­er­a­tion – und unter­stützen Unternehmen auch heute schon mit umfan­gre­ichen Infor­ma­tions- und Beratungsange­boten. Unser Cre­do lautet ‚Cyber­sicher­heit vor Bürokratie‘. Das bet­rifft übri­gens auch den Cyber Resilience Act (CRA), im Rah­men dessen das BSI die Über­nahme der Mark­tüberwachung anstrebt.“

Phishing die mit Abstand häufigste Angriffsmethode

Laut den Ergeb­nis­sen der Umfrage ist die mit Abstand häu­fig­ste Angriff­s­meth­ode derzeit Phish­ing: In der Regel han­delt es sich dabei um E‑Mails, die zu ein­er Schad­soft­ware führen. 84 Prozent der betrof­fe­nen Unternehmen bericht­en von Phish­ing-Angrif­f­en – 12 Prozent­punk­te mehr als vor zwei Jahren. Ein Grund für den Anstieg ist der Ein­satz Kün­stlich­er Intel­li­genz. „Mit Hil­fe der gängi­gen KI-Sys­teme kön­nen Phish­ing-Mails per­son­al­isiert, Texte per­fekt for­muliert oder auch Sprach­nachricht­en gefälscht wer­den“, sagte Fübi. An zweit­er Stelle ste­hen „son­stige Schad­soft­ware-Angriffe“ (26 Prozent). Dabei han­delt es sich um so genan­nte Mal­ware, die zum Beispiel dazu dient, sen­si­ble Dat­en abzu­greifen. Wie die Schad­soft­ware in das IT-Sys­tem eines Unternehmens gelangt, lässt sich nicht immer nachvol­lziehen. Ran­somware-Angriffe (12 Prozent) und andere Meth­o­d­en wie Pass­wort-Angriffe (12 Prozent) sind rück­läu­fig. Bei Ran­somware-Attack­en wer­den sen­si­ble Dat­en ver­schlüs­selt oder gestohlen. Dann wird das Man­age­ment erpresst. „Ran­somware-Angriffe bleiben ein großes Prob­lem für die Wirtschaft“, sagte Fübi. „Aber viele Unternehmen haben sich bess­er auf Ran­somware eingestellt, vor allem, wenn es um die Sicherung ihrer Dat­en geht.“

Eine wichtige Rolle spielt Kün­stliche Intel­li­genz sowohl bei Angrif­f­en als auch bei ihrer Abwehr. Jed­er zweite IT-Sicher­heitsver­ant­wortliche beobachtet Cyberan­griffe im Unternehmen, die mit Hil­fe von KI erfol­gt sind (51 Prozent). In großen Unternehmen ab 250 Mitar­bei­t­en­den liegt der Wert bei 81 Prozent. Nach Ansicht von 82 Prozent der Befragten ermöglicht es KI den Angreifern, gezielt Schwach­stellen in den IT-Sys­te­men ihres Unternehmens auszunutzen. Und 89 Prozent stim­men der Aus­sage zu, dass KI dazu beiträgt, Angriffe effizien­ter und ziel­gerichteter durchzuführen. Auf der anderen Seite nutzen erst 10 Prozent der Unternehmen KI für die Abwehr von Cyberan­grif­f­en, weit­ere 10 Prozent pla­nen den Ein­satz – vor allem, um Bedro­hun­gen bess­er zu erken­nen (70 Prozent), Anom­alien in Datenbestän­den und Daten­strö­men zu iden­ti­fizieren (59 Prozent), Schwach­stellen zu analysieren (58 Prozent) oder automa­tisiert auf Angriffe zu reagieren (51 Prozent).

Illus­tra­tion: 15 Prozent der deutschen Unternehmen verze­ich­neten 2024 einen Cyberan­griff. Quelle: TÜV Cyber­se­cu­ri­ty Studie 2025.

Mit diesen Maßnahmen schützen sich Unternehmen

Die Unternehmen haben in der ver­gan­genen 24 Monat­en zahlre­iche Maß­nah­men ergrif­f­en, um sich bess­er vor Cyberan­grif­f­en zu schützen. Hierzu zählen Investi­tio­nen in sichere Hard­ware (65 Prozent), Ein­führung neuer Cyber­se­cu­ri­ty-Soft­ware (48 Prozent), Beratung durch externe Expert:innen (59 Prozent) oder Schu­lun­gen der Mitar­bei­t­en­den (53 Prozent). „Sehr wichtig sind Not­fal­lübun­gen, um Abläufe für den Ern­st­fall einzuüben, und Pen­tests, mit denen tech­nis­che Schwach­stellen im eige­nen Unternehmen aus­find­ig gemacht wer­den kön­nen“, sagte Fübi. Jew­eils 22 Prozent der befragten Unternehmen haben Not­fal­lübun­gen oder Pen­tests durchge­führt. 27 Prozent der Unternehmen haben ihr Bud­get für die IT-Sicher­heit erhöht. Zum Ver­gle­ich: Vor zwei Jahren waren es noch 52 Prozent. Fübi: „Die Aus­gaben für Cyber­sicher­heit müssen mit den steigen­den Anforderun­gen Schritt halten.“

Ein wichtiges Instru­ment sind Nor­men und Stan­dards. Sie geben vor, was Unternehmen tech­nisch und organ­isatorisch tun müssen, um ihre Cyber­sicher­heit zu verbessern. Für 70 Prozent der Befragten sind Nor­men und Stan­dards wichtig oder sehr wichtig, um den Schutz vor Cyberan­grif­f­en stetig zu verbessern. In der Umfrage geben 22 Prozent an, bes­timmte Nor­men und Stan­dards für die IT-Sicher­heit voll­ständig zu erfüllen. Weit­ere 53 Prozent ori­en­tieren sich zumin­d­est daran, set­zen diese aber nur teil­weise um. „Nor­men und Stan­dards helfen Unternehmen dabei, die Cyber­sicher­heit auf ein höheres Lev­el zu brin­gen und diese fest in ein­er Organ­i­sa­tion zu ver­ankern“, betonte Fübi.

Handlungsbedarf bei Politik und Wirtschaft

Aus Sicht des TÜV-Ver­bands beste­ht angesichts der tech­nis­chen und geopoli­tis­chen Entwick­lun­gen die Notwendigkeit, das Sicher­heit­sniveau in der Wirtschaft auch mit Hil­fe geset­zlich­er Vor­gaben zu erhöhen. Diese Ansicht teilt die Mehrheit der befragten Sicher­heitsver­ant­wortlichen: 55 Prozent sagen, dass stren­gere geset­zliche Vor­gaben für die Cyber­se­cu­ri­ty von Unternehmen das Inter­net sicher­er machen. Die europäis­che Net­work and Infor­ma­tion Secu­ri­ty Direc­tive (NIS2-Richtlin­ie) legt Min­destanforderun­gen für Unternehmen in 18 sicher­heit­skri­tis­chen Branchen wie Energie, Gesund­heit, Trans­port oder dig­i­tal­en Dien­sten fest. Allerd­ings hinkt Deutsch­land bei der Umset­zung wegen des Regierungswech­sels hin­ter­her. „Die neue Bun­desregierung muss jet­zt han­deln und das nationale Umset­zungs­ge­setz zügig ver­ab­schieden“, sagte Fübi. „Fatal ist, dass bish­er nur die Hälfte der Unternehmen die NIS2-Richtlin­ie ken­nt. Hier ist noch viel Aufk­lärungsar­beit notwendig.“ Die Unternehmen soll­ten sich frühzeit­ig mit der anste­hen­den Reg­ulierung auseinan­der­set­zen. Darüber hin­aus müsse auch der Cyber Resilience Act (CRA) wie vorge­se­hen ab Ende 2027 umge­set­zt wer­den. Die EU-Verord­nung sieht IT-Sicher­heit­san­forderun­gen für Hard­ware- und Soft­ware-Pro­duk­te vor, die dig­i­tale Kom­po­nen­ten enthal­ten und dig­i­tal ver­net­zt sind.

Methodik-Hin­weis: Grund­lage der Stu­di­energeb­nisse ist eine repräsen­ta­tive Umfrage des Mark­t­forschung­sun­ternehmens Ipsos im Auf­trag des TÜV-Ver­bands unter 506 Unternehmen ab 10 Mitar­bei­t­en­den in Deutsch­land. Befragt wur­den Ver­ant­wortliche für IT-Sicher­heit, darunter lei­t­ende Cybersecurity-Expert:innen, IT-Leit­er und Mit­glieder der Geschäftsleitung.