Cybersicherheitsumfrage TÜV-Verband: Unternehmen wollen strengere Regulierung

Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer wachsenden Bedrohung spricht, fordern erstaunlich viele Unternehmen einer Umfrage zufolge eine stärkere gesetzliche Regulierung. Als größte Gefahr sehen Unternehmen derzeit die organisierte Kriminalität: 24 Prozent sehen diese als große, 33 Prozent als mittlere Bedrohung an. Politisch motivierte Akteure und staatlich organisierte Wirtschaftsspionage sehen jeweils 8 Prozent als große, weitere 19 Prozent als mittlere Bedrohungslage für sich selbst. Für die Befragung im Auftrag des TÜV-Verbandes wurden die Cybersicherheits-Zuständigen in 501 Unternehmen mit mehr als 10 Mitarbeitern befragt.

Vor allem größere Unternehmen mit mehr als 250 Mitarbeitern würden seit dem Krieg Russlands gegen die Ukraine vermehrt Angriffe verzeichnen: 28 Prozent von ihnen berichten über eine Zunahme, bei den mittleren Unternehmen sind es immerhin 20 Prozent. "Nicht zuletzt ist die digitale und nicht digitale Kritische Infrastruktur ein Angriffsziel", sagt Johannes Bussmann, Präsident des TÜV-Verbandes, und fordert: "Die Zeitenwende muss auch digital gedacht werden."

Im Zusammenhang mit dem russischen Angriffskrieg habe man zu Beginn vor allem DDoS-Attacken gesehen, berichtete BSI-Vizepräsident Gerhard Schabhüser. Diese seien gut einzugrenzen gewesen und nach BSI-Einschätzung eher dem Bereich der Propaganda zuzurechnen. TÜV-Präsident Bussmann verwies darauf, dass zuletzt auch zunehmend Unternehmen im Bereich der Rüstungsproduktion im Fokus von Angreifern gestanden hätten.

11 Prozent der Unternehmen sind laut eigenen Angaben mindestens einmal erfolgreich gehackt worden. Das klinge nicht nach besonders viel, meint TÜV-Verbandspräsident Bussmann, bedeute aber: "Früher oder später wird es jeden treffen." Was die Ergebnisse der Umfrage aber auch zeigen: IT-Sicherheitsvorfälle werden von einem Großteil der Unternehmen weiterhin geheim gehalten. Nur vier Prozent der nach eigenen Angaben betroffenen 55 Unternehmen waren zu einer entsprechenden Offenlegung verpflichtet, 11 Prozent gingen freiwillig an die Öffentlichkeit.

BSI-Vizepräsident warnt vor Krise

Zwischen der Eigenwahrnehmung der Umfrageteilnehmer und der Wahrnehmung der zuständigen IT-Sicherheitsbehörden zeigt sich zudem eine gewisse Kluft. "Bei vielen Unternehmen spielt Cybersicherheit nach wie vor keine so große Rolle", konstatiert Gerhard Schabhüser, geschäftsführender Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik. Dabei sei die Bedrohungslage bereits sehr hoch. Und sie steige weiter: "2021 haben wir im BSI-Lagebericht gesagt: In Teilen Rot, in 22 haben wir gesagt, es ist schlimmer geworden. Danach kommt Krise."

Das liege auch daran, dass die Angreifer sich "dramatisch professionalisieren", so Schabhüser. Vor allem Angriffe auf Lieferketten – damit sind auch IT-Dienstleister oder in Software eingeschleuster Schadcode gemeint – würden eine große Angriffsfläche produzieren. Dennoch sei es wichtig, sagt Schabhüser, dass gerade kleinere Unternehmen sich an professionelle Dienstleister wenden würden. Wichtig sei auch, dass Informationen über Vorfälle und Bedrohungen schneller geteilt würden: "Die Angreifer teilen alles, also sollten wir auch alles teilen, um gut aufgestellt zu sein."

Unternehmen für strengere Regulierung

Eine vordergründig überraschende Erkenntnis der Firmenbefragung des TÜV-Verbandes: Fast zwei Drittel der Teilnehmer sprechen sich für gesetzliche Verpflichtungen aus, angemessene Maßnahmen für Cybersicherheit zu ergreifen. Fast die Hälfte (49 Prozent) gab an, dass gesetzliche Maßnahmen dabei helfen würden, zusätzliche Maßnahmen unternehmensintern ergreifen zu können.

Der TÜV-Verband verband dieses Ergebnis mit der Forderung nach einer unabhängigen Drittprüfung für kritische Produkte im derzeit in der EU-Beratung befindlichen Cyber Resilience Act. Das sei natürlich auch dem Geschäft der Technischen Überwachungsvereine zuträglich, räumte Verbandspräsident Johannes Bussmann ein. Doch für ein höheres Cybersicherheitsniveau sei das ebenso wichtig wie eine externe Prüfung für sogenannte Hochrisiko-KI-Systeme im Rahmen des AI Acts, der ebenfalls derzeit auf EU-Ebene beraten wird. Der BSI-Vizepräsident fordert hier allerdings auch Tempo und ein zügiges Inkrafttreten der Regelungen: "Wenn wir etwas bewirken wollen, müssen wir schnell sein. Das gilt für Regulierung und für Standardsetzung."

Insbesondere sogenannte Künstliche Intelligenz wird eine Herausforderung auch für die Cybersicherheit werden, sind sich TÜV-Verband und BSI einig. Schlecht gemachte Phishing-Mails etwa würden künftig der Vergangenheit angehören, auch CEO-Fraud werde etwa durch Stimmsynthese auf ein neues Niveau gehoben. BSI-Vizepräsident Schabhüser warnte in diesem Zusammenhang auch noch einmal vor dem Einsatz von VideoIdent: Diese Verfahren ließen sich durch den Einsatz von Deep-Fake-Algorithmen fälschen.

(mack)