KI-gestützte Angriffe nehmen zu, doch nur wenige Unternehmen setzen selbst die Technologie zur Cyber-Abwehr ein. Gleichzeitig zeigt die neue TÜV Cybersecurity Studie 2025: Viele Unternehmen wiegen sich in falscher Sicherheit. Nur die Hälfte der Befragten kennt überhaupt die NIS-2-Richtlinie.
Laut der Erhebung hatten 15 Prozent der befragten Unternehmen in den vergangenen zwölf Monaten einen Incident, also einen Angriff, der es durch die Abwehr geschafft hat. Eine einfache Phishing-Mail fällt nicht darunter. Außerdem setzen die Angreifenden immer öfter KI ein – deutlich häufiger als die verteidigende Seite.
Trotz dieser Bedrohung stuft die überwältigende Mehrheit – neun von zehn Unternehmen – ihre Cyber-Sicherheit als gut oder sehr gut ein. Für Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), spiegelt diese Einschätzung nicht die Realität wider: „Das ist leider Wunschdenken. Da sind wir nicht.“ Sie warnte vor einem „trügerischen Sicherheitsgefühl“ und verwies auf die Erfahrung der BSI-Risikochecks. Gerade kleinere Unternehmen erfüllten oft nicht einmal die Hälfte der Anforderungen, die nur eine Grundlage seien – intern das „Seepferdchen“ genannt.
Mehrheit befürwortet Regelungen
Michael Fübi, Präsident des TÜV-Verband e.V., zeigte sich insbesondere über die geringe Investitionsbereitschaft der Unternehmen beunruhigt: 73 Prozent der Firmen würden trotz der Bedrohungslage und Inflation nicht mehr Geld für Cyber-Sicherheit ausgeben. „Das macht nachdenklich“, sagte Fübi bei der Vorstellung der Ergebnisse. Weiterhin haben nur je 22 Prozent der befragten Unternehmen Penetrationstests und Notfallübungen durchgeführt.
Positiv bewertete der TÜV-Präsident die mehrheitliche Offenheit für gesetzliche Regelungen. Ein möglicher Grund: Solche Vorgaben erleichtern es IT-Sicherheitsverantwortlichen, Budgets intern durchzusetzen. Dennoch offenbart die Studie ein gravierendes Informationsdefizit: Die Hälfte der Unternehmen kennt nicht die NIS-2-Richtlinie und die Debatte darum. Das sei ein Alarmsignal, sagte Fübi.
Möglichst wenig Bürokratie
Auch die BSI-Präsidentin reagierte alarmiert. Ihre Behörde gebe zwar viel Information nach außen und erreiche viele Unternehmen, doch – gemäß der Studie – seien dies nur 50 Prozent. Dabei betreffe die NIS-2-Richtlinie eine große Zahl von Unternehmen: Statt wie bisher 4.500 werden künftig rund 29.000 Firmen unter die Aufsicht des BSI fallen. Plattner betonte, dass gesetzliche Regelungen wie NIS-2 oder der Cyber Resilience Act (CRA) Ausdruck der Dringlichkeit seien. „Wir bemühen uns, diese Vorgaben möglichst bürokratiearm zu gestalten“, erklärte sie. Das Ziel sei, dass möglichst viel Geld in die Cyber-Sicherheit fließen könne – und nicht in die Bürokratie.
