TÜV-Verband kommentiert angespannte Cyber-Sicherheitslage in Deutschland

Laut BSI ist die Lage „angespannt bis kritisch“, teilweise sogar „besorgniserregend“

[datensicherheit.de, 02.11.2023] Laut einem aktuellen Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist die Lage der Cyber-Sicherheit in Deutschland „angespannt bis kritisch“, teilweise sogar „besorgniserregend“. Die Mehrheit der deutschen Unternehmen verschweige indes IT-Sicherheitsvorfälle – die Angst vor Reputationsschäden sei zu groß. In seiner Stellungnahme fordert der TÜV-Verband, das Bewusstsein für Cyber-Angriffe mittels Transparenz zu schärfen und den „Cyber Resilience Act“ voranzutreiben.

Bedrohung durch Cyber-Angriffe in Deutschland so hoch wie nie zuvor

Der aktuelle BSI-Lagebericht mache deutlich: „Die Bedrohung durch Cyber-Angriffe in Deutschland ist so hoch wie nie zuvor.“ Der TÜV-Verband fordert daher nach eigenen Angaben seit Jahren „eine Nachschärfung der gesetzlichen Vorgaben“, um die Cyber-Sicherheit des Staates, der Unternehmen und Organisationen sowie Verbraucher zu gewährleisten.

„Angesichts der hohen Bedrohungslage sind auch strenge gesetzliche Vorgaben für die Cyber-Sicherheit notwendig“, betont Marc Fliehe, Fachbereichsleiter für „Digitalisierung und Bildung“ beim TÜV-Verband. Dazu gehöre zum Beispiel der „Cyber Resilience Act“, welcher Standards für vernetzte Produkte schaffe, um die Widerstandsfähigkeit von Systemen gegen Cyber-Angriffe zu stärken. „Hier kommt es jetzt auf eine zügige Umsetzung an“, so Fliehe. Gesetzliche Vorgaben und Regulierungen würden zudem helfen, die Geschäftsleitungen für dieses Thema zu sensibilisieren.

Die meisten Unternehmen verschweigen Cyber-Attacken

Cyber-Angriffe seien eine allgegenwärtige Gefahr. Laut BSI-Lagebericht stellen Ransomware-Angriffe dabei die größte Bedrohung dar. Dies zeigten auch aktuelle Ereignisse wie der Angriff der Ransomware-Gruppe „Lockbit“ auf den US-Flugzeughersteller Boeing oder die Attacke auf die Hotelkette MotelOne. Die Folgen solcher Cyber-Angriffe reichten von finanziellen Verlusten und Reputationsschäden über die Beeinträchtigung der Arbeitsproduktivität von Mitarbeitern bis hin zum Ausfall von Diensten für Kunden oder der Veröffentlichung personenbezogener Daten.

„82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim.“ Das habe eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands ergeben, „bei der rund 500 Unternehmen befragt wurden“. Nur 15 Prozent der Unternehmen hätten die Öffentlichkeit über den Vorfall informiert; vier Prozent davon, weil sie gesetzlich dazu verpflichtet seien. Dies sei zum Beispiel der Fall, wenn personenbezogene Daten abfließen. Fast drei Viertel der befragten Unternehmen hätten angegeben, dass sie es vermieden, einen Cyber-Sicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchteten (74%). „Und das, obwohl 83 Prozent der Meinung sind, dass mehr Unternehmen Cyber-Sicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.“

Transparenz kann helfen, Bewusstsein für Cyber-Angriffe zu schärfen

Den meisten Unternehmen fehle es an Transparenz, wenn sie Opfer eines Cyber-Angriffs geworden sind. Dabei könne Transparenz sogar zur Cyber-Sicherheit beitragen. Das Publikmachen solcher Angriffe zeige anderen Betroffenen, „dass Cyber-Attacken ein weit verbreitetes Phänomen sind“.

Fliehe führt aus: „Täter und Opfer werden in der Wahrnehmung oft vertauscht“ –„auch, wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyber-Angriffs werden“. Transparenz könne hier ein Umdenken bewirken. Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hackern werden – Fliehe unterstreicht: „Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cyber-Sicherheitsvorfällen selbstverständlich ist!“

Cyber-Sicherheit sollte eine Priorität für das Management sein

Cyber-Sicherheit sei nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein. Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Experten beraten lassen. Auch Praxistests würden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben. Laut Fliehe ist es wichtig, alle Mitarbeiter gezielt zu schulen und zum Beispiel für Phishing-Angriffe zu sensibilisieren.

Neben der Prävention von Cyber-Angriffen sei es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen. Um einen Angriff so schnell wie möglich abzuwehren, müsse bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssen. „Hacker greifen auch gerne an Feiertagen an“, verdeutlicht Fliehe, „deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden“. Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2023