Ort Berlin
Datum 11.06.2025

Gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hat der TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen vorgestellt. Die Ergebnisse sind in zweifacher Hinsicht besorgniserregend: Zum einen konnte ein Anstieg der Bedrohungslage verzeichnet werden, zum anderen zeigen die Umfrageergebnisse, dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten. Das BSI warnt vor trügerischer Sicherheit.

Zudem gab nur etwa die Hälfte der Befragten an, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu kennen. Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht, die aufgrund der vorgezogenen Neuwahlen in Deutschland bisher nicht erfolgt ist, wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie "wesentliche" (essential entities) und "wichtige" Einrichtungen (important entities) ergeben sich erstmals gesetzliche Pflichten.

Dr. Michael Fübi, Präsident des TÜV-Verbands: „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen. Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen. Neun von zehn (91 Prozent) bewerten ihre Cybersicherheit als gut oder sehr gut. Und jedes vierte Unternehmen (27 Prozent) gibt an, dass IT-Sicherheit für sie nur eine kleine oder gar keine Rolle spielt. Eine Mehrheit spricht sich für gesetzliche Vorgaben aus, um das Schutzniveau in der Wirtschaft zu erhöhen: 56 Prozent sind der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS2-Richtlinie zügig verabschieden.“

BSI-Präsidentin Claudia Plattner: „Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur Cybernation Deutschland noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie. Umso wichtiger ist ihre zügige Umsetzung in nationales Recht. Verständlicherweise weisen Unternehmen darauf hin, dass regulatorische Vorgaben herausfordernd sind: auch, weil sie zu Bürokratie und damit zu Mehraufwand führen können. Richtig umgesetzt können sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen. Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation - und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet ‚Cybersicherheit vor Bürokratie‘. Das betrifft übrigens auch den Cyber Resilience Act (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebt.“

Der Cyber Resilience Act gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügt das BSI über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können. Um die Anforderungen greifbarer zu machen, hat das BSI die Technische Richtlinie TR-03183 erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte übersichtlich beschrieben und erklärt werden. Als Cybersicherheitsbehörde Deutschlands beobachtet, analysiert und bewertet das BSI die Lage der IT-Sicherheit in fünf Dimensionen und fungiert als zivile Verteidigungsmacht des digitalen Raumes.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de

BSI in Social Media