Dieser Beitrag wurde zuletzt am 29. April 2025 aktualisiert.
Wandel der Bedrohungslandschaft
Die Schnelligkeit der digitalen Welt nutzen mittlerweile auch Cyberkriminelle, insbesondere durch KI-unterstützte Attacken, die in Qualität und Geschwindigkeit klassischer Abwehrmaßnahmen überlegen sind. Wo früher die Frage lautete, ob man gehackt wird, ist sie heute eindeutig wann.
Ausmaß der Angriffe
Mehr als die Hälfte der deutschen Unternehmen wurde im vergangenen Jahr Opfer eines Hackerangriffs. Dies zeigt, dass nicht nur Großkonzerne, sondern zunehmend auch kleine und mittelständische Betriebe Zielscheibe sind.
Regulatorische Rahmenwerke
Richtlinien wie KRITIS, DORA oder NIS2 signalisieren die Ernsthaftigkeit der Bedrohung: NIS2 weitet den Geltungsbereich auf Zulieferer und Dienstleister aus und schreibt strenge Vorgaben zu Risikomanagement, Meldepflichten und Sanktionen vor.
Kritische Angriffsformen
Am bedrohlichsten sind aktuell Ransomware-Angriffe, bei denen Unternehmenssysteme verschlüsselt und Lösegeldforderungen gestellt werden. Die Schäden können in die Millionen- bis Milliardenhöhe gehen. Mitarbeiterschulungen zur Sensibilisierung gelten als unverzichtbar.
Empfohlene Tools und Best Practices
Ein detaillierter Incident-Response-Plan ist essenziell: Er legt fest, welche Maßnahmen im Ernstfall zu ergreifen sind, wer zu kontaktieren ist und wie Geräte zu behandeln sind. Die Konsultation des BSI und die Nutzung dortiger Weiterbildungsangebote verbessern die Vorbereitung signifikant. Achtsamkeit im Alltag – etwa das Sperren von Bildschirmen oder der Einsatz von Displayschutz – reduziert vermeidbare Risiken.
Zukünftige Trends
KI beschleunigt nicht nur die Abwehr, sondern auch die Angriffsgeschwindigkeit. Die historische „Dwell Time“ von 12–14 Monaten zwischen Eindringen und Entdecken kann heute dank moderner Lösungen auf Tage verkürzt werden, dennoch steigt die Angriffsgeschwindigkeit weiter. Phishing-Kampagnen werden durch generative KI immer überzeugender, was zusätzliche Schutzmechanismen erfordert.
Handlungsempfehlungen
Für Eigentümer von Unternehmen
- Strategische Verantwortung übernehmen: Legen Sie Cybersecurity als festen Bestandteil der Unternehmensstrategie fest und sichern Sie ausreichende Ressourcen für Prävention und Krisenmanagement.
- Governance etablieren: Installieren Sie klare Rollen und Zuständigkeiten (z. B. CISO), verankern Sie Berichtswege an die Eigentümerebene und prüfen Sie regelmäßig Compliance mit NIS2 & Co..
- Investitionspriorisierung: Fördern Sie gezielt Awareness-Programme und Incident-Response-Tests, um die Resilienz zu erhöhen und Haftungsrisiken zu reduzieren.
Für Top Manager
- Risikoportfoliomanagement: Integrieren Sie Cyberrisiken in das Enterprise-Risk-Management und definieren Sie KPI sowie Schwellenwerte zur kontinuierlichen Überwachung.
- Supply-Chain-Absicherung: Stellen Sie sicher, dass Zulieferer und Dienstleister die eigenen Sicherheitsanforderungen erfüllen und verankern Sie entsprechende Audits in Verträgen.
- Regulatorisches Reporting: Bereiten Sie sich auf Meldepflichten vor (z. B. NIS2-Vorfälle innerhalb vorgeschriebener Fristen) und etablieren Sie standardisierte Kommunikationsprozesse mit Behörden.
Für IT-Leiter
- ISMS implementieren: Führen Sie ein Informationssicherheits-Managementsystem nach ISO 27001 oder BSI IT-Grundschutz ein, um systematisch Risiken zu identifizieren und zu behandeln.
- Incident Response & Tests: Entwickeln und üben Sie Notfallpläne regelmäßig (Simulationsübungen, Penetrationstests) und integrieren Sie Lessons Learned in Ihre Sicherheitsarchitektur.
- Technische Absicherung: Setzen Sie auf Zero Trust-Prinzipien, EDR/NGAV, SIEM/UEBA und automatisierte Patch-Management-Prozesse, um schnelle Erkennung und Eindämmung zu gewährleisten.
Wichtigste regulatorische Normen und ihre Schwerpunkte
- NIS2-Richtlinie (EU 2022/2555): Erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf Zulieferer und wichtige Einrichtungen, fordert Risikomanagement, Meldepflichten, Business Continuity und klare Governance auf Führungsebene.
- IT-Sicherheitsgesetz 2.0 / BSIG § 8a: Deutsche Umsetzung von NIS2, verschärft Pflichten für KRITIS-Betreiber, mandatiert Sicherheitsüberprüfungen, Melde- und Auditpflichten.
- BSI-KritisV: Konkretisiert Anforderungen des BSIG § 8a für Betreiber kritischer Infrastrukturen, definiert Schwellenwerte und Mandate zur Umsetzung technischer und organisatorischer Maßnahmen.
- BSI IT-Grundschutz: Vorgehensweise zur Einführung eines ganzheitlichen ISMS in Behörden und Unternehmen, bietet Mindeststandards, Kompendium und Profile für spezifische Anwendungsfälle.
- ISO/IEC 27001: Internationaler Standard für ISMS, fokussiert Risikoanalyse, kontinuierliche Verbesserung, definiert Kontrollziele und Auditleitfaden.
- DSGVO (Art. 32): Verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, z. B. Pseudonymisierung, Verschlüsselung, Verfügbarkeits- und Wiederherstellungsfähigkeit.
- DORA (Reg. EU 2022/2554): Stärkt digitale Resilienz des Finanzsektors durch harmonisierte Vorgaben zu IKT-Risikomanagement, Incident Management, Drittanbieter-Kontrolle und kontinuierlicher Überwachung.