Cyberkriminalität ist und bleibt ein einträgliches Geschäft – eines, das zu einem wachsenden Problem wird. Knapp 179 Milliarden Euro Schaden sind in Deutschland im Jahr 2024 durch Phishing & Co. entstanden. Und angesichts der politischen Weltlage rückt auch das Thema Digitale Souveränität deutlich stärker in den Vordergrund.
Neue EU-Vorgaben wie DORA und NIS2 setzen Unternehmen unter Zugzwang – bieten aber gleichzeitig die Chance, IT-Sicherheit strategisch neu zu denken.
AIBooth – shutterstock.com
Wem das noch nicht Grund genug ist, sich mit der Resilienz und IT-Sicherheit des eigenen Unternehmens zu befassen, hat aus Richtung der Europäischen Union in den letzten Monaten noch einmal etwas Zusatzmotivation erhalten. Während von dem seit Anfang dieses Jahres anzuwendenden Digital Operational Resilience Act (DORA) vor allem der Finanzsektor betroffen ist, steht mit der nationalen Umsetzung der NIS-2-Richtlinie allen Unternehmen gesetzliche Vorschriften hinsichtlich ihres IT-Sicherheitsniveaus ins Haus.
Guter Zeitpunkt also, um einen Blick auf den aktuellen Stand zu werfen: Wo stehen wir Mitte 2025 in Deutschland? Die Experten beim COMPUTERWOCHE-Roundtable zum Thema “Cybersicherheit & Digitale Resilienz” sind sich weitestgehend einig: Es gibt noch einiges an Nachholbedarf – nicht nur auf Seiten der Unternehmen – doch im Großen und Ganzen kommt Bewegung rein.
Informationen zu den Partner-Paketen der Studie “Cybersicherheit & digitale Resilienz 2025″
Compliance und Resilienz sind nicht dasselbe
Dabei ist es für viele erst einmal verlockend, auf das absolute Mindestmaß zu setzen, möglichst schnell compliant zu sein und den Aufwand so gering wie möglich zu halten. Dabei bieten die Regularien auch eine Chance – wenn man sie als Startschuss begreift, sich zukunftssicher aufzustellen.
“Die Regularien sind nicht nur Selbstzweck, die existieren ja aus einem Grund”, kommentiert Valeri Milke, Geschäftsführer von VamiSec. Milke hebt hervor, dass Unternehmen nicht ausschließlich auf das gesetzlich notwendige schauen sollten, sondern prüfen, was im eigenen Geschäftsumfeld sinnvoll ist: “Wenn ich mich des Themas Cybersecurity sowieso annehmen muss, kann ich dies auch gleich als Chance für mein Geschäft begreifen”, ergänzt Milke.
Gute Fortschritte bei DORA – trotz Audit-Lücke
Besonders für Unternehmen aus dem Finanzsektor, die seit Anfang des Jahres mit DORA einen klaren gesetzlichen Rahmen für ihre digitale Resilienz haben, ist jedoch gar nicht so viel neues dabei.
So verweist Oliver Stuck, Senior Security Engineer bei Trellix, auf seine früheren Erfahrungen im Finanzbereich und hebt hervor: “Die größeren Institute sind im Bereich Resilienz sowieso schon ganz vorne dran.” Zwar kämen jetzt Anforderungen in den Bereichen Risikomanagement und Lieferkettenverfolgung hinzu. “Aber im Produktionsumfeld selbst brauchen die meisten gar nicht viel zu ändern”, sagt Stuck.
Doch die Lieferkettenverfolgung ist dann tatsächlich etwas, dass ganz eigene Schwierigkeiten mit sich bringt – vor allem hinsichtlich der Auditierung. Noch ist unklar, wie DORA-konforme Audits skalierbar umgesetzt werden sollen. Ohne zentrale Auditierungsinstanzen droht ein Wildwuchs an Einzelprüfungen durch Kunden, Partner und Dienstleister – ein Szenario, das in der Praxis kaum handhabbar wäre.
Wie es richtig gehen kann, haben andere Industrien bereits vorgemacht. Mit TISAX (Trusted Information Security Assessment Exchange) hat beispielsweise die Automobilbranche bereits ein unternehmensübergreifendes Prüf- und Austauschverfahren, wie Matthias Bandemer, Managed Service Lead Germany bei EY, einwirft. “Aber interessanterweise muss in anderen Industrien immer erst das Rad neu erfunden werden, und dann folgt erstmal dieser Audit-Tourismus”, erklärt Bandemer.
Also hier gibt es noch einige offene Fragen, auch, wenn die Umsetzung von DORA-Anforderungen innerhalb der Unternehmen gut voranzuschreiten scheint. Denn die EU-Verordnung ist zwar seit Januar 2025 in Kraft. „Die entsprechenden Vorbereitungen liefen jedoch bereits mindestens ein Jahr zuvor an, in vielen Fällen sogar deutlich länger“, merkt Ralf Gillich, Berater bei microfin, an. Insbesondere große Konzerne hätten ihre Projekte mittlerweile weitgehend abgeschlossen, regulatorische Anforderungen systematisch umgesetzt sowie ihre Risikobewertungen vollzogen – und befänden sich inzwischen in der praktischen Umsetzung und operativen Anwendung.
Awareness in den Führungsetagen fehlt
Bei NIS2 schaut das jedoch schon etwas anders aus – und das liegt zunächst erst einmal gar nicht an den Unternehmen selbst. Denn nach wie vor hat es die Bundesregierung versäumt, die EU-Richtlinie in nationales Recht zu gießen. Wie genau die Umsetzung und die geltenden Regeln für deutsche Unternehmen am Ende aussehen werden, weiß also noch keiner genau, auch – und das betonen die Experten – keine 180-Grad-Wende zu erwarten ist.
Das ist vor allem deshalb problematisch, weil dadurch Zeit verloren geht – Zeit, die Cyberkriminelle durchaus für sich zu nutzen wissen. “Die Innovationsgeschwindigkeit auf Angreiferseite ist enorm hoch”, beschreibt Jan Arfwedson, Director Sales Healthcare & Security von avodaq, die Situation. Die Fristen zur Umsetzung seien ohnehin schon sehr lang. “Das können wir uns zeitlich eigentlich nicht leisten, da müssen wir mehr Gas geben”, ergänzt Arfwedson.
Und es ist mitnichten so, dass das Problem nur beim Gesetzgeber liegt. Denn das Bewusstsein für die Ernsthaftigkeit des Themas scheint in den deutschen Führungsetagen immer noch nicht angekommen – auch, wenn NIS-2 die Geschäftsführung künftig mit in die Haftung nehmen will. “Die Leute fühlen sich nicht betroffen. Denn die wenigsten Menschen haben ein Bild im Kopf, was passiert, wenn ihre Daten von heute auf morgen verschlüsselt werden”, attestiert Mario Jandeck, CEO von Enginsight, vielen Führungspersonen.
Ohne das notwendige Verständnis werden die richtigen Schritte nicht angegangen, die Budgets nicht freigegeben. Oliver Stuck kommentiert: “Eine Sache sehe ich übergreifend in allen Industrien und Branchen: Sobald Cybersicherheit und digitale Resilienz anfangen, Geld zu kosten, wird das so weit wie möglich nach hinten geschoben.”
Deswegen reicht es laut Experten auch nicht, nur frühzeitig mit den technischen Maßnahmen zu beginnen – die gezielte Schulungen der Mitarbeiter, aber auch und vor allem des Managements ist einer der wichtigsten Bausteine. Und da schließt sich auch der Kreis: Die EU-Regelwerke mögen den Rahmen liefern, doch Chancen zu erkennen, die sich durch die Vorgaben ergeben, gelingt nur durch eigenes Handeln und den Willen, mehr zu tun als das bloße Minimum. Denn wer nur reagiert, wenn der Ernstfall eintritt, spielt längst nach den Regeln der Angreifer.
Informationen zu den Partner-Paketen der Studie “Cybersicherheit & digitale Resilienz 2025″
Teilnehmer des Roundtables “Cybersicherheit & digitale Resilienz”
Thomas Boele, Check Point:
“Für eine wirksame Präventionsstrategie lautet die zentrale Ausgangsfrage: Was ist mir wichtig – und was will ich konkret erreichen? Oft wird dann klar, dass es mehr als nur technische Lösungen braucht. Es braucht eine Strategie – etwa durch Konzepte wie Zero Trust, fundierte Risikoprognosen und den Aufbau von Resilienz. Im Sinne eines Zwiebelprinzips nähert man sich Schicht für Schicht der passenden Lösung. Und ganz am Ende stehen die Technik und vor allem die Sensibilisierung der Anwender:innen – denn sie sind ein entscheidender Faktor für die Wirksamkeit jeder Sicherheitsmaßnahme.”
Check Point Software Technologies Ltd.
Heiko Adamczyk, Fortinet:
“Wir sind auf Orientierungsfahrt – besonders im OT-Bereich fehlen Erfahrungswerte. Die Unternehmen brauchen Zeit, um Prozesse und Technologien aufzubauen. Das gilt für Betroffene ebenso wie für Anbieter, die sich fragen müssen: Was braucht der Markt?”
Carsten Simon photography / Fortinet GmbH
Marc Meckel, Palo Alto:
“Viele Unternehmen, gerade im Mittelstand, sind auf die aktuellen Sicherheitsanforderungen nicht immer vorbereitet. Der Fachkräftemangel verstärkt das Problem: Ohne ausreichend Spezialist:innen bleiben viele Bedrohungen unerkannt und unanalysiert. Angesichts der zunehmenden Komplexität ist es daher entscheidend, einen Rahmen zu schaffen, der Orientierung bietet. Genau das leisten NIS2 und DORA.”
Palo Alto Networks (Germany) GmbH
Richard Werner, Trend Micro:
“Im Mittelstand zeigt sich beim Thema NIS2 vor allem eines: Sicherheit muss verständlicher werden. Prävention und Reaktion müssen klar, einfach und schnell nachvollziehbar sein. Die bekannten 24- und 72-Stunden-Meldepflichten sind mit manuellen Prozessen kaum zu halten – automatisiert wäre es längst machbar. Die Technologien existieren. Jetzt gilt es, sie so einzusetzen, dass Sicherheit nicht nur wirkt, sondern auch verstanden wird. KI kann dabei helfen – etwa beim Erklären von Risiken und der Automatisierung von Prozessen.”
Trend Micro
Thomas Masicek, T-Systems:
“Gerade der Mittelstand ist häufig nicht gut vorbereitet: Viele sehen Cybersicherheit noch immer als Last oder reine Compliance-Pflicht – und erkennen nicht, dass hier ein echter Wettbewerbsvorteil liegen kann. In der Vergangenheit waren es nicht selten die Verantwortlichen selbst, die Entwicklungen ausgebremst haben. Aber am Ende geht es bei IT- und Cybersicherheit darum, ein Enabler zu sein – etwas zu ermöglichen und gleichzeitig Sicherheit zu garantieren.“
T-Systems International GmbH
Richard Skalt, TÜV SÜD:
“Phishing zählt aktuell zu den größten Cyberrisiken. Die Supply Chain rückt dabei zunehmend in den Fokus – ein Thema, das sowohl NIS2 als auch DORA adressieren. Für Auftraggeber bedeutet das, eine Risikoanalyse durchzuführen und darauf aufbauend angemessene Nachweise von den Dienstleistern zu verlangen. Eine Zertifizierung kann ein wichtiger Baustein dafür sein, da sie ein objektiver Nachweis für ein wirksames ISMS und ein Bewusstsein für mögliche Bedrohungen sind.”
Conny Kurz / TÜV SÜD AG
No Responses