Cybersicherheit: Warum die Risiken für KRITIS-Unternehmen zunehmen

Welchen Gefahren sind Unternehmen Kritischer Infrastrukturen (KRITIS) derzeit ausgesetzt? Wo liegen die größten Herausforderungen bei der Cybersicherheit? Und welche Rolle spielen Systeme zur Angriffserkennung dabei? Um diese und weitere Fragen zu beantworten, hat das Research- und Beratungsunternehmen techconsult im Auftrag der secunet Security Networks AG mehr als 120 Unternehmen für die Studie „Angriffserkennung in Unternehmen Kritischer Infrastrukturen – wie deutsche KRITIS-Unternehmen mit den steigenden IT- und OT-Risiken umgehen“ befragt.

IT-Sicherheitsgesetz soll  vor Cyberangriffen schützen

Die Ergebnisse zeigen, dass 79 Prozent der Unternehmen die aktuelle Bedrohungslage als wachsend bis stark wachsend einschätzen. Auch vor diesem Hintergrund hat die Bundesregierung 2021 das IT-Sicherheitsgesetz 2.0 auf den Weg gebracht. Dieses soll die Bevölkerung vor Cyberangriffen und ihren Folgen zu schützen. Ab 1. Mai 2023 müssen betroffene Unternehmen den Einsatz von Systemen zur Angriffserkennung in ihrer IT-Infrastruktur, die zur Aufrechterhaltung der kritischen Versorgungsdienstleistungen unabdingbar ist, nachweisen.

Obwohl solch ein System für andere Bereiche nicht verpflichtend ist, planen 71 Prozent der befragten KRITIS-Unternehmen, auch für die Büro-IT entsprechende Systeme zur Angriffserkennung zu etablieren. Bereits 21 Prozent haben ein derartiges System vollständig sowohl in den Pflichtbereichen als auch darüber hinaus eingeführt. 45 Prozent der Befragten planen die Einführung noch dieses Jahr und 33 Prozent in den nächsten ein bis drei Jahren.

Cybersicherheit: Prävention scheitert an fehlender Kompetenz

59 Prozent der befragten Unternehmen stufen sich als kompetent bis sehr kompetent beim verpflichtenden Melden von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. 56 Prozent der Unternehmen sehen sich als kompetent bei der Prävention gegen Cyberrisiken. Bei jeweils über 40 Prozent der Unternehmen besteht somit noch Verbesserungspotenzial hinsichtlich der Umsetzung der gesetzlichen Meldepflicht bei Sicherheitsvorfällen an das BSI. Dabei schätzt jedes zweite befragte Unternehmen (50 Prozent), dass Vorfälle in der Cybersicherheit zu einer Kompromittierung sensibler und kritischer Daten führen würden. 45 Prozent befürchten bei einem Vorfall den Ausfall von für das Gemeinwesen relevanten Anlagen und 46 Prozent Umsatzeinbußen.

IT-Fachkräftemangel bleibt größte Herausforderung

59 Prozent der befragten KRITIS-Unternehmen sieht den Mangel an IT-Fachpersonal als eine der größten Herausforderungen für die nächsten zwei Jahre. Dieses Fachpersonal fehlt, um die Anpassungen und die Umsetzung der Regularien und Vorgaben zu bewältigen. Ein weiterer Schmerzpunkt ist für 44 Prozent der Befragten die Schwachstellenanalyse im Netzwerk. Diese ist jedoch essenziell für weitere Maßnahmen zur Steigerung der Abwehr von Cyberangriffen ist. Eine weitere Herausforderung sind mit 30 Prozent die Absicherung von kritischen Komponenten im IoT oder Industry Control Systems (ICS). Außerdem die Inbetriebnahme notwendiger Security-Lösungen (28 Prozent) sowie die Erbringung von Nachweisen zur Cybersicherheit (23 Prozent).

Zur Methodik der Studie: Die Umfrage zur Studie „Angriffserkennung in Unternehmen Kritischer Infrastrukturen: Wie deutsche KRITIS-Unternehmen mit den steigenden IT- und OT-Risiken umgehen“ wurde im Januar 2023 von der techconsult GmbH durchgeführt. Hierbei wurden branchenübergreifend 121 KRITIS-Unternehmen in Deutschland befragt.
secunet Security Networks AG ist spezialisiert auf Bereiche mit besonderen Anforderungen an die Sicherheit. Hierzu gehören Cloud, IIoT, eGovernment und eHealth. Mit den Sicherheitslösungen von secunet können Unternehmen höchste Sicherheitsstandards in Digitalisierungsprojekten einhalten und damit ihre digitale Transformation vorantreiben. (sg)

Lesen Sie auch: Cybersecurity: 5 wichtige Trends für 2023