Im Januar 2024 legte eine Phishing-Attacke den IT-Betrieb eines großen mittelständischen Maschinenbauers im Sauerland lahm. Angreifer schleusten über eine scheinbar legitime Lieferanten-Mail Schadsoftware ein, verschlüsselten zentrale Systeme und erpressten ein Lösegeld in Bitcoin. Der Schaden: Wochenlange Produktionsausfälle, Umsatzverluste in Millionenhöhe und ein nachhaltiger Reputationsschaden. Nur zwei Monate später wurde ein Krankenhaus in Baden-Württemberg Opfer einer gezielten Ransomware-Attacke – Patientendaten wurden verschlüsselt, OP-Termine mussten verschoben werden, der Klinikbetrieb lief tagelang nur noch im Notbetrieb.
Diese Einzelfälle sind symptomatisch für eine viel größere Bedrohungslage, die der TÜV-Verband in seiner Cybersecurity Studie 2025 untersucht hat. Die repräsentative Erhebung unter über 500 Unternehmen zeigt: Die Risiken steigen – aber die Selbstwahrnehmung vieler Betriebe bleibt trügerisch optimistisch.
Die große Bedrohungslage – aber nur 15 Prozent sind betroffen?
Cyberangriffe gehören in deutschen Unternehmen längst zum Alltag. 15 Prozent der befragten Unternehmen berichten von mindestens einem IT-Sicherheitsvorfall im vergangenen Jahr – vier Prozentpunkte mehr als noch 2023. Besonders erschreckend: Die häufigste Angriffsform bleibt Phishing – in 84 Prozent der erfolgreichen Angriffe war diese Methode im Spiel. Die Dunkelziffer dürfte deutlich höher liegen, denn viele Angriffe bleiben unentdeckt oder werden nicht gemeldet.
![Abb. 01: Anteil erfolgreicher Cyberangriffe und häufigste Angriffsarten [Frage: Um welche Art von IT-Sicherheitsvorfall bzw. Cyberangriffen handelte es sich? (Mehrfachnennungen) | Basis: Unternehmen, die in den letzten zwölf Monaten mindestens einen IT-Sicherheitsvorfall hatten (n=89)]](/fileadmin/_processed_/6/d/csm_Abb-01_TUEV-Verband_20250611_ff69091f52.png "Abb. 01: Anteil erfolgreicher Cyberangriffe und häufigste Angriffsarten [Frage: Um welche Art von IT-Sicherheitsvorfall bzw. Cyberangriffen handelte es sich? (Mehrfachnennungen) | Basis: Unternehmen, die in den letzten zwölf Monaten mindestens einen IT-Sicherheitsvorfall hatten (n=89)]")
Abb. 01: Anteil erfolgreicher Cyberangriffe und häufigste Angriffsarten [Frage: Um welche Art von IT-Sicherheitsvorfall bzw. Cyberangriffen handelte es sich? (Mehrfachnennungen) | Basis: Unternehmen, die in den letzten zwölf Monaten mindestens einen IT-Sicherheitsvorfall hatten (n=89)]
Gleichzeitig zeigen sich große Unterschiede je nach Unternehmensgröße. Große Unternehmen mit mehr als 250 Mitarbeitenden berichten deutlich häufiger von Angriffen – insbesondere durch organisierte Kriminalität (73 Prozent) und staatlich gelenkte Hackergruppen (64 Prozent). Kleinbetriebe sehen die Gefahr weniger häufig – eine gefährliche Fehleinschätzung, wie Praxisbeispiele zeigen.
Hybride Angriffe und Lieferkettensabotage
Immer öfter erfolgen Cyberangriffe nicht direkt, sondern über Partner: Zulieferer, Kunden oder externe Dienstleister dienen Angreifern als Einfallstor. Die Studie zeigt: Nur ein Drittel der Unternehmen stellt überhaupt IT-Sicherheitsanforderungen an seine Partner, und lediglich 6 Prozent führen regelmäßige Audits durch.
![Abb. 02: Anforderungen und Audits in der Lieferkette – Sicherheitslücke Drittanbieter [Fragen: Stellt Ihr Unternehmen Anforderungen an die Cybersicherheit Ihrer Zulieferer? Müssen Sie selbst als Zulieferer bestimmte Anforderungen bei der Cybersicherheit erfüllen, die an Ihr Unternehmen gestellt werden? | Basis: Alle befragten Unternehmen (n=506) | Frage: Führen Sie Cybersicherheitsaudits bei Ihren Zulieferern durch, um potenzielle Risiken zu identifizieren? | Angaben in Prozent | Basis: Alle befragten Unternehmen (n=506)]](/fileadmin/_processed_/6/7/csm_Abb-02_TUEV-Verband_20250611_6b92d7bd23.png "Abb. 02: Anforderungen und Audits in der Lieferkette – Sicherheitslücke Drittanbieter [Fragen: Stellt Ihr Unternehmen Anforderungen an die Cybersicherheit Ihrer Zulieferer? Müssen Sie selbst als Zulieferer bestimmte Anforderungen bei der Cybersicherheit erfüllen, die an Ihr Unternehmen gestellt werden? | Basis: Alle befragten Unternehmen (n=506) | Frage: Führen Sie Cybersicherheitsaudits bei Ihren Zulieferern durch, um potenzielle Risiken zu identifizieren? | Angaben in Prozent | Basis: Alle befragten Unternehmen (n=506)]")
Abb. 02: Anforderungen und Audits in der Lieferkette – Sicherheitslücke Drittanbieter [Fragen: Stellt Ihr Unternehmen Anforderungen an die Cybersicherheit Ihrer Zulieferer? Müssen Sie selbst als Zulieferer bestimmte Anforderungen bei der Cybersicherheit erfüllen, die an Ihr Unternehmen gestellt werden? | Basis: Alle befragten Unternehmen (n=506) | Frage: Führen Sie Cybersicherheitsaudits bei Ihren Zulieferern durch, um potenzielle Risiken zu identifizieren? | Angaben in Prozent | Basis: Alle befragten Unternehmen (n=506)]
Besonders kritisch: Unternehmen aus Handel und Industrie sind laut Studie besonders stark betroffen – hier halten 26 Prozent (Industrie) bzw. 33 Prozent (Handel) die Risiken für hoch. Doch nur jedes zehnte Unternehmen erkennt Angriffe über Dritte überhaupt. Dies deutet auf erhebliche blinde Flecken im Monitoring hin.
Artificial Intelligence: Die unterschätzte Angriffsfläche
Während Cyberkriminelle zunehmend AI einsetzen, um ihre Angriffe zu automatisieren und zu individualisieren, bleibt der Einsatz von AI auf der Verteidigungsseite eher die Ausnahme. Nur 10 Prozent der befragten Unternehmen nutzen AI aktiv zur Abwehr, obwohl 89 Prozent davon überzeugt sind, dass AI-Angriffe deutlich effizienter und zielgerichteter sind.
Erst jüngst hat die Veröffentlichung "LLM Agents can Autonomously Exploit One-day Vulnerabilities" von Richard Fang, Rohan Bindu, Akul Gupta und Daniel Kang die Fähigkeiten von großen Sprachmodellen (LLMs) untersucht, inwieweit GPT-4, "one-day vulnerabilities" (d.h. Ein-Tages-Schwachstellen) in realen Systemen autonom ausnutzen kann. Die Hauptergebnisse der wissenschaftlichen Studie zeigen, dass LLMs, insbesondere GPT-4, eine hohe Erfolgsrate (87 Prozent) bei der Ausnutzung von "one-day vulnerabilities" aus einem Datensatz aufweisen, wenn sie detaillierte CVE-Beschreibungen erhalten.
![Abb. 03: AI erhöht die Zielgenauigkeit von Angriffen [Frage: Ich werde Ihnen nun einige Aussagen zum Einsatz von KI bei Cyberangriffen vorlesen. Inwiefern stimmen Sie diesen zu oder nicht zu? | Basis: Alle befragten Unternehmen (n=506)]](/fileadmin/_processed_/3/b/csm_Abb-03_TUEV-Verband_20250611_d216d145ff.png "Abb. 03: AI erhöht die Zielgenauigkeit von Angriffen [Frage: Ich werde Ihnen nun einige Aussagen zum Einsatz von KI bei Cyberangriffen vorlesen. Inwiefern stimmen Sie diesen zu oder nicht zu? | Basis: Alle befragten Unternehmen (n=506)]")
Abb. 03: AI erhöht die Zielgenauigkeit von Angriffen [Frage: Ich werde Ihnen nun einige Aussagen zum Einsatz von KI bei Cyberangriffen vorlesen. Inwiefern stimmen Sie diesen zu oder nicht zu? | Basis: Alle befragten Unternehmen (n=506)]
Dabei bietet AI enorme Potenziale für die Cyberabwehr: Anomalie-Erkennung, Schwachstellenanalyse oder automatisierte Reaktion könnten helfen, Angriffe frühzeitig zu erkennen – vorausgesetzt, Unternehmen investieren in entsprechende Systeme und Expertise.
Trügerische Sicherheit: Wenn Wahrnehmung und Wirklichkeit auseinanderklaffen
Ein zentrales Ergebnis der Studie ist die massive Diskrepanz zwischen Bedrohung und Selbstwahrnehmung. 91 Prozent der Unternehmen bewerten ihre Cybersicherheit als "gut" – darunter 93 Prozent der IT-Leiter und sogar 88 Prozent der CEOs. Gleichzeitig übersteht laut Studie nur rund zwei Drittel der betroffenen Unternehmen einen Cyberangriff wirklich schadlos – 6 Prozent berichten von schweren Schäden, ein Prozent von existenzbedrohenden Folgen. Die Dunkelziffer ist hoch.
Besonders gefährlich ist diese Selbstüberschätzung im Mittelstand: Hier fehlt es oft an Ressourcen, Expertise – und an einer realistischen Einschätzung der Bedrohungslage.
Schatten-IT, Altgeräte und menschliches Versagen
Viele Unternehmen unterschätzen auch die internen Risiken. Schatten-IT – also nicht registrierte oder veraltete Geräte und private Tools der Mitarbeiter – ist nur für 12 Prozent der befragten Unternehmen problematisch. Dabei könnten diese unkontrollierten Geräte Einfallstore für Angreifer sein. Nur etwa zwei von fünf Unternehmen (43 Prozent) fahnden regelmäßig nach nicht registrierten Geräten oder nach Hardware, die nicht mehr genutzt wird oder sogar vergessen worden ist. Die Mehrheit (54 Prozent) tut dies nicht. Gut ein Viertel (28 Prozent) hat einen klar definierten Prozess für die Abkopplung alter Geräte und Systeme. Zumindest teilweise definierte Prozesse finden sich ebenfalls bei rund einem Viertel (28 Prozent). Auf einen definierten Prozess verzichten 39 Prozent der Unternehmen.
![Abb. 04: Risiken durch Schatten-IT: Altgeräte und unsichtbare Schwachstellen [Fragen: Suchen Sie regelmäßig nach nicht registrierten IT-Geräten oder sogenannten Geräteleichen, also vergessenen bzw. versteckten Geräten? Basis: Alle befragten Unternehmen (n=506) | Gibt es in Ihrem Unternehmen einen Prozess zur Abkoppelung alter Geräte und Systeme? Basis: Alle befragten Unternehmen (n=506)]](/fileadmin/_processed_/e/4/csm_Abb-04_TUEV-Verband_20250611_9adca4d6c3.png "Abb. 04: Risiken durch Schatten-IT: Altgeräte und unsichtbare Schwachstellen [Fragen: Suchen Sie regelmäßig nach nicht registrierten IT-Geräten oder sogenannten Geräteleichen, also vergessenen bzw. versteckten Geräten? Basis: Alle befragten Unternehmen (n=506) | Gibt es in Ihrem Unternehmen einen Prozess zur Abkoppelung alter Geräte und Systeme? Basis: Alle befragten Unternehmen (n=506)]")
Abb. 04: Risiken durch Schatten-IT: Altgeräte und unsichtbare Schwachstellen [Fragen: Suchen Sie regelmäßig nach nicht registrierten IT-Geräten oder sogenannten Geräteleichen, also vergessenen bzw. versteckten Geräten? Basis: Alle befragten Unternehmen (n=506) | Gibt es in Ihrem Unternehmen einen Prozess zur Abkoppelung alter Geräte und Systeme? Basis: Alle befragten Unternehmen (n=506)]
Normen, Standards und Zertifizierung: Werkzeuge mit Anlaufhemmung
70 Prozent der Unternehmen sehen in Normen und Standards ein sinnvolles Mittel zur Erhöhung der Cybersicherheit. Doch gleichzeitig beklagen 59 Prozent hohe Kosten und 53 Prozent eine mangelnde Verständlichkeit der Vorgaben. Die Folge: Nur ein Drittel lässt sich zertifizieren – obwohl dies gerade für KMUs ein wertvoller Orientierungsrahmen wäre.
Ein weiteres Problem ist die mangelnde Kenntnis der europäischen NIS2-Richtlinie. Die Hälfte der Unternehmen kennt sie nicht – bei kleinen Unternehmen sogar 53 Prozent.
![Abb. 05: EU-Regulierung bringt Herausforderungen mit sich [Frage: Welche Herausforderungen sehen Sie bei der Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen? (Mehrfachnennungen) Basis: Alle befragten Unternehmen (n=506)]](/fileadmin/_processed_/3/3/csm_Abb-05_TUEV-Verband_20250611_b897e53b8c.png "Abb. 05: EU-Regulierung bringt Herausforderungen mit sich [Frage: Welche Herausforderungen sehen Sie bei der Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen? (Mehrfachnennungen) Basis: Alle befragten Unternehmen (n=506)]")
Abb. 05: EU-Regulierung bringt Herausforderungen mit sich [Frage: Welche Herausforderungen sehen Sie bei der Umsetzung der NIS2-Richtlinie in Ihrem Unternehmen? (Mehrfachnennungen) Basis: Alle befragten Unternehmen (n=506)]
Je nach Rolle variiert der Kenntnisstand deutlich: 61 Prozent der CEOs geben an, NIS2 nicht zu kennen, bei IT-Leitungen sind es 38 Prozent, bei IT-Sicherheitsverantwortlichen 46 Prozent und bei CISOs nur 27 Prozent.
Bei der Umsetzung sehen die Befragten eine Reihe von Herausforderungen. Besonders häufig genannt werden der Zeitaufwand (36 Prozent), die Kosten (34 Prozent) und die Berichtspflichten (33 Prozent) – gefolgt von rechtlichen Unklarheiten und der Abhängigkeit von externen Dienstleistern (je 26 Prozent). Nur eine Minderheit (4 Prozent) sieht keine Herausforderungen.
Regulatorik: Zwischen Bürokratie und Notwendigkeit
Die Mehrheit der Unternehmen befürwortet gesetzliche Vorgaben für IT-Sicherheit. 56 Prozent fordern eine gesetzliche Verpflichtung zur Umsetzung von Sicherheitsmaßnahmen. Gleichzeitig sehen 88 Prozent darin einen Bürokratieaufwand. Doch auch hier zeigt sich: IT-Sicherheitsvorfälle sind der effektivste Motivator – 84 Prozent der Unternehmen ändern ihre Prioritäten erst nach einem Vorfall.
Und auch Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist sich des Spagats bewusst. So scheibt die Präsidentin im Vorwort der Studie, dass das BSI nach dem Credo "Cybersicherheit vor Bürokratie" verfahren würde. "Für uns ist entscheidend, dass Unternehmen Planungssicherheit haben und wissen, was auf sie zukommt. Wir stellen die uns mögliche maximale Transparenz zu NIS-2 her und bieten mit Webinaren, einer NIS-2-Betroffenheitsprüfung und vielen Informationen Orientierung. Seien Sie versichert: Wir arbeiten zusammen an einem gemeinsamen Ziel!", so Claudia Plattner.
Handlungsempfehlungen: Mehr Mut zur Realität
Die TÜV-Studie verdeutlicht: Die deutsche Wirtschaft steht an einem Scheideweg. Zwischen Selbstüberschätzung und wachsender Bedrohung liegt ein gefährliches Vakuum, das es zu schließen gilt:
- KMUs dürfen bei ihrer Cyberabwehr nicht allein gelassen werden und benötigen mehr Unterstützung, um moderne Schutzmaßnahmen umzusetzen – etwa durch staatlich unterstützte Programme oder AI-Lösungen "as-a-Service".
- Die Umsetzung von NIS2 muss beschleunigt und praxisnah gestaltet werden.
- Cybersicherheit muss Chefsache werden – mit realistischen Lagebildern, regelmäßigen Penetrationstests und Schulungen aller Mitarbeiter, insbesondere auch bei der Umsetzung eines wirksamen und pragmatischen Risikomanagements.
- Lieferketten müssen verpflichtend auditiert werden, insbesondere in kritischen Branchen.
Cyberresilienz entsteht durch Risikomanagement – nicht durch Checklistenbürokratie
Ein zentraler Irrtum vieler Unternehmen ist der Glaube, dass Zertifizierungen und das Abhaken langer Checklisten allein ausreichenden Schutz bieten. Doch die Praxis zeigt, dass Organisationen mit einem wirksamen Risikomanagement – inklusive eines robusten Business Continuity Managements (BCM) –deutlich robuster auf Vorfälle reagieren – unabhängig davon, ob sie eine ISO-Zertifizierung tragen oder nicht.
Auch das "Handbuch Cyber-Risiken" der Allianz für Cybersicherheit (Internet Security Alliance) unterstreicht diese Einschätzung: Nicht Normen oder Tools machen Organisationen resilient, sondern die Fähigkeit, Cyberrisiken kontinuierlich zu identifizieren, zu analysieren und in unternehmerische Entscheidungen zu integrieren . Es geht um ein aktives, dynamisches Risikomanagement – nicht um starre Regelerfüllung.
Konkret bedeutet das:
- Die Betrachtung szenariobasierter Risiken statt abstrakter Bedrohungs- oder Gefahrenlisten.
- Die Integration von IT-Risiken in das Enterprise Risk Management (ERM).
- Die Anwendung von quantitativen Methoden wie stochastischen Simulationen, um Auswirkungen realistisch, fundiert und seriös zu bewerten.
- Ein wirksames Business Continuity Management und Krisenmanagement, damit Organisation nach einer Cyberattacke recht zügig wieder in einen Normalzustand zurückkehren können. Hierzu gehören auch regelmäßige Notfallübungen, um Abläufe für den Ernstfall zu üben.
- Und vor allem: eine agile Reaktion auf neue und zukünftige Risikoszenarien (siehe AI), statt eines jährlichen Compliance-Checks nach Plan.
Dringend notwendig ist ein Paradigmenwechsel: Weg von auditgetriebenem Häkchensetzen – hin zu einer lebendigen Risikokultur, in der Sicherheit und Resilienz als Teil der Gesamtverantwortung einer Organisation – sowohl in privatwirtschaftlichen Unternehmen als auch im Bereich der Öffentlichen Hand – verstanden wird. Cybersicherheit darf kein technisches Compliance-Thema bleiben.
Auch für die politischen Akteure liefert die Studie konkrete Empfehlungen: Das neu geschaffene Bundesministerium für Digitales und Staatsmodernisierung (BMDS) und das Bundesinnenministerium müssen Cybersicherheit priorisieren und das Thema in die übergeordnete Sicherheitsstrategie der Bundesregierung einbinden. Die Kompetenzen und Zuständigkeiten zwischen den Ministerien und dem BSI müssen klar geregelt, die Cybersicherheitsagenda aktualisiert und Förderprogramme neu ausgerichtet werden.
Bei der Umsetzung der europäischen NIS2-Richtlinie ist Deutschland stark in Verzug. Die Bundesregierung muss das nationale Umsetzungsgesetz zügig auf den Weg bringen. Der Cyber Resilience Act (CRA) gilt als EU-Verordnung erst ab Dezember 2027 und muss wie geplant umgesetzt werden. Jetzt geht es darum, das Schutzniveau zu erhöhen und Staat, Wirtschaft und Zivilgesellschaft widerstandfähiger gegen kriminelle und staatliche Cyberangriffe zu machen.
