Der TÜV-Verband befragte Unternehmen zu ihrer Einschätzung der IT-Sicherheitslage – und die zogen ein optimistisches Fazit. Bei der Vorstellung der Umfrage in Berlin äußerte die BSI-Präsidentin Claudia Plattner deutliche Zweifel an dieser Selbsteinschätzung und warnte vor Sorglosigkeit.

15 Prozent der Firmen waren im vergangenen Jahr von konkreten IT-Sicherheitsvorfällen betroffen, bei denen Incident-Response-Teams tätig werden mussten, ergab eine Befragung von über 500 deutschen Unternehmen durch den TÜV-Verband. Und 91 Prozent der Unternehmen gaben zu Protokoll, dass sie bei der Cybersicherheit eher gut oder gar gut aufgestellt seien.

Dieses Ergebnis sieht die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit einiger Sorge: „Das ist ein Stück weit Wunschdenken“, mahnte Claudia Plattner, „da sind wir nicht!“. Die BSI-Erfahrungen aus dem Alltag sprächen regelmäßig eine ganz andere Sprache, ordnete Plattner die Umfrageergebnisse ein. Selbst beim „Seepferdchen“ der IT-Sicherheit, Plattners Kosename für den Cyberrisiko-Check, fielen bei Unternehmen regelmäßig Probleme auf. Bei Betreibern kritischer Infrastrukturen gebe es ebenfalls, etwa beim Informationssicherheits- und Business Continuity Management (BCM) regelmäßig „deutlich Luft nach oben“, auch wenn das BSI hier Verbesserungen sehe, so die Amtschefin.

Nur die Hälfte kennt NIS2

Überrascht gaben sich TÜV-Verbandspräsident Michael Fübi und Claudia Plattner auch von einem anderen Ergebnis der Befragung: Gerade einmal 50 Prozent der Befragten wollen bislang überhaupt von der überarbeiteten Netzwerk- und Informationssicherheitsrichtlinie (NIS2) gehört haben. Die stellt neue Sicherheitskriterien für Betreiber kritischer Infrastrukturen auf und wird voraussichtlich fast 30.000 Unternehmen in Deutschland betreffen.

Das deutsche Umsetzungsgesetz der NIS2-EU-Richtlinie ist derzeit wieder in Arbeit. Nicht nur die EU macht Druck, auch die BSI-Präsidentin sprach sich zum wiederholten Male dafür aus, hier möglichst zügig voranzukommen. Mehr Sensibilität in Führungsetagen erhofft sich Plattner von der erweiterten Geschäftsführerhaftung, die mit der NIS2 kommt und Sorgfaltspflichten für Unternehmenslenker festschreibt.

Cloudnutzung bringt neue Notwendigkeiten

Eine dritte Überraschung der Befragung: 79 Prozent der antwortenden Unternehmen meinen, dass sie ihre Unternehmensdaten ausschließlich in der EU speichern würden. Ob das tatsächlich — etwa bei großen Cloudanbietern — aber auch tatsächlich zutrifft, ist für die Firmen kaum überprüfbar. Es komme bei der Cloudnutzung vor allem auf ein professionelles Datenmanagement an, so TÜV-Verbandspräsident Michael Fübi. Bei hochvertraulichen Daten seien andere Voraussetzungen zu erfüllen als bei als bei weniger vertraulichen. Allerdings mangele es bislang am Risikobewusstsein bei Unternehmen.

„Cloudcomputing ist heutzutage notwendig, das ist die Industrialisierung der IT“, erklärte Claudia Plattner. Dabei müssten aber Regeln und technische Möglichkeiten beachtet werden. Weil nicht „gleich morgen nur nationale oder europäische Lösungen“ verfügbar seien, arbeite das BSI auch mit nicht Hyperscalern zusammen, die nicht aus Europa sind. Die Frage, ob Sicherheit gewährleistet werden könnten, sei auch bei europäischen oder nationalen Anbietern relevant: Ob im ruhenden oder im fließenden Zustand sollten sie grundsätzlich immer wirksam verschlüsselt sein und „bring your own key“ sei in allen Varianten grundsätzlich ratsam. Um Verfügbarkeit zu gewährleisten, sei es sinnvoll Backups bei anderen Anbietern zu haben und bei Applikationen in der Cloud auf Portabilität zu anderen Anbietern Wert zu legen.

Grundlage der Ergebnisse ist eine repräsentative Umfrage des Marktforschungsunternehmens Ipsos im Auftrag des TÜV-Verbands unter 506 Unternehmen ab 10 Mitarbeitenden in Deutschland. Befragt wurden Verantwortliche für IT-Sicherheit, darunter leitende Expertinnen und Experten für Cybersicherheit, IT-Leiter und Mitglieder der Geschäftsleitung.

(cku)