BSI/TÜV‑CYBERSECURITY‑STUDIE 2025: UNTERNEHMEN UNTERSCHÄTZEN DIE GEFAHREN

17.06.2025

Statistiken zu Cybersecurity 2025

Am 11. Juni 2025 präsentierten der TÜV‑Verband und das BSI eine neue repräsentative Studie zur Cybersicherheit in der deutschen Wirtschaft. Sie bestätigt, was wir in der täglichen Praxis erleben: Unternehmen überschätzen ihre Sicherheit und unterschätzen das Risiko. Wir geben in diesem Artikel eine Übersicht über die für uns wichtigsten Punkte.

1. Steigende Zahl erfolgreicher Angriffe

  • 15 % der Unternehmen wurden 2024 Opfer mindestens eines IT-Sicherheitsvorfalls – ein Anstieg um 4 Prozentpunkte gegenüber 2023. Ein Sicherheitsvorfall wird bei dieser Studie definiert als Erpressung, ausfallende Systeme und/oder abgeflossene Daten.
  • Dabei hatten 7 % der Unternehmen einen Sicherheitsvorfall, 8 % der Unternehmen mehrere. Das hören wir in den Erstgesprächen zunehmend. Erfolgreiche Hackerangriffe können durchaus mehrfach im Jahr bei dem gleichen Unternehmen erfolgen. Deshalb empfehlen wir nach einem Sicherheitsvorfall bei einem Kunden anschließend die Absicherung des IT-Systems und unterstützen bei der Umsetzung.
  • Und es trifft nicht nur Großkonzerne: Bei uns erleben wir fast täglich kleine und mittlere Betriebe, die nach einer Phishing-Attacke oder Ransomware‑Verschlüsselung reagieren müssen.

2. Phishing bleibt dominant – KI befeuert Angriffe

  • Bei 84 % der Vorfälle war Phishing beteiligt – ein Plus von 12 %.
  • KI-gestützte Angriffe gelten als zunehmend gezielter: 51 % der Unternehmen erwarten diese, während nur 10 % KI zur Verteidigung einsetzen.
  • In unserem Alltag stellen wir fest, dass sogar Administratoren Opfer von Phishing werden, weil dank KI die E-Mails individuell und mit Kontext erstellt werden. Zudem sind die Links so gestaltet, dass man auf vermeintlich vertrauenswürdige Webseiten geleitet wird (Beispiel: Microsoft Forms). Hier hilft ein SOC oder ein MEDR.

3. Trügerisches Sicherheitsgefühl

  • 91 % der Unternehmen bewerten ihre Sicherheit als „gut“ oder „sehr gut“, während 27 % IT-Sicherheit als irrelevant einstufen. Da bei dieser Studie 15 % der Unternehmen mindestens einen Sicherheitsvorfall hatten, wird klar, dass die eigene Sicherheit oft deutlich überschätzt wird.
  • Unternehmen verlieren wertvolle Monate, weil sie Prävention zugunsten von Status‑quo‑Sicherheit vernachlässigen. Wir haben Unternehmen erlebt, die so lange mit der Prävention gewartet hatten, bis das Unternehmen per Ransomware verschlüsselt wurde. Der Vorfall war deutlich teurer als die Prävention gewesen wäre.

4. Schatten-IT und Altgeräte als Einfallstore

  • Nur 75 % erfassen systematisch alle IT-Geräte, 39 % haben keinen Austrittsprozess für alte Hardware.
  • Bei unseren Pentests für Kunden sehen wir regelmäßig „vergessene“ Endgeräte, die weit über Standard‑Firewalls hinaus angreifbar sind. Zunehmend sichern wir alte Produktionsmaschinen OT gegen Hackerangriffe.

5. Lieferkette – unterschätztes Risiko

  • 10 % der Vorfälle liefen über Zulieferer oder Kunden; 32 % stellen Sicherheitsanforderungen – nur 6 % führen entsprechende Audits durch.
  • Wir beobachten Fälle, in denen Drittsysteme als Einfallstor dienen und entdecken bei unseren externen Pentests regelmäßig offene Schwachstellen durch Lieferketten.

6. Normen und Regulierung – bekannt, aber selten umgesetzt

  • 70 % sehen Normen wie ISO 27001 als wichtig, doch nur 22 % setzen sie konsequent um.
  • Kaum die Hälfte kennt die kommende NIS‑2‑Richtlinie, obwohl sie für schätzungsweise 29.000 neue „wesentliche“ Einrichtungen gilt.
  • Auch dies entspricht unseren Erfahrungen: Es herrscht ein tiefes Verständnis‑Handlungs‑Gap, deshalb unterstützen wir bei Zertifizierungen und deren Umsetzung. Nutzen Sie unser NIS-2 Whitepaper und prüfen Sie in wenigen Minuten mit unserem Test, ob NIS-2 für Ihr Unternehmen relevant ist.

7. KI als Mittel zur Verteidigung

  • Nur 10 % nutzen KI zur Abwehr – etwa für Anomalie-Erkennung oder automatisierte Reaktion.
  • Für einen effektiven IT-Dauerschutz setzen wir gezielt KI-basierte Tools für unsere Kunden ein, zum Beispiel in Form von MEDR. Die Nachfrage steigt stark.

8. Maßnahmen, die umgesetzt werden – aber oft halbherzig

  • 35 % investierten in Fortbildungen, 22–23 % führten Pentests oder Notfallübungen durch.
  • Wichtig ist dabei eine Regelmäßigkeit. Es gibt ständig Änderungen und ein Lehrgang ist oft nicht zielführend. Wir führen daher realitätsnahe Phishing-Simulationen in Unternehmen durch. Die Mitarbeiter lernen oft mit nur einem Klick, wie schnell ein Angriff passieren kann.

Fazit: Unser IT-Dauerschutz wird durch die BSI/TÜV-Studie bestätigt

Anhand der Übersicht über die wichtigsten Punkte der Studie können Sie erkennen, dass wir in jedem dieser Bereiche aktiv sind und unsere Kunden sinnvoll absichern können. Diese Studie deckt sich mit unseren Erfahrungen aus dem Alltag. Gleichzeitig sehen wir auch die andere Seite, denn immer mehr Unternehmen melden sich proaktiv, sie investieren in Vorsorge und sichern ihr System ab. Wir sehen, dass Unternehmen dadurch Zeit, Geld und Nerven sparen, weil sie in der Praxis kaum noch angreifbar sind. Wir sehen die positive Reputation von sicheren Unternehmen. Sind wir damit am Ziel? Nein, denn die TÜV-Cybersecurity-Studie 2025 liefert uns eindringlich das Bild: Eine wachsende und intelligentere Angriffslandschaft trifft auf ein trügerisches Sicherheitsgefühl, unzureichend gemanagte Prozesse und zu zögerliche Maßnahmen. Deshalb:

Jetzt investieren, nicht reagieren

Nehmen Sie jetzt Kontakt mit uns auf für ein Erstgespräch.

Quellen: