Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ermittelt, dass jeden Monat durchschnittlich mehr als 2.000 neue Schwachstellen in Software bekannt werden, von denen etwa 15 % als „kritisch“ eingestuft werden. „Angesichts dieser permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyberresilienz weiter stärken“, rät Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY, anlässlich der Veröffentlichung des Security-Report 2024 des Unternehmens, der kostenfrei zum Download steht.
Industrie vernachlässigt die Softwaresicherheit in vernetzten Assets
Dem Report zufolge hat die Industrie im letzten Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt. „Die Industrie hat auf diesem Gebiet 2025 einen enormen Nachholbedarf gegenüber dem Vorjahr“, sagt Jan Wendenburg. Dem Report über die Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) liegt eine Umfrage unter 300 Führungskräften aus der Industrie zugrunde.
Laut der Studie sollte die Cybersicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden. Ein Drittel davon stuft das für die Hackerabwehr verwendete Budget selbst als „begrenzt“ ein, geht also davon aus, dass hierauf mehr Wert gelegt werden sollte. Bei 27 % der Firmen liegt die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cybersicherheit im Unklaren, heißt es in dem Report. Lediglich 34 % der befragten Unternehmen verfügen über ein nach eigener Einschätzung „angemessenes“ oder sogar „signifikantes“ Budget für Initiativen zur Stärkung der Cyberresilienz. „Es ist den anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken“, empfiehlt der ONEKEY-CEO Jan Wendenburg für 2025.
Unternehmen verlassen sich laut Security-Report vor allem auf Dienstleister
Im Rahmen der Umfrage wollte ONEKEY auch wissen, mit welchen Maßnahmen die Firmen ihre Cyberresilienz prüfen. Demnach führen 36 % Bedrohungsanalysen durch, 23 % veranlassen Penetrationstests, 22 % setzen auf Intrusion Detection, also die aktive Überwachung von Netzwerken, und 15 % bevorzugen Schwachstellen-Assessments (Mehrfachnennungen waren erwünscht). 19 % stärken die Sicherheit durch Netzwerk-Segmentierung, so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittiert.
Als meist eingesetzte Maßnahme gegen Cyberkriminelle hat sich in der Umfrage jedoch kein technischer Schutz herausgestellt, sondern ein rechtlicher: 38 % der Unternehmen lassen sich von ihren IT-Dienstleistern und IT-Lieferanten vertraglich zusichern, dass alles sicher ist. Ob dies eine wirksame Maßnahme ist bleibt jedoch fraglich, da bei fast allen größeren Sicherheitsvorfällen in den letzten Jahren auch Lieferanten mit „vertraglich zugesicherter Sicherheit“ involviert waren, wie z. B. bei Cloudflare, Crowdstrike, Cisco und anderen.
Ein knappes Drittel (32 %) der in der Studie untersuchten Unternehmen hat Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen.
„Vordefinierte Geschäftsprozesse, die den Umgang mit Hackerangriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheitsrepertoire jeder Firma gehören“, erklärt Jan Wendenburg. Er begründet: „Angesichts der fortwährenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen.“
Security-Verbesserungen geschehen oft erst nach erfolgten Angriffen
Ein gutes Drittel (34 %) der Unternehmen kümmert sich immerhin nach einer Hackerattacke um mehr Sicherheit. Diese Firmen bemühen sich laut Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls und leiten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr von Cyberkriminellen ab. Ungefähr ebenso viele Unternehmen stehen Cyberangriffen indes mehr oder minder hilflos gegenüber, heißt es im „OT+IoT Cybersecurity Report“. Bei ihnen herrscht weitgehend Unklarheit darüber, wie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umzugehen ist. 16 % haben keine betrieblichen Verfahren entwickelt, um aus Cyberangriffen zu lernen und notwendige Verbesserungen umzusetzen.
Der Security-Report von ONEKEY steht zum kostenfreien Download bereit:
Zum Cybersecurity-ReportWeitere Informationen gibt es unter www.onekey.com.
SECURITY UNTER KONTROLLE findet im März 2026 statt
Für Security-Fachleute und -Interessierte interessant ist auch der OT-Security-Kongress SECURITY UNTER KONTROLLE, der am 17. und 18. März 2026 in Duisburg stattfindet. Der Kongress wurde ins Leben gerufen von der admeritia GmbH und dem Vulkan Verlag und wird von einem Beirat aus Betreibern, Integratoren, Herstellern, Behörden und der Akademia begleitet. Gemeinsam möchte das Event alle, die sich mit Security in der Industrie beschäftigen, zusammenbringen, fördern und als Community sichtbar machen.
Weitere Informationen gibt es unter www.atpinfo.de/security-unter-kontrolle.
