Fast die Hälfte der hiesigen Wirtschaft spricht sich dafür aus, dass der Staat ihr Dampf macht bei der IT-Sicherheit. 47 Prozent der Unternehmen halten in diesem Bereich wenig von Selbstregulierung und sprechen sich für höhere gesetzliche Anforderungen aus. 42 Prozent erwarten sich davon auch einen Beitrag dazu, "das ganze Internet sicherer" zu machen.

Dies geht aus einer repräsentativen Umfrage des Marktforschungsinstituts Ipsos im Auftrag des TÜV-Verbands im August und September hervor. Befragt wurden 503 deutschen Firmen mit mehr als zehn Mitarbeitern.

IT-Sicherheitsgesetz weitgehend unbekannt

Regulatorische Anforderungen wie das IT-Sicherheitsgesetz sehen 63 Prozent als hilfreich dabei an, "IT-Sicherheitsmaßnahmen zu vertreten und umzusetzen". 59 Prozent halten Vorgaben auf diesem Feld für wichtig. Andererseits gibt mit 36 Prozent jedes dritte Unternehmen an, das 2015 in Kraft getretene IT-Sicherheitsgesetz gar nicht zu kennen. Der Gesetzgeber wollte damit vor allem den Schutz kritischer Infrastrukturen (Kritis) wie Krankenhäuser, Energieversorger oder Telekommunikationsanbieter vor Cyberattacken erhöhen. Am ehesten sind die damit verknüpften Auflagen den Firmen in der Dienstleistungsbranche sowie im öffentlichen Dienst und dem Gesundheitswesen noch ein Begriff.

Ein Hauptgrund für das überraschend starke Gesuch um strengere staatlichen Vorgaben sind offenbar Erfahrungen mit Cyberkriminalität. 29 Prozent geben laut der am Montag in Berlin präsentierten Studie an, in den vergangenen Jahren bereits einen IT-Sicherheitsvorfall im eigenen Unternehmen gehabt zu haben, 13 Prozent in den vergangenen zwölf Monaten. Jedes vierte jüngst betroffene Unternehmen berichtet von Phishing-Angriffen, bei denen Schadsoftware in die Organisation eingeschleust wird. An zweiter Stelle steht mit 19 Prozent Ransomware wie Emotet, mit der Cyberkriminelle die IT-Systeme eines Betriebs lahmlegen und ihn dann erpressen.

Neun Prozent der Befragten verweisen auf Social Engineering: Mitarbeiter seien gezielt manipuliert worden, um Angreifern Zugang zu IT-Systemen zu verschaffen. Weitere festgestellte Angriffsformen sind Man-in-the-Middle-, Passwort- und DDoS-Attacken.

Produktivitätsausfälle – und steigende Security-Ausgaben

Obwohl einschlägige Vorfälle laut 71 Prozent der Teilnehmer binnen eines Tages erkannt und zügig behoben werden, berichtet fast die Hälfte der Betroffenen von einer "Minderung" oder gar einem "Ausfall der Produktivität" als Folge. 41 Prozent beklagen finanzielle Schäden. Bei fast jedem dritten betroffenen Unternehmen waren Dienste für Kunden zeitweise nicht verfügbar, 12 Prozent melden einen Imageverlust.

In den vergangenen zwei Jahren haben die Befragten viele Maßnahmen ergriffen, um die IT-Sicherheit zu steigern. 71 Prozent lassen sich von externen Spezialisten beraten. 64 Prozent haben neue Software für IT-Security eingeführt, 60 Prozent die Belegschaft geschult. Fast jede dritte Firma hat ihr Budget für IT-Sicherheit erhöht, 17 Prozent zusätzliche Mitarbeiter dafür eingestellt. 14 Prozent erklären, dass der Fachkräftemangel auf diesen Bereich durchschlage.

Mitarbeiter genervt und KI ein "Fluch"

Notfallübungen hat nur jedes vierte Unternehmen absolviert. 60 Prozent haben kein eigenes Budget für IT-Sicherheit. 32 Prozent geben zu, dass ihr Haus "bestimmte Risiken" in diesem Sektor bewusst in Kauf nehme. 58 Prozent beklagen, dass Mitarbeiter "häufig genervt" seien, weil sie bestimmte Anforderungen wie Authentifizierung oder Passwortwechsel erfüllen müssten.

Künstliche Intelligenz (KI) betrachten 63 Prozent unter dem Aspekt der Sicherheit eher als Fluch: Sie sehen darin eine steigende Gefahr, wenn sich die Technik in Händen von Cybergaunern befindet. Die große Furcht dabei ist, dass sich Online-Angriffe automatisieren und personalisieren lassen. Für den eigenen Schutz nutzt jedes achte Unternehmen KI, um vor allem Schadsoftware oder Ungewöhnlichkeiten in Datenströmen zu erkennen. 37 Prozent der KI-Anwender setzen auf Authentifizierungsverfahren wie die Gesichts- oder Spracherkennung.

Forderung: Beschränkung auf Kritis-Branchen aufgeben

Die Hälfte der Befragten wünscht sich eine Zertifizierung von IT-Produkten und IT-Systemen durch unabhängige Prüforganisationen. Sieben von zehn Unternehmen wünschen sich Orientierungshilfen zu bestehenden Regelwerken im Bereich der IT-Sicherheit wie der Norm DIN-ISO 27001. über die Hälfte drängt auf zusätzliche Standards für die Umsetzung von IT-Sicherheitsmaßnahmen.

Der Präsident des TÜV-Verbands Michael Fübi warb dafür, mit dem geplanten IT-Sicherheitsgesetz 2.0 Mindeststandards auch auf Entsorger, Fahrzeughersteller, Maschinenbauer oder die Chemieindustrie auszudehnen und "die Einschränkung auf Kritis-Branchen aufzugeben". Ferner müsse der Produktsicherheitsbegriff in der EU um digitale Aspekte erweitert werden. Bei hochautomatisierten und komplett selbstfahrenden Autos und vergleichbaren KI-Systemen benötigten die Prüfer zudem "Zugang zur Software und den Daten". Funktionen selbstlernender Algorithmen müssten von externen Stellen analysierbar sein, wie dies auch die Datenethik-Kommission verlange. (tiw)