Illustration Absmeier foto freepik ki

OT+IoT Cybersicherheitsreport: Wirtschaft hat ein zu niedriges Budget für Cybersicherheit.
Jan Wendenburg, CEO ONEKEY: »Unternehmen sollten auf Cybervorfall vorbereitet sein.«

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ermittelt, dass jeden Monat durchschnittlich mehr als 2.000 neue Schwachstellen in Software bekannt werden, von denen etwa 15 Prozent als »kritisch« eingestuft werden. »Angesichts dieser permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyberresilienz weiter stärken«, rät Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Er verweist auf den »OT+IoT Cybersecurity Report 2024« seines Unternehmens, demzufolge die Industrie im letzten Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt hat [1]. »Die Industrie hat auf diesem Gebiet 2025 einen enormen Nachholbedarf gegenüber dem Vorjahr«, sagt Jan Wendenburg. Dem Report über die Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) liegt eine Umfrage unter 300 Führungskräften aus der Industrie zugrunde.

Laut Studie sollte die Cybersicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden. Ein Drittel davon stuft das für die Hackerabwehr verwendete Budget selbst als »begrenzt« ein, geht also davon aus, dass hierauf mehr Wert gelegt werden sollte. Bei 27 Prozent der Firmen liegt die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cybersicherheit im Unklaren, heißt es in dem Report. Lediglich 34 Prozent der befragten Unternehmen verfügen über ein nach eigener Einschätzung »angemessenes« oder sogar »signifikantes« Budget für Initiativen zur Stärkung der Cyberresilienz. »Es ist den anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken«, empfiehlt der ONEKEY-CEO Jan Wendenburg für 2025.

Ein Gros der Firmen vertraut auf vertragliche Sicherheit

Im Rahmen der Umfrage wollte ONEKEY auch wissen, mit welchen Maßnahmen die Firmen ihre Cyberresilienz prüfen. Demnach führen 36 Prozent Bedrohungsanalysen durch, 23 Prozent veranlassen Penetrationstests, 22 Prozent setzen auf Intrusion Detection, also die aktive Überwachung von Netzwerken, und 15 Prozent bevorzugen Schwachstellen-Assessments (Mehrfachnennungen waren erwünscht). 19 Prozent stärken die Sicherheit durch Netzwerksegmentierung, so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittiert.

Als meist eingesetzte Maßnahme gegen Cyberkriminelle hat sich in der Umfrage jedoch kein technischer Schutz herausgestellt, sondern ein rechtlicher: 38 Prozent der Unternehmen lassen sich von ihren IT-Dienstleistern und IT-Lieferanten vertraglich zusichern, dass alles sicher ist. Ob dies eine wirksame Maßnahme ist bleibt jedoch fraglich, da bei fast allen größeren Sicherheitsvorfällen in den letzten Jahren auch Lieferanten mit »vertraglich zugesicherter Sicherheit« involviert waren, wie z.B. bei Cloudflare, Crowdstrike, Cisco und anderen.

Ein knappes Drittel (32 Prozent) der in der Studie untersuchten Unternehmen hat Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen. »Vordefinierte Geschäftsprozesse, die den Umgang mit Hackerangriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheitsrepertoire jeder Firma gehören«, erklärt Jan Wendenburg. Er begründet: »Angesichts der fortwährenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen.«

Jan Wendenburg: »Cyberresilienz ganz oben auf der Agenda für 2025.«

Ein gutes Drittel (34 Prozent) der Unternehmen kümmert sich immerhin nach einer Hackerattacke um mehr Sicherheit. Diese Firmen bemühen sich laut Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls und leiten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr von Cyberkriminellen ab. Ungefähr ebenso viele Unternehmen stehen Cyberangriffen indes mehr oder minder hilflos gegenüber, heißt es im »OT+IoT Cybersecurity Report«. Bei ihnen herrscht weitgehend Unklarheit darüber, wie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umzugehen ist. 16 Prozent haben keine betrieblichen Verfahren entwickelt, um aus Cyberangriffen zu lernen und notwendige Verbesserungen umzusetzen.

»Die Unternehmensleitungen sollten Cyberresilienz ganz oben auf ihre Agenda für 2025 setzen«, empfiehlt Jan Wendenburg.

[1] https://www.onekey.com/resource/ot-iot-cybersecurity-report-2024

[2] https://www.onekey.com/resources/research

199 Artikel zu „Cybersicherheit in Geräten, Maschinen und Anlagen“

Ausgabe 11-12-2024 | Security Spezial 11-12-2024 | News | IT-Security

Bewusstsein für Cybersicherheit – NIS2 macht Cybersicherheit zur Chefsache

17. Dezember 2024

Unternehmen die etablierte Standards wie ISO 27001, BSI-Grundschutz oder NIST bereits erfüllen, haben einen überschaubaren Weg zur NIS2-Compliance vor sich. Thomas Sandner, Senior Regional Technical Sales Director Germany, Veeam erklärt im Interview welche Auswirkungen NIS2 hat.

OT+IoT Cybersicherheitsreport: Wirtschaft hat ein zu niedriges Budget für Cybersicherheit.

Jan Wendenburg, CEO ONEKEY: »Unternehmen sollten auf Cybervorfall vorbereitet sein.«

[1] https://www.onekey.com/resource/ot-iot-cybersecurity-report-2024

[2] https://www.onekey.com/resources/research

199 Artikel zu „Cybersicherheit in Geräten, Maschinen und Anlagen“