foto freepik

Sicherheitsexperte Dennis Weyel: »Unternehmen sollten einen Chief Information Security Officer als zentrale Sicherheitsinstanz etablieren.«

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die IT-Sicherheitslage in Deutschland im aktuellen Lagebericht 2024 als »besorgniserregend« ein, aber in der Wirtschaft ist die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend »chaotisch« organisiert. Diese Diskrepanz deckt der »Cyber Security Report DACH 2025« des Sicherheitsunternehmens Horizon3.ai auf, der auf einer Umfrage unter 300 Führungskräften überwiegend mittelständischer Firmen basiert. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.

Bei knapp einem Viertel der Firmen (22 Prozent) liegt die Verantwortung beim Teamleiter-IT, bei 16 Prozent ist der Chief Technology Officer (CTO) dafür verantwortlich und bei 14 Prozent der Chief Information Officer (CIO). Nur 13 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO), der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. Bei einem Viertel der befragten Firmen liegt die Zuständigkeit für die Abwehr von Cyberkriminellen bei untergeordneten Positionen wie IT-Manager, Administrator oder Systemarchitekt. Bei einem guten Fünftel (21 Prozent) trägt die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.

Widerspruch zwischen Bedrohungslage und Abwehrchaos

»Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar«, sagt Dennis Weyel, International Technical Director bei Horizon3.ai. Er erklärt: »Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen Chief Information Security Officer als zentrale Sicherheitsinstanz zu etablieren.

Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ein Drittel (30 Prozent) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten feststellen konnten, meint Dennis Weyel. Er sagt: »Niemand kann ernsthaft glaubten, zwei Jahre lang von Hackern verschont geblieben zu sein«.

Daten-Erpressungen sind ein Massengeschäft

Der Sicherheitsfachmann verweist auf Untersuchungen des BSI, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwerpunkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt. »Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft«, weiß Dennis Weyel. Die Cyberkriminellen professionalisierten ihre Vorgehensweise, seien technisch auf dem neuesten Stand und gingen aggressiv vor.

Automatisierte Pentestplattform stärkt Resilienz

Horizon3.ai betreibt unter dem Namen NodeZero eine automatisierte Pentestplattform, über die Firmen Cyberangriffe auf ihre IT-Infrastruktur (»Penetrationstest«) durchführen können, um die Resilienz gegenüber Hackerattacken auf die Probe zu stellen. Eine Auswertung von über 50.000 über NodeZero durchgeführten Testangriffen hat zutage gefördert, dass es bei 71 Prozent der Unternehmen für professionelle Hacker vergleichsweise leicht ist, an Zugangsdaten zum Firmennetzwerk zu gelangen. In beinahe 100.000 Fällen konnte NodeZero über Sicherheitslücken eindringen, die längst bekannt, aber bei den entsprechenden Unternehmen noch nicht gestopft waren.

Aktive versus passive Sicherheit

»Das Gros der Unternehmen verlässt sich auf herkömmliche passive Sicherheit, die im Wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert«, erklärt Dennis Weyel, »Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter«. Er erläutert die Unterschiede anschaulich: »Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.« Der Sicherheitsfachmann rät Unternehmen, mindestens einmal im Monat einen solchen »Einbruch« zu simulieren, also einen Pentest auf die IT-Infrastruktur durchzuführen.

Dennoch führt laut Studie nur gut die Hälfte (51 Prozent) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendet hierzu automatisierte Systeme, was die Voraussetzung ist, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzen auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister. »Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Pentestingplattform«, gibt Dennis Weyel zu bedenken. Der Sicherheitsexperte erklärt: »Dabei geht es nicht in erster Linie um die Kosten, sondern um die Unterschiede im Sicherheitsniveau. Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit ist, desto häufiger wird sie von den Unternehmen durchgeführt. Und die Regelmäßigkeit ist angesichts von täglich beinahe 70 neu entdeckten Schwachstellen in Computerprogrammen ein entscheidender Faktor, um IT-Organisationen sicher zu halten.«

www.horizon3.ai

1243 Artikel zu „Verantwortung IT-Sicherheit“

News | Infrastruktur | IT-Security | Services | Tipps

KRITIS-Prinzipien für den Mittelstand: IT-Sicherheit mit Struktur

8. August 2025

In vielen mittelständischen Unternehmen läuft das Thema IT-Sicherheit noch zu sehr unter dem Radar. Es fehlen zum Beispiel klare Rollenverteilungen, die nötige Transparenz sowie definierte Notfallpläne. Es gibt jedoch funktionierende Vorbilder aus dem KRITIS-Bereich und fünf Prinzipien, die sich sofort übernehmen lassen. In puncto Cybersicherheit navigieren viele mittelständische Unternehmen im Blindflug. Laut einer Deloitte-Studie…