Bericht: Unordnung bei der Zuständigkeit für Cybersicherheit

Cybersecurity-Experte Dennis Weyel: „Unternehmen sollten einen Chief Information Security Officer als zentrale Instanz für Sicherheit einführen.“

Laut dem aktuellen Lagebericht 2024 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist die IT-Sicherheitslage in Deutschland als „alarmierend“ einzustufen. In der Wirtschaft hingegen ist die Verantwortung zur Bekämpfung von Cyberkriminalität größtenteils unkoordiniert und chaotisch organisiert. Diese Diskrepanz wird im „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai offengelegt, basierend auf einer Umfrage unter 300 Führungskräften vorwiegend aus mittelständischen Unternehmen. Die Ergebnisse zeigen, dass die Zuständigkeit für die interne IT-Sicherheit in vielen Firmen weitgehend ungeklärt bleibt.

Bei etwa einem Viertel der befragten Unternehmen (22 Prozent) obliegt diese Verantwortung dem Teamleiter IT, während bei 16 Prozent der Chief Technology Officer (CTO) zuständig ist und bei 14 Prozent der Chief Information Officer (CIO). Lediglich 13 Prozent haben einen Chief Information Security Officer (CISO), dessen Hauptaufgabe es ist, sich um die Informationssicherheit im Betrieb zu kümmern. In einem Viertel der Fälle sind untergeordnete Positionen wie IT-Manager oder Systemarchitekten verantwortlich für den Schutz gegen Cyberangriffe. Zudem trägt bei über einem Fünftel (21 Prozent) das Management des IT-Einkaufs die Gesamtverantwortung für die Sicherheitssysteme.

Kluft zwischen Bedrohungen und Verantwortlichkeiten

„Die Kluft zwischen den zunehmenden Bedrohungen durch Hackerangriffe und dem Chaos hinsichtlich Verantwortlichkeiten innerhalb von Unternehmen ist offensichtlich“, erklärt Dennis Weyel, International Technical Director bei Horizon3.ai. Er fügt hinzu: „Angesichts möglicher katastrophaler Folgen eines Cyberangriffs – von Betriebsstillständen bis hin zu Insolvenzen – sollten alle Firmen ernsthaft darüber nachdenken, einen CISO als zentrale Sicherheitsinstanz einzusetzen.“

Weyel vermutet zudem, dass das Durcheinander an Zuständigkeiten auch dafür verantwortlich sein könnte, dass fast ein Drittel (30 Prozent) der befragten Unternehmen angibt, in den letzten zwei Jahren keine Cyberattacken erlebt zu haben. „Niemand kann ernsthaft glauben machen wollen, dass sie zwei Jahre lang nicht ins Visier von Hackern geraten sind“, sagt er.

Daten-Erpressung wird zum Massenphänomen

Der Experte verweist auf BSI-Untersuchungen zufolge täglich mehr als 300.000 neue Schadsoftware-Angriffe verzeichnet werden können; ein Schwerpunkt liegt dabei auf automatisierten Angriffen mit Ransomware gegen mittelständische Betriebe – diese verschlüsseln Firmendaten und geben sie erst nach Lösegeldzahlungen wieder frei. „Daten-Erpressung entwickelt sich zunehmend zu einem lukrativen Geschäftsfeld“, weiß Dennis Weyel weiterzu berichten. Die Methoden cyberkrimineller Akteure werden immer professioneller; sie nutzen modernste Technologien und agieren äußerst aggressiv.

Automatisierte Pentesting-Plattform erhöht Resilienz

Horizon3.ai bietet mit NodeZero eine automatisierte Plattform an, über welche Unternehmen ihre eigenen Systeme durch Penetrationstests auf Schwachstellen überprüfen können – dies dient dazu herauszufinden wie widerstandsfähig ihre Infrastruktur gegenüber Hackerangriffen tatsächlich ist. Eine Analyse von über 50.000 Tests hat ergeben: In rund 71 Prozent dieser Fälle war es für professionelle Hacker relativ einfach Zugang zum Unternehmensnetzwerk zu erhalten; beinahe in allen getesteten Fällen konnte NodeZero aufgrund bekannter Sicherheitslücken eindringen – Lücken also ,die viele Firmen noch nicht geschlossen hatten.

Aktive versus passive Sicherheitsstrategien

„Die Mehrheit der Unternehmen verlässt sich auf traditionelle passive Sicherheitsmaßnahmen ,die hauptsächlich aus einer mehrschichtigen Verteidigung ihrer Systeme bestehen “ ,erläutert Dennis Weyel .„Pentesting hingegen repräsentiert aktive Sicherheit und geht somit viel besser mit den wachsenden Bedrohungen um“. Er verdeutlicht diesen Unterschied anschaulich :„Passive Systeme sind vergleichbar mit einer Alarmanlage rund um ein Haus ,von deren Funktionsfähigkeit niemand überzeugt sein kann solange sie nie getestet wurde . Aktive Sicherheit bedeutet dagegen ,dass jede Nacht Einbruchsversuche unternommen werden um mögliche Schwachstellen aufzudecken bevor man am nächsten Tag handelt.“ Der Fachmann empfiehlt daher jedem Betrieb mindestens einmal monatlich solch eine Simulation eines Angriffs durchzuführen .

Dennoch zeigt eine Studie,dass nur gut die Hälfte(51Prozent )der befragten Firmen regelmäßig Pentests durchführen . Nur13Prozent setzen dabei automatisierte Lösungen ein – was Voraussetzung wäre um regelmäßige Tests effizient umzusetzen .38Prozent greifen stattdessen auf manuelle Prüfmethoden zurück wobei21Prozent externe Dienstleister engagieren .“Egal ob intern oder extern eingesetzt wird ;manuelles Testing erfordert deutlich mehr Aufwandund kostet damit auch mehr als automatisierte Lösungen “ merktDennisWeyelbeim Vergleich an.Der Spezialist führt fort :“Es geht hierbei nicht nur ums Geld sondern vielmehr darum,das unterschiedliche Schutzniveau auszumachen.Je günstigerund einfacheraktivesTesting durchgeführtwerdenkann desto häufiger wird es auch realisiert.Aufgrunddessen sollte man angesichts nahezu70neu entdeckterSchwachstellen pro Tag besonders darauf achten.”

ÜberHorizon3.aiundNodeZero:Horizon3.aibietetmitNodeZeroeineCloud-basiertePlattforman,wodurchUnternehmenundBehördenSelbsttestsihresITSystemsdurchführenkönnen,sog.Pentests.DankdesCloud-ModellsbleibenauchfürmittelständischeFirmenregelmäßigeTestserschwinglich.Horizon3.aianalysiertpermanentdieCybersicherheitslandschaftumneueSchwachstellensofortinBezugzunehmen.NodeZerodecktnichtnurSicherheitslückenaufsonderngibtauchkonkreteEmpfehlungenzurBehebungab.DiesePlattformunterstütztUnternehmenbeiderEinhaltungvonGovernance,Risiko&Compliance(GRC)-Vorgaben,inbesondereindemmindestenseinmalproWocheinterneSelbsttestsempfohlenwerden.

Markenhhinweis:NodeZeroundalleVarianten davonsindMarkenzeichenvonHorizon3.ai

Presseansprechpartner: