Sondervermögen : Vergesst die Cyberabwehr nicht!

Zwei Drittel der deutschen Unternehmen fühlen sich laut einer Bitkom-Studie durch Cyberattacken in ihrer Existenz bedroht. 2021 waren es erst neun Prozent. Gleichzeitig entstand der deutschen Wirtschaft im Jahr 2024 ein Schaden von 267 Milliarden Euro durch Cyberangriffe. Das ist mehr als die Zielgröße der aktuell zugesagten Verteidigungsausgaben von 5 Prozent des BIP. Dies zeigt die rasant wachsende Bedrohung durch teils schon KI-basierte Angriffe auf Daten und digitale Infrastrukturen.

Der Cisco Cybersecurity Readiness Index 2025 unterstreicht die beunruhigenden Ergebnisse: Nur fünf Prozent der deutschen Unternehmen sind optimal auf Cyberattacken vorbereitet. Nicht nur kleine und mittelständische Unternehmen, auch DAX-Konzerne und vor allem kritische Infrastrukturen sind häufig nicht ausreichend geschützt.

Problematische Kompromisse bei NIS-2

Dabei stehen sowohl die geeigneten technischen Lösungen als auch die nötigen Gesetze zur Verfügung. Allerdings werden sie noch viel zu halbherzig umgesetzt. Cyberabwehr ist daher eine Frage der strategischen und politischen Priorisierung und diese hat aktuell nicht überall den notwendigen Stellenwert.

Ein Beispiel ist der Umgang mit der EU-Richtlinie NIS-2. Die Umsetzung der Gesetzgebung wurde in Deutschland zwar gestartet und soll nun zügig erfolgen, doch Deutschland ist bereits jetzt im Verzug.

Weiterhin nimmt der neue Entwurf die Verschärfungen gegenüber nicht-vertrauenswürdigen Herstellern wieder zurück und es ist unklar, ob alle Behörden der Bundesregierung dem gleichen Schutzniveau unterliegen. Diese Kompromisse beeinträchtigen die notwendige umfassende und zuverlässige Cybersicherheit in Deutschland, da das schwächste Glied in der Kette oft das gesamte System gefährdet. Darum sollte die NIS-2 nun schnell, klar und kompromisslos umgesetzt werden, um kritische Unternehmen und Behörden zumindest auf einen gewissen Grundschutz zu verpflichten.

Vor allem für KMU ist NIS-2 eine Herausforderung, da der Großteil nicht zu den wohl 30.000 klassifizierten Organisationen in Deutschland gehört. Darum und auch wegen mangelndem Personal und fehlenden Budgets wird das Thema Cybersicherheit oft nicht priorisiert – ein potenziell verhängnisvoller Fehler. Für kleine Unternehmen brauchen wir darum ein Förderprogramm für Cybersicherheitslösungen und zur Schulung der Beschäftigten. Für Unternehmen ab 100 Beschäftigten sollten es steuerliche Anreize erleichtern, einen Cybersicherheitsbeauftragten einzusetzen und in Security-Lösungen zu investieren.

Weiterbildung als Schlüssel

Gesetze und Technologien alleine reichen jedoch nicht aus, da Nutzerinnen und Nutzer immer wieder auf betrügerische Phishing-Mails oder gefälschte Telefonate hereinfallen. Daher ist mehr Cybersecurity-Bildung in der Breite und in der Spitze nötig. Denn inzwischen sind durch KI täuschend echt erstellte Texte, Audios und Videos möglich.

Viele Menschen wissen dies aber nicht und haben Schwierigkeiten, zwischen echt und KI-generiert zu unterscheiden. Gemeinsam müssen Politik, Wirtschaft und Technologie-Anbieter breit angelegte Weiterbildungsmaßnahmen organisieren, damit Privat-User und Mitarbeitende moderne Sicherheitsgefahren erkennen und abwehren können. Konsequenterweise sollten IT und IT-Sicherheit ein Schulfach sein, denn beides ist entscheidend für unseren Wohlstand und längst Teil unseres Alltags. Um nicht weiter hinterher zu laufen, sondern die Zukunft mit IT sicher zu gestalten, müssen wir in der Schule beginnen.

Zum Beispiel bietet Cisco seit 2019 dedizierte Cybersecurity-Weiterbildungsangebote über die Networking Academy an. Mehr als 100.000 Menschen haben diese kostenlosen Kurse in Deutschland bereits genutzt.

Altlasten der IT

Ein weiteres unterschätztes Cyber-Problem sind Altsysteme in der IT. Insbesondere wenn der Hersteller-Support abgelaufen ist und keine Updates mehr bereitgestellt werden, bieten sie Cyberkriminellen ein offenes Einfallstor.

Häufig wird versucht, dieses Problem auszusitzen oder es mit Notlösungen zu beheben. Das kann zwar vorübergehend Zeit und Geld sparen, führt aber zu einem immer höheren Risiko von Cyberangriffen. Cisco Talos hat analysiert, dass weltweit 30 % der beobachteten Angriffe über Sicherheitslücken erfolgen, die bereits älter als 10 Jahre sind.

Hier sollte die Politik günstige abonnementbasierte Beschaffungsmodelle fördern. Sie bieten hohe Flexibilität bei geringen Kosten. Aufgrund des Service-Charakters kann der Anbieter die Cybersicherheit ständig auf dem aktuellen Stand halten und die Kunden benötigen nur wenig Security-Kenntnisse.

Gleichzeitig sollten Behörden und die Betreiber kritischer Infrastrukturen verpflichtet werden, ihre nicht mehr unterstützten Altsysteme zu melden. Denn nicht gepatchte Systeme waren laut Cisco Talos: 2024 Year in Review die zweithäufigste Sicherheitslücke im vergangenen Jahr.

Ein Fazit

Bei der Verteidigung Deutschlands und der Verteilung des Sondervermögens sollte die Politik nicht nur an die Bundeswehr denken, sondern auch an Cybersicherheit. Nur mit einem umfassenden Schutz vor realen und virtuellen Angriffen kann Deutschland sicher und erfolgreich sein. Dafür braucht es neben einer breiten Cyberbildungsoffensive auch eine zügige NIS-2-Umsetzung, Förderprogramme für den Mittelstand und Leuchtturmprojekte wie den kürzlich von Alexander Dobrindt vorgeschlagenen Cyber Dome.