Cybersicherheit: Industrie muss nachbessern
Die Zahl der Sicherheitslücken in Software wächst rasant: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden monatlich über 2.000 neue Schwachstellen bekannt, rund 15 Prozent davon gelten als kritisch. Vor diesem Hintergrund rät Jan Wendenburg, CEO des Cybersicherheitsunternehmens Onekey, der deutschen Industrie, ihre Cyberresilienz 2025 weiter zu stärken.
Der „OT+IoT Cybersecurity Report 2024“ von Onekey zeigt, dass die Industrie im vergangenen Jahr die Softwaresicherheit in vernetzten Maschinen und Anlagen vernachlässigt hat. In einer Umfrage unter 300 Industrie-Führungskräften bewerteten zwei Drittel der Unternehmen ihre eigene Cybersicherheit als verbesserungsbedürftig.
Besonders problematisch ist die finanzielle Ausstattung: Ein Drittel der Firmen stuft ihr IT-Sicherheitsbudget selbst als „begrenzt“ ein. Bei 27 Prozent ist unklar, wie viel Geld für Cybersicherheit zur Verfügung steht. Nur 34 Prozent der Befragten sehen ihr Budget als „angemessen“ oder „signifikant“ an.
Rechtliche Absicherungen statt technischer Schutz
Viele Unternehmen setzen zur Absicherung weniger auf technische Lösungen als auf vertragliche Zusicherungen. Laut der Umfrage verlassen sich 38 Prozent darauf, dass IT-Dienstleister und Lieferanten vertraglich garantieren, dass ihre Systeme sicher sind. Ob dies ausreicht, ist fraglich. „Bei fast allen größeren Sicherheitsvorfällen der letzten Jahre waren auch Lieferanten mit „vertraglich zugesicherter Sicherheit“ involviert“, heißt es im Report.
Technische Schutzmaßnahmen werden weniger häufig genutzt. So setzen 36 Prozent der Firmen auf Bedrohungsanalysen, 23 Prozent auf Penetrationstests und 22 Prozent auf Intrusion Detection, also die aktive Überwachung von Netzwerken. 19 Prozent der Unternehmen nutzen Netzwerk-Segmentierung, um die Auswirkungen eines Angriffs einzuschränken. Lediglich 32 Prozent der Unternehmen haben klare Verfahren etabliert, um aus Sicherheitsvorfällen zu lernen und Verbesserungen umzusetzen.
Ein Drittel der Unternehmen analysiert und bewertet Sicherheitsvorfälle, um ihre Schutzmaßnahmen zu verbessern. Andererseits herrscht bei ebenso vielen Unklarheit darüber, wie mit Cyberangriffen umzugehen ist. 16 Prozent der Unternehmen haben keine festen Prozesse entwickelt, um aus Angriffen zu lernen.
„Vordefinierte Geschäftsprozesse, die den Umgang mit Hackerangriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheitsrepertoire jeder Firma gehören“, betont Wendenburg. „Angesichts der fortwährenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen.“
Links:
Anzeige
