Wer heute stillsteht, fällt morgen zurück
Wie schützen wir die Lieferketten der deutschen Wirtschaft vor Cyberrisiken? Diese Frage stand im Mittelpunkt des ersten GDV (Gesamtverband der Deutschen Versicherungswirtschaft) Cyber-Frühstücks, bei dem Vertreter aus Wissenschaft, Politik, Wirtschaft und Informationssicherheit gemeinsam über die Herausforderungen für den Wirtschaftsstandort Deutschland diskutierten. Die Ergebnisse der aktuellen GDV-Analysen zeigen ein klares Bild: Die IT-Sicherheit vieler mittelständischer Unternehmen weist erhebliche Defizite auf – mit Auswirkungen weit über das einzelne Unternehmen hinaus.
Weitere Hintergründe und meine Einschätzung dazu gibt es auch im GDV-Interview „Wer heute stillsteht, fällt morgen zurück“.
Cyberrisiken gefährden ganze Lieferketten
Die GDV-Analysen durfte ich inzwischen bereits zum vierten Mal durchführen. Ziel war es, den tatsächlichen Sicherheitsstatus der teilnehmenden Unternehmen möglichst ganzheitlich zu bewerten. Dazu gehörten interne und externe Schwachstellenanalysen, ein umfangreiches Informationssicherheits-Assessment zur Bewertung organisatorischer und technischer Maßnahmen sowie realitätsnahe Phishing-Simulationen.
Ein wichtiger Aspekt dabei: Für die Phishing-Simulationen wurden keine Whitelists oder Ausnahmeregelungen eingerichtet. Die vorhandenen E-Mail-Sicherheitslösungen – einschließlich Spam-, Malware- und weiterer Schutzmechanismen – blieben vollständig aktiv. Die Simulation entsprach damit einem realen Angriffsszenario und bewertete sowohl die Wirksamkeit der technischen Schutzmaßnahmen als auch das Sicherheitsbewusstsein der Mitarbeitenden.
Die Ergebnisse sind eindeutig: 11 von 12 Unternehmen wiesen kritische Schwachstellen im internen Netzwerk auf. 75 % betrieben produktiv End-of-Life-Systeme mit einem maximalen CVSS-Wert von 10.0. Gleichzeitig scheiterte nahezu jedes zweite Unternehmen an der Phishing-Simulation. Besonders bemerkenswert: In diesen Fällen versagten sowohl Mensch als auch Technik – die Phishing-E-Mails passierten trotz aktivierter E-Mail-Sicherheitslösungen die Schutzmechanismen und führten zur Eingabe von Zugangsdaten.
Diese Schwachstellen gefährden nicht nur einzelne Unternehmen, sondern können sich entlang kompletter Liefer- und Wertschöpfungsketten auswirken.
Cyberresilienz ist ein Standortfaktor
Cyberresilienz ist längst mehr als IT-Sicherheit. Sie entscheidet zunehmend über die Stabilität von Lieferketten und damit über die Wettbewerbsfähigkeit des Wirtschaftsstandorts Deutschland. Informationssicherheit muss deshalb als Managementaufgabe verstanden werden und darf nicht ausschließlich in der IT-Abteilung verankert sein.
Drei zentrale Handlungsfelder
Aus Sicht des GDV ergeben sich drei wesentliche Handlungsfelder:
Resilienz in Unternehmen stärken: Klare Verantwortlichkeiten, wirksame Mindeststandards und praxisnahe Unterstützung – insbesondere für kleine und mittlere Unternehmen.
Lieferketten resilient gestalten: Kritische Abhängigkeiten transparent machen und Sicherheitsanforderungen möglichst einheitlich sowie risikoorientiert entlang der gesamten Lieferkette umsetzen.
Staat und Wirtschaft enger verzahnen: Gemeinsame Lagebilder, abgestimmte Krisenprozesse und klare Rollen schaffen, um systemische Cyberereignisse wirksam bewältigen zu können.
Technik allein reicht nicht
Neben den technischen Schwachstellen offenbarten die GDV-Analysen vor allem organisatorische Defizite. In 10 von 11 Unternehmen fehlten ein Informationssicherheitsmanagementsystem (ISMS), strukturierte Risikoanalysen oder etablierte Prozesse für den Umgang mit Sicherheitsvorfällen. Ohne diese Grundlagen bleiben technische Maßnahmen häufig isoliert und können ihr volles Potenzial nicht entfalten.
Fazit
Das größte Risiko sind nicht unbekannte Hackerangriffe, sondern bekannte Schwachstellen und fehlende organisatorische Strukturen. Unternehmen müssen Informationssicherheit als kontinuierlichen Verbesserungsprozess verstehen und Technik, Prozesse sowie den Faktor Mensch gleichermaßen berücksichtigen. Davon profitiert nicht nur das einzelne Unternehmen, sondern die gesamte Liefer- und Wertschöpfungskette.
Denn eines gilt heute mehr denn je: Wer heute stillsteht, fällt morgen zurück.
Link zum GDV-Interview „Wer heute stillsteht, fällt morgen zurück“.