Studie: Cybersicherheit in Geräten, Maschinen und Anlagen ist Top-Thema für Industrie in 2025

Laut der Studie „OT+IoT Cybersecurity Report 2024“ von ONEKEY hat die Industrie die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt. [...]

Das deutsche Bundesamt für Sicherheit in der Informations­technik (BSI) hat ermittelt, dass jeden Monat durchschnittlich mehr als 2.000 neue Schwachstellen in Software bekannt werden, von denen etwa 15 Prozent als „kritisch“ eingestuft werden. „Angesichts dieser permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyberresilienz weiter stärken“, rät Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Er verweist auf den „OT+IoT Cybersecurity Report 2024“ seines Unternehmens, demzufolge die Industrie im letzten Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt hat. „Die Industrie hat auf diesem Gebiet 2025 einen enormen Nachholbedarf gegenüber dem Vorjahr“, sagt Wendenburg. Der Studie über die Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) liegt eine Umfrage unter 300 Führungskräften aus der Industrie zugrunde. ONEKEY ist ein europäischer Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC).

Laut Studie sollte die Cybersicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden. Ein Drittel davon stuft das für die Hackerabwehr verwendete Budget selbst als „begrenzt“ ein, geht also davon aus, dass hierauf mehr Wert gelegt werden sollte. Bei 27 Prozent der Firmen liegt die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cyber­sicher­heit im Unklaren, heißt es in dem Report. Lediglich 34 Prozent der befragten Unternehmen verfügen über ein nach eigener Einschätzung „angemessenes“ oder sogar „signifikantes“ Budget für Initiativen zur Stärkung der Cyberresilienz. „Es ist den anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken“, empfiehlt Wendenburg für 2025.

Ein Gros der Firmen vertraut auf vertragliche Sicherheit

Im Rahmen der Umfrage wollte ONEKEY auch wissen, mit welchen Maßnahmen die Firmen ihre Cyberresilienz prüfen. Demnach führen 36 Prozent Bedrohungsanalysen durch, 23 Prozent veranlassen Penetrationstests, 22 Prozent setzen auf Intrusion Detection, also die aktive Überwachung von Netzwerken, und 15 Prozent bevorzugen Schwachstellen-Assessments (Mehrfachnennungen waren erwünscht). 19 Prozent stärken die Sicherheit durch Netzwerk-Segmentierung, so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittiert. 

Als meist eingesetzte Maßnahme gegen Cyberkriminelle hat sich in der Umfrage jedoch kein technischer Schutz herausgestellt, sondern ein rechtlicher: 38 Prozent der Unternehmen lassen sich von ihren IT-Dienstleistern und IT-Lieferanten vertraglich zusichern, dass alles sicher ist. Ob dies eine wirksame Maßnahme ist, bleibt jedoch fraglich, da bei fast allen größeren Sicherheitsvorfällen in den letzten Jahren auch Lieferanten mit „vertraglich zugesicherter Sicherheit“ involviert waren, wie z.B. bei Cloudflare, Crowdstrike, Cisco und anderen.

Ein knappes Drittel (32 Prozent) der in der Studie untersuchten Unternehmen hat Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen. „Vordefinierte Geschäftsprozesse, die den Umgang mit Hackerangriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheits­repertoire jeder Firma gehören“, erklärt Wendenburg: „Angesichts der fort­währenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen.“

„Cyberresilienz ganz oben auf der Agenda für 2025“

Ein gutes Drittel (34 Prozent) der Unternehmen kümmert sich immerhin nach einer Hackerattacke um mehr Sicherheit. Diese Firmen bemühen sich laut Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls und leiten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr von Cyberkriminellen ab. Ungefähr ebenso viele Unternehmen stehen Cyberangriffen indes mehr oder minder hilflos gegenüber, heißt es im „OT+IoT Cybersecurity Report“. Bei ihnen herrscht weitgehend Unklarheit darüber, wie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umzugehen ist. 16 Prozent haben keine betrieblichen Verfahren entwickelt, um aus Cyberangriffen zu lernen und notwendige Verbesserungen umzusetzen.

Deswegen empfiehlt Jan Wendenburg: „Die Unternehmensleitungen sollten Cyberresilienz ganz oben auf ihre Agenda für 2025 setzen.“