Die TÜV Cybersecurity Studie 2025 zeigt: KI-gestützte Angriffe nehmen zu, aber noch nur wenige Unternehmen setzen KI zur Verteidigung ein. Die Studie liefert alarmierende Zahlen – und einige Handlungsempfehlungen. Die hybride Bedrohungslage verschärft sich: Staatliche und kriminelle Hacker attackieren gezielt Kritische Infrastrukturen, Unternehmen und staatliche Stellen. Besonders betroffen sind die Energieversorgung, das Gesundheitswesen und die Verteidigungsindustrie. Phishing, Erpressung, Datendiebstahl – die Angriffe werden raffinierter, häufig auch mit dem Einsatz von KI. Die Studie zeigt laut den Autoren: Zwar ist das Problembewusstsein gewachsen, doch viele Unternehmen sind unzureichend vorbereitet. Die Mehrheit der Befragten fordert daher klare gesetzliche Vorgaben und mahnt eine zügige Umsetzung der NIS-2-Richtlinie an.
Die wichtigsten Studienergebnisse auf einen Blick
- IT-Sicherheitsvorfälle nehmen zu: 15 Prozent der Unternehmen sind 2024 Opfer eines Cyberangriffs geworden – das ist ein Anstieg um vier Prozentpunkte im Vergleich zur TÜV Cybersecurity Studie 2023. Besonders häufig: Phishing (84 Prozent).
- KI wird zur Waffe – aber nicht zur Verteidigung: Die Hälfte der Unternehmen (51 Prozent) vermutet KI-gestützte Angriffe, doch nur zehn Prozent nutzen selbst KI zur Abwehr – etwa zur Anomalie-Erkennung oder automatisierten Reaktion.
- Lieferketten als Einfallstor: zehn Prozent der Unternehmen wurden über Zulieferer oder Kunden attackiert. Zwar stellen 32 Prozent Sicherheitsanforderungen an Partner – eine echte Auditierung ist allerdings selten.
- Cybersicherheitsniveau wird überschätzt: 91 Prozent der Unternehmen halten sich für „gut geschützt“ – trotz steigender Angriffszahlen und unzureichender technischer Abwehr.
- Normen geben Orientierung – werden aber selten voll umgesetzt: 70 Prozent halten sie für wichtig, aber nur 22 Prozent setzen sie konsequent um.
- Eine Mehrheit fordert Regulierung: 56 Prozent sprechen sich für gesetzliche Cybersecurity-Pflichten aus. Dennoch kennt nur die Hälfte der Befragten die NIS2-Richtlinie – ein gefährlicher “Blindspot”.
Empfehlungen für Unternehmen
- Cyberrisiken ernst nehmen: Unternehmen sollten eine qualifizierte Risikoanalyse durchführen und diese angesichts des dynamischen technologischen und geopolitischen Umfelds regelmäßig aktualisieren. Was ist besonders zu schützen (vgl. BIA, BCM)? Welche Bedrohungen gibt es? Was sind potenzielle Schwachstellen im Unternehmen? Diese und weitere Fragen gilt es zu beantworten. Je nach Größe, Branche und Tätigkeitsgebiet können Cyberrisiken sehr unterschiedlich bewertet werden.
- Eine Cybersecurity-Strategie entwickeln: Übergeordnetes Ziel der Strategie ist es, ein angemessenes Sicherheitslevel für das jeweilige Unternehmen zu definieren. Bestandteil dessen sollte eine IT-Sicherheitsrichtlinie sein. In dieser werden messbare Ziele definiert, konkrete Sicherheitsanforderungen festgelegt und klare Verantwortlichkeiten geschaffen. Sie ist die Basis für die Maßnahmenplanung.
- Einen Maßnahmenplan ausarbeiten: Auf Grundlage der Risikoanalyse und strategischer Überlegungen sollten konkrete Maßnahmen festgelegt werden.