Cybersicherheit ohne klare Führung – Cybersecurity without Clear Leadership

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die IT-Sicherheitslage in Deutschland im aktuellen Lagebericht 2024 als „besorgniserregend“ ein, aber in der Wirtschaft ist die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend „chaotisch“ organisiert. Diese Diskrepanz deckt der „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai auf, der auf einer Umfrage unter 300 Führungskräften überwiegend mittel­ständischer Firmen basiert. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.

Bei knapp einem Viertel der Firmen (22 Prozent) liegt die Verantwortung beim Teamleiter-IT, bei 16 Prozent ist der Chief Technology Officer (CTO) dafür verantwortlich und bei 14 Prozent der Chief Information Officer (CIO). Nur 13 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO), der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. Bei einem Viertel der befragten Firmen liegt die Zuständigkeit für die Abwehr von Cyber­kriminellen bei untergeordneten Positionen wie IT-Manager, Administrator oder System­architekten. Bei einem guten Fünftel (21 Prozent) trägt die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.

Widerspruch zwischen Bedrohungslage und Abwehrchaos

„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, sagt Dennis Weyel, Inter­national Technical Director bei Horizon3.ai. Er erklärt: „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen Chief Information Security Officer als zentrale Sicherheitsinstanz zu etablieren.“

Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ein Drittel (30 Prozent) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten feststellen konnten, meint Dennis Weyel. Er sagt: „Niemand kann ernsthaft glaubten, zwei Jahre lang von Hackern verschont geblieben zu sein“.

Daten-Erpressungen sind ein Massengeschäft

Der Sicherheitsfachmann verweist auf Untersuchungen des BSI, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwer­punkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt. „Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft“, weiß Dennis Weyel. Die Cyberkriminellen professionalisierten ihre Vorgehensweise, seien technisch auf dem neuesten Stand und gingen aggressiv vor.

Automatisierte Pentestplattform stärkt Resilienz

Horizon3.ai betreibt unter dem Namen NodeZero eine automatisierte Pentestplattform, über die Firmen Cyberangriffe auf ihre IT-Infrastruktur („Penetrationstest“) durchführen können, um die Resilienz gegenüber Hackerattacken auf die Probe zu stellen. Eine Auswertung von über 50.000 über NodeZero durchgeführten Testangriffen hat zutage gefördert, dass es bei 71 Prozent der Unter­nehmen für professionelle Hacker vergleichsweise leicht ist, an Zugangsdaten zum Firmennetzwerk zu gelangen. In beinahe 100.000 Fällen konnte NodeZero über Sicherheitslücken eindringen, die längst bekannt, aber bei den entsprechenden Unternehmen noch nicht gestopft waren.

Aktive versus passive Sicherheit

„Das Gros der Unternehmen verlässt sich auf herkömmliche passive Sicherheit, die im wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert“, erklärt Dennis Weyel, „Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter“. Er erläutert die Unterschiede anschaulich: „Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.“ Der Sicherheitsfachmann rät Unternehmen, mindestens einmal im Monat einen solchen „Einbruch“ zu simulieren, also einen Pentest auf die IT-Infrastruktur durchzuführen.

Dennoch führt laut Studie nur gut die Hälfte (51 Prozent) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendet hierzu automatisierte Systeme, was die Voraussetzung ist, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzen auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister. „Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Pentestingplattform“, gibt Dennis Weyel zu bedenken. Der Sicherheitsexperte erklärt: „Dabei geht es nicht in erster Linie um die Kosten, sondern um die Unter­schiede im Sicherheitsniveau. Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit ist, desto häufiger wird sie von den Unternehmen durchgeführt. Und die Regelmäßigkeit ist angesichts von täglich beinahe 70 neu entdeckten Schwachstellen in Computerprogrammen ein entscheidenden Faktor, um IT-Organisationen sicher zu halten.“

In 22 percent of companies, the IT team leader is responsible; in 16 percent, the Chief Technology Officer (CTO); and in 14 percent, the Chief Information Officer (CIO). Only 13 percent of companies have a CISO who is primarily responsible for operational information security. Responsibility for defending against cybercriminals lies with subordinate positions such as IT managers, administrators, or system architects in a quarter of the companies surveyed. A good fifth (21 percent) of companies have an IT purchasing manager who bears overall responsibility for IT security.

Dennis Weyel, International Technical Director at Horizon3.ai, says, „The contradiction between the worsening threat situation due to hacker attacks and the chaos of responsibility in defense on the company side is unmistakable.“ He explains: „In view of the potentially fatal consequences of a cyberattack, including business interruption and ultimately insolvency, all companies would be well advised to establish a CISO as a central security authority.“

Dennis Weyel says that the unclear allocation of responsibilities is probably also the reason why almost a third (30 percent) of the companies contacted in the survey could not detect any cyberattacks against themselves in the last 24 months. He adds, „No one can seriously believe that hackers have left them alone for two years.“

Data extortion is big business.

The security expert refers to studies by the BSI (German Federal Office for Information Security) which show that more than 300,000 new malware programs make their way through cyberspace daily, searching for victims. The BSI reports that a key focus is automated ransomware attacks targeting small and medium-sized enterprises (SMEs). These attacks encrypt company data and only release it after ransom payments are made. „Extortion using encrypted or stolen data is becoming a mass business,“ says Weyel. Cybercriminals have professionalized their approach, keeping up with technology and acting aggressively.

An automated penetration testing platform strengthens resilience.

Horizon3.ai operates NodeZero, an automated penetration testing platform that allows companies to conduct cyberattacks on their IT infrastructure („penetration tests“) to test their resilience against hacker attacks. An analysis of over 50,000 test attacks conducted via NodeZero revealed that, for 71 percent of companies, professional hackers could easily obtain access to the company network. In nearly 100,000 cases, NodeZero was able to exploit long-known security vulnerabilities that had not yet been addressed by the respective companies.

Active versus Passive Safety

„Most companies rely on conventional passive security, which essentially involves building a multi-layered protective wall around IT systems,“ explains Dennis Weyel. „Pentesting, on the other hand, stands for offensive security and thus significantly better addresses the growing threat landscape.“ He clearly explains the differences: „Passive safety systems are like a multi-layered alarm system around a house. Nobody knows if it will work in the event of a break-in because it is never tested.“ Active security means that every night, an attempt is made to break in via every conceivable route to uncover security vulnerabilities that can be rectified the following day. Weyel advises companies to simulate a „break-in“ at least once a month by carrying out a penetration test on their IT infrastructure.

However, according to the study, only 51 percent of the 300 companies surveyed conduct penetration tests. Only 13 percent use automated systems for this purpose, which is necessary for maintaining regularity appropriate to the threat level. Thirty-eight percent rely on manual penetration testing, 21 percent of which use external security service providers. Dennis Weyel points out, „Regardless of whether external or internal resources are used, manual penetration testing is much more complex and therefore more expensive than using an automated penetration testing platform.“ The security expert explains: „This is not primarily about the costs, but about the differences in the level of security.“ The more cost-effective and automated the active review of IT security is, the more frequently companies will carry it out. Given that nearly 70 new vulnerabilities in computer programs are discovered daily, regularity is crucial to keeping IT organizations secure.