Die Ergebnisse zeigen, dass 79 Prozent der Unternehmen die aktuelle Bedrohungslage als wachsend bis stark wachsend einschätzen. Auch vor diesem Hintergrund hat die Bundesregierung 2021 das IT-Sicherheitsgesetz 2.0 auf den Weg gebracht, um die Bevölkerung vor Cyberangriffen und ihren Folgen zu schützen. Seit dem 1. Mai 2023 müssen betroffene Unternehmen den Einsatz von Systemen zur Angriffserkennung in ihrer IT-Infrastruktur, die zur Aufrechterhaltung der kritischen Versorgungsdienstleistungen unabdingbar ist, nachweisen. Obwohl solch ein System für andere Bereiche nicht verpflichtend ist, planen 71 Prozent der befragten Kritis-Unternehmen, auch beispielsweise in der Büro-IT, entsprechende Systeme zur Angriffserkennung zu etablieren. Bereits 21 Prozent haben ein derartiges System vollständig sowohl in den Pflichtbereichen als auch darüber hinaus eingeführt. 45 Prozent der Befragten planen die Einführung noch dieses Jahr und rund ein Drittel (33 Prozent) in den nächsten ein bis drei Jahren.
Oft fehlt Kompetenz
59 Prozent der befragten Unternehmen stufen sich als kompetent bis sehr kompetent beim verpflichtenden Melden von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, 56 Prozent bei der Prävention gegen Cyberrisiken. Bei jeweils über 40 Prozent der Unternehmen bestehe somit noch Verbesserungspotenzial hinsichtlich der Umsetzung der gesetzlichen Meldepflicht, so die Studienverantwortlichen. Dabei schätzt jedes zweite befragte Unternehmen (50 Prozent), dass IT-Sicherheitsvorfälle zu Kompromittierung sensibler und kritischer Daten führen würden. 45 Prozent befürchten bei einem Vorfall den Ausfall von für das Gemeinwesen relevanten Anlagen und 46 Prozent Umsatzeinbußen.
Mangel an Fachpersonal
Mehr als jedes zweite Kritis-Unternehmen (59 Prozent) sieht den Mangel an IT-Fachpersonal als eine der größten Herausforderungen für die kommenden zwei Jahre. Ein weiterer Schmerzpunkt ist für 44 Prozent der Befragten die Schwachstellenanalyse im Netzwerk. Weitere Herausforderungen sind mit 30 Prozent die Absicherung von kritischen Komponenten im Internet of Things (IoT) oder Industry Control Systems (ICS), die Inbetriebnahme notwendiger Security-Lösungen (28 Prozent) sowie die Erbringung von Nachweisen zur Informationssicherheit (23 Prozent). Secunet Security Networks AG