Eine aktuelle Umfrage von Vanson Bourne im Auftrag von Nozomi Networks Inc., dem Marktführer für OT- und IoT-Sicherheit, hat ergeben, dass weniger als die Hälfte der befragten deutschen Unternehmen die gesetzlichen Mindestanforderungen des IT-Sicherheitsgesetzes 2.0 erfüllen.
Das IT-Sicherheitsgesetz 2.0 erweitert die Befugnisse des BSI und verpflichtet KRITIS-Betreiber dazu, ihre IT-Infrastruktur gewissenhaft abzusichern. Die Aktualisierung 2.0 wurde 2021 verabschiedet mit dem Ziel, die seit 2015 geltenden Regelungen zukunftssicher zu machen. Die aktualisierte Version trägt auch der rasanten Weiterentwicklung der Hochtechnologie Rechnung.
Allerdings sind nicht alle Experten von der Novelle begeistert. So kritisierte Sebastian Artz vom Branchenverband Bitkom die Neufassung und meint: „[Der Entwurf] blickt mehr zurück als gestaltend nach vorn.“ Den „Stand der Technik“, auf den die Neufassung Bezug nimmt, bezeichnete Artz als ein „volatiles Konstrukt“.
Noch mehr Anlass zur Sorge gibt eines der zentralen Ergebnisse einer Umfrage, die Nozomi Networks unter 100 IT-Entscheidungsträgern in Auftrag gegeben hat, von denen viele in Sektoren mit kritischen Infrastrukturen tätig sind. Die Umfrage wurde im Februar 2022 vom Marktforschungsinstitut Vanson Bourne durchgeführt. Dabei erklärten nur 44 Prozent der befragten IT-Entscheider, dass ihre Unternehmen den gesetzlichen Sicherheitsanforderungen bereits gerecht werden.
Weniger als die Hälfte der deutschen Unternehmen erfüllt also die gesetzlichen Mindestanforderungen an die IT-Sicherheit. 54 Prozent der Befragten gaben an, dass die OT/IoT-Infrastruktur ihres Unternehmens anfällig für Cyberangriffe sei. Und 49 Prozent räumten ein, dass sie Schwierigkeiten haben, auf Cyberangriffe/Sicherheitsvorfälle zu reagieren oder sie nachzuverfolgen.
Während diese Ergebnisse den Eindruck erwecken könnten, dass die IT-Sicherheitsverantwortlichen die Vorschriften nicht ernst nehmen, wissen wir aus praktischer Erfahrung und der Beratung zahlreicher Unternehmen, dass das Problem woanders liegt. Es mangelt weder am Willen noch an den notwendigen finanziellen Mitteln. Vielmehr fehlt vielen Entscheidern die Orientierung und das technische Know-how, um zu klären, welche Maßnahmen und Lösungen sich am besten eignen, um die Sicherheitslücken in ihrem Unternehmen zu schließen, und zu bestimmen, wer sich längerfristig um die Weiterführung dieser Sicherheitsmaßnahmen kümmern soll.
Weiter ergab die Umfrage, dass die Bereitschaft zur Erhöhung der IT-Sicherheitsbudgets hoch ist, was darauf schließen lässt, dass sich die IT-Verantwortlichen des Problems durchaus bewusst sind. So meinten 78 Prozent der Befragten, dass die Ausgaben für die IT-Sicherheit infolge des IT-Sicherheitsgesetzes 2.0 steigen würden. Unklar ist dabei allerdings, ob der Grund für die geplanten zusätzlichen Investitionen die angespannte Bedrohungslage ist oder eher die Angst vor möglichen Strafen. 64 Prozent der Befragten gaben an, dass sie sich Sorgen wegen der drohenden Sanktionen machen.
Was immer aber auch die primäre Motivation für die steigenden IT-Sicherheitsbudgets sein mag: Die deutschen Unternehmen wissen um die unzureichende Sicherheit in ihren Betrieben und wollen Abhilfe schaffen.
Wichtig ist jetzt, schnell den ersten Schritt zu tun und die Kompetenz von IT-Sicherheitsexperten zu nutzen. Eine fachkundige Beurteilung und Beratung bietet nicht nur eine Orientierungshilfe: Die Experten können den individuellen Sicherheitsbedarf eines Unternehmens ermitteln, geeignete Lösungen implementieren und in der Folge Unterstützung bei deren Betrieb und Pflege leisten.
Die vollständigen Ergebnisse der Umfrage finden Sie hier.