18 www.net-im-web.de 12/25 IT-Sicherheitslage bleibt angespannt Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an, das heißt kryptografische Schlüsselpaare, die zum Beispiel unkompliziert mittels Fingerabdruck freigegeben werden können. Resilienz wächst langsam Die Resilienz der Kritischen Infrastrukturen wächst langsam, aber stetig. Immer mehr Betreiber erfüllen inzwischen die Mindestanforderungen (Reifegrad 3), es zeigen sich jedoch noch deutliche Abstufungen zwischen den Präventions-, Verteidigungs- und Bewältigungsfähigkeiten. Während rund 80 Prozent der Betreiber bereits ein Informationssicherheitsmanagementsystem (ISMS) mit einem Reifegrad von mindestens 3 führten, lag der Anteil bei Business-Continuity-ManagementSystemen mit knapp zwei Dritteln deutlich darunter. Bei Systemen zur Angriffserkennung besteht hingegen noch deutlicher Nachholbedarf (48 %). Alle Unternehmen sind gefährdet Flächendeckende Resilienz der kleinen und mittleren Unternehmen (KMU) in Deutschland bleibt eine große Herausforderung. Vielen mangelt es nicht nur an Wissen und Fähigkeiten zur IT-Sicherheit, sondern bereits an der grundlegenden Einsicht, dass sie sehr wohl ein lohnendes Ziel für Cyberangriffe darstellen. Hintergrund dürfte eine grundlegende Fehleinschätzung der Bedrohungs- und Gefährdungslage sein: Für cyberkriminelle Angreifer sind weder Umsatz noch Branche ausschlaggebende Kriterien der Zielauswahl, sondern der Aufwand für den Angriff muss in einem günstigen Verhältnis zum erwarteten Nutzen stehen. Und dieser Aufwand steigt, je besser potenzielle Ziele geschützt sind. Angreifer suchen daher gezielt nach den verwundbarsten Angriffsflächen, denn auch Angriffe gerade auf kleine und Kleinstunternehmen lohnen sich, wenn der Aufwand vergleichsweise gering ist. Ziel für alle KMU muss es also sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Einen Einstieg in die Verbesserung der Cyberresilienz für KMU bietet der CyberRisikoCheck auf Basis der eigens entwickelten DIN SPEC 27076. Mehr Cyberresilienz gefordert Wie die KMU haben sich auch politische und politiknahe Stiftungen, Vereine, Verbände sowie politische Parteien noch gar nicht als attraktives Ziel für potenzielle Cyberangriffe erkannt. Dabei bieten sie unter Umständen nicht nur direkte Zugänge zu politischen Entscheidungsträgern, sondern auch sensible Informationen über nicht öffentliche und halböffentliche politische Debatten sowie über die politischen Willensbildungsprozesse in Deutschland. Im Rahmen fremdstaatlicher Destabilisierungsstrategien gegen demokratische Institutionen in Deutschland sind derartige Informationen von entscheidendem Wert. Sie sind oftmals wichtige Voraussetzungen für Informationsoperationen, die beispielsweise politische Stimmungen beeinflussen sollen oder die ganz grundsätzlich auf die Destabilisierung der Demokratie in Deutschland zielen. Vorgaben für die Cyberresilienz der Institutionen, die die demokratische politische Willensbildung in Deutschland tragen, werden bislang noch nicht gesetzlich geregelt. Die wehrhafte Demokratie sollte dies dringend nachholen. Trotz mehr potenzieller Ziele gingen in der Bundesverwaltung weniger E-Mails ein – hier sank die Zahl der Angriffe. Die Zahl blockierter Zugriffe auf schädliche Webseiten stieg jedoch um 23 Prozent 2025 gab es 461 Datenleaks mit Daten von deutschen Institutionen und Verbrauchenden. Betroffen waren Geburtsdaten (92 %), physische (72 %) und E-Mail-Adressen (63 %), plus z. B. Gesundheits- und Finanzdaten sowie Passwörter (Grafiken: BSI)
RkJQdWJsaXNoZXIy MjE2Mzk=