Fortschritte in der Cybersicherheit britischer Unternehmen sind ins Stocken geraten: So lässt sich das Problem beheben

Fortschritte bei der Cybersicherheit sind bei britischen Unternehmen ins Stocken geraten: So lässt sich das Problem beheben

Von Phil Muncaster • 24 April 2025

Jeden Tag lesen wir über die Schäden und Zerstörungen, die durch Cyberangriffe verursacht werden. Allein in diesem Monat Recherche ergab Die Hälfte der britischen Unternehmen musste aufgrund staatlicher Bedrohungen digitale Transformationsprojekte stoppen oder unterbrechen. Idealerweise würden solche Berichte bis zur Führungsspitze durchdringen und die Bemühungen zur Verbesserung der Cybersicherheit verdoppeln. Doch die neuesten Erkenntnisse der Regierung sprechen eine andere Sprache.

Leider ist der Fortschritt an mehreren Fronten ins Stocken geraten, wie aus den neuesten Umfrage zu Cybersicherheitsverstößen. Einer der wenigen positiven Aspekte des Jahresberichts ist die wachsende Bekanntheit von ISO 27001.

Größere Firmen im Fadenkreuz

Die seit 2016 veröffentlichte Regierungsstudie basiert auf einer Umfrage unter 2,180 britischen Unternehmen. Doch zwischen einem Kleinstunternehmen mit bis zu neun Mitarbeitern und einem mittleren (50–249 Mitarbeiter) oder großen (250+ Mitarbeiter) Unternehmen liegen Welten.

Deshalb dürfen wir die Schlagzeilen nicht überbewerten: Der Anteil der Unternehmen, die im vergangenen Jahr einen Cyberangriff oder eine Sicherheitsverletzung gemeldet haben, ist jährlich gesunken (von 50 % auf 43 %). Selbst die Regierung räumt ein, dass dieser Rückgang höchstwahrscheinlich darauf zurückzuführen ist, dass weniger Kleinst- und Kleinunternehmen Phishing-Angriffe erkennen. Möglicherweise liegt es einfach daran, dass sie aufgrund des böswilligen Einsatzes generativer KI (GenAI) immer schwerer zu erkennen sind.

Tatsächlich ist der Anteil mittlerer (67 %) und großer (74 %) Unternehmen, die Sicherheitsvorfälle melden, nach wie vor hoch. Große (29 %) und mittlere (20 %) Unternehmen sind zudem häufiger von negativen Folgen betroffen als Unternehmen insgesamt (16 %). Dies kann alles Mögliche umfassen, vom Verlust des Zugriffs auf Dateien und Drittanbieterdienste über beschädigte Systeme und langsamere Apps bis hin zum Diebstahl persönlicher Daten und Gelder. Darüber hinaus melden große Unternehmen am häufigsten Betriebsunterbrechungen wie:

Erfordert zusätzlichen Personalaufwand zur Bewältigung von Sicherheitsverletzungen/Angriffen (32 % gegenüber 17 % insgesamt)
Einführung neuer Sicherheitsmaßnahmen (26 % gegenüber 18 %)
Unterbrechung der täglichen Arbeit der Mitarbeiter (19 % vs. 9 %)
Unterbrechung der Dienstleistungs-/Warenlieferung (8 % vs. 3 %)
Entgegennahme von Kundenbeschwerden (6 % vs. 2 %)

Darüber hinaus wird geschätzt, dass insgesamt 20 % aller Unternehmen in den letzten 12 Monaten mindestens einmal Opfer einer Cyberkriminalität geworden sind. Bei mittleren Unternehmen sind es sogar 43 % und bei großen Unternehmen sogar 52 %.

Das Gute und das Schlechte

Die gute Nachricht ist, dass die meisten mittleren und großen Unternehmen wichtige Maßnahmen in jedem der Best Practices des NCSC ergriffen haben. 10-Schritt Leitfaden zur Verbesserung der Cybersicherheit. Der Anteil derjenigen, die in fünf oder mehr Bereichen Maßnahmen ergriffen haben, ist im vergangenen Jahr leicht gestiegen – von 80 % auf 82 % bei mittleren und von 91 % auf 95 % bei größeren Unternehmen. Darüber hinaus verfügen rund 95–100 % dieser Organisationen über mindestens drei bewährte technische Regeln oder Kontrollen, wie z. B. aktuellen Malware-Schutz, Netzwerk-Firewalls, eingeschränkte IT-Administration/Zugriffsrechte, Gerätesicherheit und VPNs.

Doch dahinter verbirgt sich ein wohl besorgniserregenderes Gesamtbild. Zum Beispiel:

Schulungsprogramme für Mitarbeiter waren in 54 % der mittleren und 76 % der großen Unternehmen vorhanden – ähnlich wie in der Statistik des letzten Jahres.

Risikoprüfungen von Drittanbietern wurden nur von 32 % der mittleren und 45 % der großen Unternehmen durchgeführt – im Vergleich zu 28 % bzw. 48 % im letzten Jahr.

Reaktionspläne für Vorfälle waren nur in 53 % der mittelgroßen Unternehmen und 75 % der großen Unternehmen vorhanden (gegenüber 55 % und 73 %).

Es scheint auch an strategischer Ausrichtung und Verantwortung seitens der obersten Führungsebene zu mangeln. Nur 70 % der Großunternehmen (vorher 66 %) und 57 % der mittelständischen Unternehmen (vorher 58 %) verfügen überhaupt über eine Cybersicherheitsstrategie. In zu vielen Großunternehmen wird die Cybersicherheit vom IT-Leiter (19 %) oder einem IT-Manager, Techniker oder Administrator (20 %) verwaltet.

„Unternehmen sollten stets angemessen auf ihre Risiken reagieren; ein unabhängiger Bäcker in einem kleinen Dorf muss beispielsweise wahrscheinlich keine regelmäßigen Penetrationstests durchführen. Sie sollten jedoch daran arbeiten, ihre Risiken zu verstehen. Dass 30 % der Großunternehmen nicht proaktiv handeln und sich zumindest über ihre Risiken informieren, ist verheerend“, argumentiert Tom Kidwell, Mitbegründer von Ecliptic Dynamics.

Unternehmen können jedoch jederzeit Maßnahmen ergreifen, um die Auswirkungen von Sicherheitsverletzungen zu verringern und Angriffe im Keim zu ersticken. Die erste Maßnahme besteht darin, das eigene Risiko zu verstehen und entsprechende Maßnahmen zu ergreifen.

Dennoch hat nur die Hälfte (51 %) der Vorstände mittelgroßer Unternehmen einen Verantwortlichen für Cybersicherheit, bei größeren Unternehmen sind es sogar 66 %. Diese Zahlen sind seit drei Jahren nahezu unverändert. Und nur 39 % der Führungskräfte mittelgroßer Unternehmen erhalten monatliche Updates zum Thema Cybersicherheit, bei großen Unternehmen sind es sogar die Hälfte (55 %). Angesichts der Geschwindigkeit und Dynamik der heutigen Bedrohungslandschaft ist diese Zahl zu niedrig.

Was machen wir jetzt?

Ein offensichtlicher Weg zur Verbesserung der Cybersicherheitsreife wäre die Einhaltung von Best-Practice-Standards wie ISO 27001. In dieser Hinsicht liefert der Bericht widersprüchliche Signale. Einerseits heißt es darin:

„Akkreditierungen wie Cyber Essentials und ISO 27001 scheinen zunehmend bekannt zu werden und werden insgesamt positiv bewertet.“

Der Druck von Kunden und Vorstandsmitgliedern sowie die „Sicherheit der Stakeholder“ seien die treibenden Kräfte hinter der Nachfrage nach derartigen Ansätzen, während die Befragten ISO 27001 zu Recht als „robuster“ als Cyber Essentials einschätzen.

Allerdings sinkt die Bekanntheit der 10 Schritte und der Cyber Essentials. Und deutlich weniger große Unternehmen suchen externe Beratung zur Cybersicherheit als im Vorjahr (51 % gegenüber 67 %).

Ed Russell, CISO Business Manager von Google Cloud bei Qodeabehauptet, dass wirtschaftliche Instabilität ein Faktor sein könnte.

„In unsicheren Zeiten sind externe Dienste oft die ersten Bereiche, die mit Budgetkürzungen konfrontiert sind – obwohl die Reduzierung der Ausgaben für Cybersicherheitsberatung ein riskanter Schritt ist“, sagt er gegenüber ISMS.online.

Russell argumentiert, dass Standards wie ISO 27001 die Cyber-Reife erheblich steigern, Cyber-Risiken reduzieren und die Einhaltung gesetzlicher Vorschriften verbessern.

„Diese Standards helfen Organisationen dabei, solide Sicherheitsgrundlagen für das Risikomanagement zu schaffen und geeignete Kontrollen einzusetzen, um den Schutz ihrer wertvollen Informationsressourcen zu verbessern“, fügt er hinzu.

ISO 27001 unterstützt kontinuierliche Verbesserungen und hilft Unternehmen, ihre Cybersicherheitslage und -resilienz angesichts sich entwickelnder Bedrohungen und geänderter Vorschriften zu verbessern. Dies schützt nicht nur die wichtigsten Informationen, sondern schafft auch Vertrauen bei den Stakeholdern – und verschafft ihnen einen Wettbewerbsvorteil.

Etay Maor, Chef-Sicherheitsstratege von Cato Networks, stimmt dem zu, warnt jedoch, dass Compliance nicht unbedingt mit Sicherheit gleichzusetzen sei.

„Diese strategischen Richtlinien sollten Teil einer ganzheitlichen Sicherheitspraxis sein, die operative und taktische Rahmenbedingungen, eine kontinuierliche Evaluierung im Vergleich zu aktuellen Bedrohungen und Angriffen, Übungen zur Reaktion auf Sicherheitsverletzungen und mehr umfasst“, erklärt er gegenüber ISMS.online. „Sie sind ein guter Ausgangspunkt, aber Unternehmen müssen noch einen Schritt weiter gehen.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster