Cyberresilienz hat sich in den letzten Jahren zu einem der wichtigsten Schwerpunkte der Cybersicherheitsbranche entwickelt. Selbst die Regierung hat sie in einem wichtigen Gesetzesentwurf erwähnt. Doch die Umsetzung erweist sich für die sechs Millionen Unternehmen Großbritanniens als schwierig. Laut einer aktuellen Studie aus Whitehall klafft nach wie vor eine beträchtliche Lücke zwischen den Resilienzzielen der Branche und dem, was Unternehmen tatsächlich erreichen.
Das diesjährige Umfrage zu Cybersicherheitsverstößen Der Bericht ist erschienen. Und er beweist einmal mehr, dass die Unternehmen des Landes in Sachen Cybersicherheit auf der Stelle treten. Nur die Hälfte (57 %) der mittelständischen Unternehmen und drei Viertel (74 %) der Großunternehmen verfügen überhaupt über eine Sicherheitsstrategie – praktisch unverändert zum Vorjahr. Es bleibt noch viel zu tun.
Der Weg zur Resilienz
Resilienz bedeutet, Cybersicherheit angesichts einer volatilen Bedrohungslandschaft, zunehmender regulatorischer Kontrollen und unstillbarer Forderungen der Unternehmensführung nach digitalen Investitionen neu zu definieren. In einer Welt, in der die Cyberkriminalitätsökonomie im Wert von BillionenDas Nationale Zentrum für Cybersicherheit (NCSC) ist umgehen mit vier „national bedeutsame“ Anschläge pro Woche, und Milliarden kompromittierter Da Zugangsdaten im Umlauf sind, müssen Sicherheitsteams akzeptieren, dass keine Organisation zu 100 % vor Sicherheitslücken geschützt ist.
In diesem Kontext verlagert sich der Fokus von der Prävention hin zur Fähigkeit, sich auf Angriffe vorzubereiten, darauf zu reagieren, sich davon zu erholen und aus ihnen zu lernen, falls diese doch einmal durchkommen. Dies ist wichtiger denn je, da die Angriffsfläche durch die explosionsartige Zunahme von IoT-Geräten, KI-Agenten, Chatbots und LLMs – von denen viele ohne Wissen der IT-Abteilung eingesetzt werden – immer größer wird. IO (ehemals ISMS.online) Bericht zum Stand der Informationssicherheit 2025 Es zeigt sich, dass ein Drittel (34%) der Befragten sich Sorgen über Schatten-KI im kommenden Jahr macht, eine der häufigsten Antworten.
Was die Regierung herausfand
Echte Resilienz erfordert mehrschichtige Schutzmaßnahmen. Leider zeigt der jüngste Bericht der Regierung über Sicherheitslücken, dass viele Organisationen die grundlegenden Vorkehrungen nicht treffen. Hier einige der wichtigsten Ergebnisse:
Schulung und Sensibilisierung des Personals ErhöhungObwohl der Anteil der Befragten, die diese Aktivitäten ausüben, bei den größten Unternehmen gestiegen ist (von 76 % im letzten Jahr auf 84 % in diesem Jahr), blieb er insgesamt bei enttäuschenden 19 % unverändert.
Risikobewertungen: Bei mittelständischen (57 % bis 62 %) und großen (70 % bis 72 %) Unternehmen war ein geringfügiger jährlicher Anstieg der Anzahl der Befragten zu verzeichnen, die Cybersicherheitsrisikobewertungen durchführten. Die Gesamtzahl blieb jedoch mit 30 % nahezu unverändert.
Risikomanagement in der Lieferkette: Weniger als ein Drittel (30 %) der mittelständischen Unternehmen und die Hälfte (48 %) der Großunternehmen überprüfen die Cyberrisiken ihrer direkten Zulieferer. Das ist nahezu unverändert gegenüber dem Vorjahr (32 % bzw. 45 %). Für die gesamte Lieferkette fielen die Zahlen sogar noch niedriger aus: 13 % bzw. 24 % gegenüber 15 % bzw. 25 %. Insgesamt überprüften lediglich 15 % der Unternehmen ihre direkten Zulieferer und 6 % die gesamte Lieferkette – etwa so viele wie im Vorjahr (14 % bzw. 7 %).
Versicherung: Die Hälfte (47 %) der Unternehmen gibt an, gegen Cyberrisiken versichert zu sein, bei mittelständischen Unternehmen liegt dieser Anteil sogar bei 61 %. Dies entspricht weitgehend dem Vorjahreswert (45 % bzw. 65 %). Besorgniserregender ist jedoch, dass lediglich 10 % über eine spezielle Cyberversicherung verfügen und mehr als ein Fünftel (22 %) diesbezüglich keine Angaben macht. Auch diese Werte ähneln denen des Vorjahres (7 % bzw. 20 %).
Der Vorstand: Cybersicherheit wird von 72 % der Befragten als „hohe Priorität“ für das Topmanagement angesehen. Aber ist sie das wirklich? Die Verantwortung des Vorstands dafür hat sich nur geringfügig von 27 % auf 31 % erhöht.
Reaktion auf Vorfälle: Der Anteil der Befragten mit einem formalen IR-Plan blieb nahezu unverändert (25%), ebenso wie die Zahlen für mittlere (53% auf 57%) und große (75% auf 76%) Unternehmen.
Kenntnis von Regierungsinitiativen: Mehr Befragte als im Vorjahr gaben an, von staatlichen Programmen wie Cyber Aware (24 % bis 30 %), dem Leitfaden „10 Schritte“ (12 % bis 17 %) und Cyber Essentials (12 % bis 17 %) gehört zu haben. Diese Zahlen sowie die für den neueren Verhaltenskodex für Softwaresicherheit (22 %) und den Verhaltenskodex für Cyber-Governance (16 %) sind jedoch immer noch viel zu niedrig.
Darüber hinaus ist der Anteil der Befragten, die über Cyber Essentials verfügen, insgesamt nur geringfügig gestiegen, von 3 % auf 5 % und bei großen Unternehmen von 21 % auf 35 %.
AI: Rund ein Fünftel (21 %) der Befragten gibt an, einige KI-Tools im Unternehmen eingeführt zu haben. Dennoch behauptet fast die Hälfte (45 %), KI sei für ihr Unternehmen nicht relevant.
Mehr als nur Sicherheitschecks
Merlin Gillespie, CTO von Cybanetix, erklärt gegenüber IO, dass der Bericht einmal mehr zwei Realitäten verdeutlicht: Größere Unternehmen sind im Allgemeinen kompetent, während ihre kleineren Konkurrenten angreifbar sind.
„Das Standardvorgehen ist altbekannt. Gehen Sie von einem Sicherheitsvorfall aus, erstellen Sie einen erprobten Notfallplan mit klaren Eskalationswegen, implementieren Sie eine Reihe von Sicherheitskontrollen, MDR, Identitätsmanagement, Authentifizierungshärtung und beginnen Sie mit einer formellen Überprüfung Ihrer Lieferkette“, erklärt er.
„All dies sind die richtige Antwort für Unternehmen mit einer formalisierten Sicherheitsfunktion und den entsprechenden Ressourcen. Das Problem ist jedoch, dass diese Vorgehensweise eine Kapazität voraussetzt, über die die meisten britischen Unternehmen nicht verfügen.“
Richard Groome, OT-Cybersicherheitsspezialist bei e2e-assure, ist besorgt über die mangelhafte Reaktionsfähigkeit bei Sicherheitsvorfällen. „Die meisten Unternehmen können intern eskalieren, aber nur ein Drittel verfügt über klare externe Meldeverfahren. Das ist keine Resilienz, sondern nur Reaktion“, erklärt er gegenüber IO.
„Unternehmen müssen sich von oberflächlicher Sicherheitsüberwachung verabschieden und sich auf Transparenz und operative Resilienz konzentrieren. Dies erfordert kontinuierliches Monitoring, schnellere Erkennung und eine erprobte, nicht nur dokumentierte Reaktion auf Vorfälle. Angesichts der bevorstehenden 24-Stunden-Meldepflichten kann man nicht auf einen Vorfall reagieren, den man nicht erkannt hat. Transparenz und Geschwindigkeit sind daher entscheidend.“
Dan Lattimer, EMEA-Vizepräsident bei Semperis, ergänzt, dass die Identitätssicherung Bestandteil jedes Notfallplans sein muss. „Investitionen in die Überwachung und Wiederherstellung der Identitätsdaten neben der Prävention sind unerlässlich, um Ausfallzeiten, wiederholte Vorfälle und langfristige Geschäftsschäden zu reduzieren“, sagt er. „Eine Reaktion auf einen Vorfall ohne Wiederherstellung der Identitätsdaten ist unvollständig.“
Formalisierung bewährter Verfahren
Trotz geringer Bekanntheit und Anwendung bewährter Verfahren und Rahmenwerke können diese laut Experten, mit denen IO sprach, eine wertvolle Unterstützung bei den Bemühungen um eine verbesserte Cyberresilienz darstellen. Graeme Stewart, Leiter des Bereichs Öffentlicher Sektor für Großbritannien und Irland bei Check Point, bezeichnet die Ergebnisse des Berichts als „Weckruf“ für Organisationen jeder Größe.
„Das magische Dreieck aus Menschen, Prozessen und Technologie bedarf aller Aufmerksamkeit. Die Mitarbeiter müssen informiert und sensibilisiert sein. Die Prozesse müssen robust sein und sowohl Prävention als auch Reaktion nach Vorfällen abdecken, und die Technologie muss ordnungsgemäß aktualisiert, korrekt eingesetzt und auf dem neuesten Stand gehalten werden“, erklärt er gegenüber IO.
„Rahmenwerke wie Cyber Essentials, ISO 27001 und die NIST-Leitlinien bieten wichtige Leitplanken, insbesondere für kleinere Organisationen, deren Führungskräfte keine Cybersicherheitsexperten sind. Diese Rahmenwerke geben Unternehmen einen strukturierten Weg nach vorn vor, und das ist ein wirklich positiver Fortschritt.“
Muhammad Yahya Patel, vCISO bei Huntress, stimmt dem zu. „Rahmenwerke wie Cyber Essentials und ISO-Standards sind wertvoll, weil sie einen einheitlichen und strukturierten Ansatz für das Management von Kontrollen, Risiken und Richtlinien bieten“, erklärt er gegenüber IO. „Cyber Essentials legt insbesondere großen Wert auf grundlegende Sicherheitsvorkehrungen, und viele der Angriffe, die wir heute beobachten, sind genau deshalb erfolgreich, weil diese grundlegenden Kontrollen fehlen.“
In unserer Bericht über die Umfrage des letzten Jahres Wir stellten außerdem fest, dass die Bemühungen um Resilienz in der gesamten britischen Wirtschaft ins Stocken geraten waren. Hoffentlich müssen wir das nächstes Jahr nicht erneut berichten.
Erweitern Sie Ihr Wissen
Guide: Der Bericht zum Stand der Informationssicherheit 2025
Blog: Die Resilienzlücke schließen: Wo die britische Wirtschaft laut Regierung weiterhin versagt
