Die digitale Welt ist dynamisch, und mit der rasanten Entwicklung Künstlicher Intelligenz (KI) verändert sich auch die Bedrohungslandschaft im Cyberraum dramatisch. Ein aktueller Weckruf Cybersicherheit und KI neu zu denken, kommt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem TÜV-Verband. Sie warnen deutsche Unternehmen vor einem „trügerischen Sicherheitsgefühl“. Gleichzeitig zeigen jüngste Forschungsergebnisse, wie leistungsfähig KI-Systeme im Bereich offensiver Cyber-Angriffe bereits sind. Was Unternehmen brauchen ist eine klare Sicherheitsstrategie vor Cyberbedrohungen.
TÜV Cybersecurity Studie 2025: Unternehmen wiegen sich in trügerischer Sicherheit
Die gemeinsam von Dr. Michael Fübi, Präsident des TÜV-Verbands, und Claudia Plattner, BSI-Präsidentin, vorgestellte TÜV Cybersecurity Studie 2025 liefert besorgniserregende Erkenntnisse über den Zustand der Cybersicherheit und KI in deutschen Unternehmen. Die Studie offenbart eine bedenkliche Diskrepanz zwischen der Eigenwahrnehmung und der tatsächlichen Sicherheitslage deutscher Unternehmen. Trotz eines Anstiegs erfolgreicher Cyberangriffe auf 15 % im Jahr 2024 schätzen 91 % ihre Cybersicherheit als „gut“ oder „sehr gut“ ein – eine Fehleinschätzung laut BSI. Besonders auffällig ist der Umgang mit Künstlicher Intelligenz. Zwar vermuten viele Unternehmen deren Einsatz durch Angreifer und erkennen die gesteigerte Effizienz von KI-basierten Angriffen, doch nur 10 % nutzen selbst KI zur Verteidigung. Phishing bleibt mit 84 % die häufigste Angriffsform und profitiert zunehmend von KI-generierten Inhalten.
Zusätzlich zeigt die Studie ein gefährlich niedriges Bewusstsein für die kommende NIS2-Richtlinie. Nur die Hälfte der befragten Unternehmen kennt diese wichtige EU-Regulierung, obwohl sie für rund 29.000 „wesentliche“ und „wichtige“ Einrichtungen in Deutschland erstmals gesetzliche Pflichten mit sich bringen wird. BSI-Präsidentin Claudia Plattner bezeichnet diese geringe Bekanntheit als „fatal“.
KI-Agenten übertreffen menschliche Hackerteams
Während die TÜV-Studie die unzureichende Vorbereitung vieler Unternehmen auf Cyberbedrohungen aufzeigt, machen aktuelle Hacker-Wettbewerbe deutlich, wie stark die offensiven Fähigkeiten von KI-Systemen tatsächlich gewachsen sind. Die Studienautoren, Artem Petrov und Dmitrii Volkov, sprechen von einem „Evals Gap“. Einer Lücke zwischen früheren Einschätzungen und dem tatsächlichen Potenzial von KI. Die zwei in der Studie beleuchteten Capture-the-Flag-Wettbewerbe zeigen, wie effektiv KI bereits sein kann. Beim „AI vs. Humans CTF“ übertrafen mehrere KI-Teams die Erwartungen deutlich. Ein KI-Agent erreichte eine Platzierung unter den besten fünf Prozent, vier von sieben Agenten lösten fast alle Aufgaben. Dabei arbeiteten sie nahezu genauso schnell wie menschliche Spitzenteams. Im noch größeren Wettbewerb „Cyber Apocalypse CTF“ platzierte sich der beste KI-Agent unter den besten zehn Prozent. Von den über 8.000 menschliche Teams übertrag KI rund 90 %.
Unternehmen müssen Cybersicherheit mit KI neu denken
Die Cyberbedrohung durch KI ist real und wird immer ausgefeilter, während die meisten deutschen Unternehmen eine zu optimistische Sicht auf ihre eigene Sicherheit haben und KI noch nicht ausreichend zur Verteidigung nutzen. Unternehmen müssen ihre Cybersicherheitsstrategien dringend anpassen:
- Cyberrisiken ernst nehmen und Risikoanalyse aktualisieren: Führen Sie qualifizierte Risikoanalysen durch und aktualisieren Sie diese regelmäßig unter Berücksichtigung des dynamischen technologischen und geopolitischen Umfelds. Das bedeutet, auch die Gefahren durch KI-gestützte Angriffe aktiv zu bewerten.
- KI proaktiv zur Verteidigung nutzen: Entwickeln Sie ein Konzept für den Einsatz von KI zur Cyberabwehr. Testen Sie entsprechende Tools (z.B. für Anomalie-Erkennung, Schwachstellenanalyse und automatisierte Reaktionen) und nutzen Sie externe Beratungsangebote.
- Regulatorische Anforderungen beachten und umsetzen: Informieren Sie sich umgehend über die NIS2-Richtlinie. Leiten Sie die notwendigen Schritte für deren Umsetzung ein. Die Nichterfüllung dieser Pflichten kann erhebliche rechtliche Konsequenzen haben.
- Proaktive Sicherheitsmaßnahmen etablieren: Setzen Sie auf Penetrationstests, um so eigene Schwachstellen präventiv zu identifizieren. Führen Sie Notfallübungen durch, um Abläufe für den Ernstfall einzuüben.
- Investition in Know-how und Schulung: Qualifizieren Sie Ihre Mitarbeitenden umfassend und bilden Sie Ihre IT-Spezialisten regelmäßig fort. Schulungen zu aktuellen Angriffsmethoden, einschließlich KI-gestützter Techniken, sind unerlässlich.
- Sicherheit der Lieferketten und Schatten-IT berücksichtigen: Angriffe über Zulieferer sind eine wachsende Gefahr. Stellen Sie Sicherheitsanforderungen an Ihre Partner und auditieren Sie diese. Behalten Sie zudem nicht registrierte oder veraltete IT-Geräte („Schatten-IT“) im Blick, da sie häufig Einfallstore für Cyberangriffe sind.
KI-Strategie als Schlüssel zur Cyberresilienz
Die Ergebnisse der TÜV-Studie in Kombination mit den Erkenntnissen aus den Hacker-Wettbewerben bestätigen die Vorhersagen Google Cybersecurity Forecasts. Insgesamt, das betont auch das BSI: KI ist nicht nur ein potenzielles Werkzeug für Angreifer, sondern auch ein unverzichtbarer Bestandteil einer robusten Cybersicherheit.
Unternehmen, die ihre Cyberresilienz stärken wollen (oder von der NIS2-Richtlinie betroffen sind), müssen ihr Handeln an die Realität anpassen, eine proaktive Haltung einnehmen und KI aktiv in ihre Sicherheitsarchitektur integrieren. Eine klare KI-Strategie für die Cybersicherheit wird in den kommenden Jahren damit zum entscheidenden Faktor für den Schutz von Daten und Geschäftswerten. Wir unterstützen Sie als KI-Beauftragter dabei, die rechtlichen Rahmenbedingungen zu verstehen und eine zukunftsfähige Cybersicherheitsstrategie zu entwickeln.
