Ganz schön kriminell: TÜV-Studie: Phishing dominiert bei Cyberangriffen

Die Gefah­ren durch Cyber­kri­mi­na­li­tät für deut­sche Unter­neh­men neh­men wei­ter zu. Das geht aus der „Cyber­se­cu­ri­ty-Stu­die 2025“ des TÜV-Ver­bands her­vor. Atta­cken wer­den immer kom­ple­xer und künst­li­che Intel­li­genz (KI) spielt dabei eine zen­tra­le Rolle.

Der Daten­dieb­stahl per E-Mail – also Phis­hing – ist mit Abstand die häu­figs­te Angriffs­me­tho­de. Abbil­dung: Mar­kus Wink­ler, Pexels

Inner­halb eines Jah­res ver­zeich­ne­ten 15 Pro­zent der befrag­ten Unter­neh­men einen IT-Sicher­heits­vor­fall. Dabei han­del­te es sich um erfolg­rei­che Cyber­at­ta­cken, auf die die Unter­neh­men aktiv re­agieren muss­ten. Dies geht aus einer Ipsos-Umfra­ge im Auf­trag des TÜV-Ver­bands her­vor. Für die Umfra­ge wur­den 506 Unter­neh­men mit min­des­tens zehn Mit­ar­bei­ten­den befragt. Im Ver­gleich zu einer TÜV-Stu­die von vor zwei Jah­ren ist der Anteil erfolg­reich gehack­ter Unter­neh­men um vier Pro­zent angestiegen.

Licht und Schatten

Die Umfra­ge­er­geb­nis­se legen nahe, dass vie­le Unter­neh­men die Risi­ken unter­schät­zen. So sehen sich 91 Pro­zent gegen Cyber­an­grif­fe gut oder sehr gut gerüs­tet. Doch jedes vier­te Unter­neh­men (27 Pro­zent) gibt an, dass IT-Sicher­heit für sie nur eine untergeord­nete oder gar kei­ne Rol­le spielt. Unge­ach­tet des­sen spricht sich eine Mehr­heit für gesetz­li­che Vor­ga­ben beim The­ma Cyber­si­cher­heit aus. Mehr als die Hälf­te (56 Pro­zent) sind der Mei­nung, dass alle Unter­neh­men ver­pflich­tet sein soll­ten, ange­mes­se­ne Maß­nah­men für ihre Cyber­si­cher­heit zu ergrei­fen. Beson­ders kri­tisch ist laut TÜV-Ver­band, dass nur die Hälf­te der befrag­ten Unter­neh­men die NIS-2-Richt­li­nie kennt. Die­se legt Min­dest­stan­dards für die Cyber­sicherheit in kri­ti­schen Bran­chen fest.

Hauptbedrohung Phishing

Laut der Umfra­ge­er­geb­nis­se ist Phis­hing – der Daten­dieb­stahl per E-Mail – mit Abstand die häu­figs­te Angriffs­me­tho­de. 84 Pro­zent der betrof­fe­nen Unter­neh­men berich­ten von sol­chen Atta­cken, was ei­nem Anstieg von zwölf Pro­zent gegen­über der Stu­die aus dem Jahr 2023 ent­spricht. Ein Grund hier­für ist laut TÜV-Ver­band der Ein­satz von KI, mit deren Hil­fe Phis­hing-Mails per­so­na­li­siert, Tex­te per­fekt for­mu­liert oder Sprach­nach­rich­ten gefälscht wer­den. An zwei­ter Stel­le ste­hen mit 26 Pro­zent „sons­ti­ge Schad­soft­ware-Angrif­fe“. Dabei han­delt es sich um Mal­wa­re, die bei­spiels­wei­se dazu dient, sen­si­ble Daten abzu­grei­fen. Ran­som­wa­re-sowie Pass­wort-Angrif­fe sind mit jeweils zwölf Pro­zent rückläufig.

KI als Risiko und Chance

Künst­li­che Intel­li­genz spielt sowohl bei Angrif­fen als auch bei ihrer Abwehr eine wich­ti­ge Rol­le. So hat jeder zwei­te IT-Sicher­heits­ver­­­ant­wort­li­che (51 Pro­zent) bereits KI-basier­te Cyber­at­ta­cken beob­achtet. 82 Pro­zent der Befrag­ten sind der Ansicht, dass KI es den Angrei­fern ermög­licht, gezielt Schwach­stel­len in den IT-Sys­te­men ihres Unter­neh­mens aus­zu­nut­zen. 89 Pro­zent stim­men zudem der Aus­sa­ge zu, dass KI dazu bei­trägt, Angrif­fe effi­zi­en­ter und zielge­richteter durchzuführen.

Auf der ande­ren Sei­te nut­zen nur zehn Pro­zent der Unter­neh­men KI zur Abwehr von Cyber­an­grif­fen, wei­te­re zehn Pro­zent pla­nen den Ein­satz – vor allem, um Bedro­hun­gen bes­ser zu erken­nen (70 Pro­zent), Anoma­lien in Daten­be­stän­den und -strö­men zu iden­tifizieren (59 Pro­zent), Schwach­stel­len zu ana­ly­sie­ren (58 Pro­zent) oder auto­ma­ti­siert auf Angrif­fe zu reagie­ren (51 Prozent).