Informationssicherheits-Lagebericht 2024

1. Management Summary

Die Cyberbedrohungslage für deutsche Unternehmen bleibt angespannt. Besonders der Mittelstand steht zunehmend im Fokus professioneller Angreifergruppen. Ransomware, Phishing, Social Engineering sowie Risiken aus Lieferketten und Drittparteien zählen weiterhin zu den wichtigsten Gefahren.

Viele Sicherheitsvorfälle werden durch organisatorische und technische Schwachstellen begünstigt. Dazu gehören ungepatchte Systeme, schwache Zugangsdaten, fehlende Multi-Faktor-Authentifizierung, unzureichende Backups, mangelnde Sicherheitsüberwachung und fehlende Verantwortlichkeiten.

Unternehmen sollten Informationssicherheit als Bestandteil der Geschäftsführung verstehen und geeignete Schutzmaßnahmen priorisiert, messbar und regelmäßig überprüfen.

2. Aktuelle Bedrohungslage

Rohbeobachtungen

• Ransomware zählt weiterhin zu den größten Cyberbedrohungen für Unternehmen.
• Phishing-Angriffe nutzen gezielte Social-Engineering-Methoden und zunehmend glaubwürdig formulierte Nachrichten.
• Lieferkettenrisiken nehmen durch externe IT-Dienstleister, Cloud-Anbieter und Softwarelieferanten zu.
• Schwachstellen in Software und nicht aktualisierte Systeme werden regelmäßig als Einfallstor genutzt.

Analytische Bewertung

Die Bedrohungslage ist als hoch einzustufen. Digitalisierung, vernetzte Geschäftsprozesse und die Abhängigkeit von externen Dienstleistern erhöhen die Angriffsfläche. Besonders kritisch sind Angriffe, die Betriebsunterbrechungen, Datenabfluss oder Erpressung zur Folge haben.

Relevanz für den deutschen Mittelstand

Mittelständische Unternehmen verfügen häufig über wertvolle Daten und geschäftskritische Prozesse, besitzen jedoch nicht immer die Sicherheitsressourcen großer Organisationen. Dadurch können bereits einzelne Sicherheitslücken erhebliche Auswirkungen auf Betrieb, Finanzen und Reputation haben.

3. Relevante Angriffsvektoren und Angriffsmuster

Rohbeobachtungen

• Ransomware-Angriffe werden häufig mit Datendiebstahl und anschließender Erpressung kombiniert.
• Phishing und Spear-Phishing dienen oft als Einstiegspunkt für weiterführende Angriffe.
• Supply-Chain-Angriffe können über kompromittierte Software, Dienstleister oder Fernwartungszugänge erfolgen.
• Insider-Risiken entstehen durch fehlende Zugriffsbeschränkungen, unklare Rollen oder mangelndes Sicherheitsbewusstsein.

Analytische Bewertung

Die Angriffsmuster sind zunehmend professionell, arbeitsteilig und zielgerichtet. Angreifer nutzen technische Schwachstellen ebenso wie menschliche Faktoren. Besonders gefährlich ist die Kombination aus gestohlenen Zugangsdaten, fehlender Multi-Faktor-Authentifizierung und unzureichender Überwachung.

Relevanz für den deutschen Mittelstand

Für mittelständische Unternehmen sind Angriffe über E-Mail, Fernzugänge, Cloud-Dienste und externe Dienstleister besonders relevant. Die Absicherung dieser Bereiche sollte daher vorrangig erfolgen.

4. Schwachstellen- und Verwundbarkeitslage

Rohbeobachtungen

• Ungepatchte oder veraltete Systeme erhöhen das Risiko erfolgreicher Angriffe.
• Schwache Passwörter und fehlende Multi-Faktor-Authentifizierung bleiben zentrale Schwachstellen.
• Fehlende Protokollierung und Überwachung erschweren die frühzeitige Erkennung von Angriffen.
• Unzureichende Backup-Konzepte können die Wiederherstellung nach einem Vorfall erheblich erschweren.

Analytische Bewertung

Die Verwundbarkeit vieler Unternehmen entsteht weniger durch einzelne technische Lücken, sondern durch das Zusammenwirken mehrerer Schwächen. Besonders kritisch sind Systeme mit Internetzugang, administrative Konten, Fernwartungslösungen und nicht getestete Backups.

Relevanz für den deutschen Mittelstand

Fehlende IT-Verantwortlichkeiten, knappe Ressourcen und historisch gewachsene IT-Strukturen erschweren eine systematische Absicherung. Ein priorisiertes Schwachstellenmanagement ist daher besonders wichtig.

5. Phishing- und Social-Engineering-Lage

Rohbeobachtungen

• Phishing-Nachrichten werden sprachlich und optisch immer überzeugender.
• Gezielte Angriffe richten sich häufig gegen Geschäftsführung, IT-Verantwortliche und Finanzabteilungen.
• Social Engineering erfolgt nicht nur per E-Mail, sondern auch über Telefon, Messenger und soziale Netzwerke.
• KI-generierte Inhalte können die Erkennung betrügerischer Nachrichten erschweren.

Analytische Bewertung

Phishing zählt zu den häufigsten initialen Angriffsvektoren. Der Erfolg solcher Angriffe hängt stark vom Sicherheitsbewusstsein der Mitarbeitenden, technischen Schutzmaßnahmen und klaren Meldewegen ab.

Relevanz für den deutschen Mittelstand

Regelmäßige Sensibilisierung, einfache Meldeprozesse und technische E-Mail-Schutzmaßnahmen sind für mittelständische Unternehmen besonders wichtig, da einzelne kompromittierte Konten weitreichende Folgen haben können.

6. Ransomware- und Erpressungslage

Rohbeobachtungen

• Ransomware zählt weiterhin zu den folgenschwersten Cyberbedrohungen.
• Erpressungsmodelle kombinieren häufig Verschlüsselung, Datendiebstahl und Veröffentlichungsdruck.
• In Einzelfällen können Lösegeldforderungen sehr hohe Summen erreichen.
• Auch kleinere und mittlere Unternehmen sind Ziel solcher Angriffe.

Analytische Bewertung

Ransomware ist besonders kritisch, weil sie direkt auf die Verfügbarkeit von Daten und Geschäftsprozessen wirkt. Die größten Schäden entstehen häufig durch Betriebsunterbrechungen, Wiederherstellungskosten, Datenabfluss und Reputationsverlust.

Relevanz für den deutschen Mittelstand

Für mittelständische Unternehmen kann ein erfolgreicher Ransomware-Angriff existenzbedrohend sein. Entscheidend sind belastbare Backups, Netzwerksegmentierung, eingeschränkte Administrationsrechte und ein geübter Notfallplan.

7. Lieferketten- und Drittparteirisiken

Rohbeobachtungen

• Unternehmen sind zunehmend von Cloud-Anbietern, IT-Dienstleistern und Softwarelieferanten abhängig.
• Kompromittierte Dienstleister können als indirekter Angriffsweg genutzt werden.
• Unzureichende Sicherheitsanforderungen an Lieferanten erhöhen das Risiko.
• Fernwartungszugänge und Schnittstellen sind besonders schützenswert.

Analytische Bewertung

Lieferkettenrisiken stellen ein erhebliches Sicherheitsrisiko dar, weil Unternehmen nicht alle Schutzmaßnahmen direkt selbst kontrollieren können. Deshalb sind klare vertragliche Anforderungen, technische Zugangsbeschränkungen und regelmäßige Bewertungen von Dienstleistern notwendig.

Relevanz für den deutschen Mittelstand

Gerade mittelständische Unternehmen lagern IT-Leistungen häufig aus. Dadurch entstehen Abhängigkeiten, die aktiv gesteuert und überprüft werden sollten.

8. Interne Reife, Kontrollen und Kennzahlen

Rohbeobachtungen

• In vielen Unternehmen fehlen klare Rollen und Verantwortlichkeiten für Informationssicherheit.
• Sicherheitskennzahlen wie Patch-Stand, Backup-Erfolg oder Reaktionszeiten werden nicht immer systematisch erhoben.
• Schulungen finden häufig unregelmäßig oder ohne Wirksamkeitskontrolle statt.
• Notfallprozesse sind oft nicht ausreichend dokumentiert oder getestet.

Analytische Bewertung

Der Reifegrad der Informationssicherheit ist in vielen Organisationen ausbaufähig. Ohne Zuständigkeiten, Kennzahlen und regelmäßige Überprüfung bleibt Sicherheitsmanagement reaktiv statt vorausschauend.

Relevanz für den deutschen Mittelstand

Der Aufbau eines einfachen, aber wirksamen Informationssicherheitsmanagements hilft, Risiken zu priorisieren und Maßnahmen nachvollziehbar umzusetzen.

9. Priorisierte Maßnahmen

1. Multi-Faktor-Authentifizierung einführen: Kritische Zugänge, insbesondere E-Mail, VPN, Cloud-Dienste und Administrationskonten, sollten zusätzlich abgesichert werden.
2. Patch- und Schwachstellenmanagement etablieren: Sicherheitsupdates sollten risikoorientiert, zeitnah und dokumentiert umgesetzt werden.
3. Backups absichern und testen: Backups sollten getrennt vom Produktivsystem gespeichert und regelmäßig auf Wiederherstellbarkeit geprüft werden.
4. Mitarbeitende sensibilisieren: Regelmäßige Schulungen zu Phishing, Social Engineering und sicherem Umgang mit Daten reduzieren menschliche Risiken.
5. Zugriffsrechte begrenzen: Benutzer sollten nur die Rechte erhalten, die sie für ihre Aufgaben benötigen.
6. Drittanbieter bewerten: IT-Dienstleister und Lieferanten sollten anhand definierter Sicherheitsanforderungen geprüft werden.
7. Protokollierung und Überwachung verbessern: Sicherheitsrelevante Ereignisse sollten zentral erfasst und regelmäßig ausgewertet werden.
8. Notfallmanagement vorbereiten: Ein Incident-Response-Plan sollte Verantwortlichkeiten, Meldewege und Sofortmaßnahmen enthalten.
9. Technische Basismaßnahmen umsetzen: Dazu gehören E-Mail-Schutz, Virenschutz, Firewall-Regeln, Netzwerksegmentierung und sichere Konfigurationen.
10. Sicherheitsmaßnahmen regelmäßig überprüfen: Wirksamkeit, Aktualität und Umsetzung der Maßnahmen sollten mindestens jährlich kontrolliert werden.

Diese Maßnahmen orientieren sich an etablierten Sicherheitsstandards und an bewährten Empfehlungen für ein angemessenes Schutzniveau.

10. Fazit

Die Cyberbedrohungslage ist hoch und erfordert ein strukturiertes Vorgehen. Ransomware, Phishing, Social Engineering, ungepatchte Systeme und Lieferkettenrisiken zählen zu den zentralen Herausforderungen für den deutschen Mittelstand.

Entscheidend ist, Informationssicherheit nicht nur technisch, sondern organisatorisch zu verankern. Klare Verantwortlichkeiten, regelmäßige Schulungen, sichere Zugangskontrollen, belastbare Backups und ein getesteter Notfallplan bilden die Grundlage für mehr Widerstandsfähigkeit.

Ohne unternehmensspezifische Daten bleibt diese Einschätzung allgemein. Sie kann jedoch als Ausgangspunkt dienen, um bestehende Risiken zu bewerten und priorisierte Schutzmaßnahmen abzuleiten.