Das bedeutet: Diese Unternehmen waren Ziel erfolgreicher Cyberangriffe und mussten aktiv reagieren. Die Ergebnisse basieren auf einer repräsentativen Befragung des Instituts Ipsos unter 506 Unternehmen mit mindestens zehn Mitarbeitenden in Deutschland. Befragt wurden IT-Sicherheitsverantwortliche, darunter leitende Fachkräfte, IT-Leiterinnen und -Leiter sowie Geschäftsführungsmitglieder.

Im Vergleich zur Vorgängerstudie von 2023 ist der Anteil gehackter Unternehmen um vier Prozentpunkte gestiegen. Dr. Michael Fübi, Präsident des TÜV-Verbands, warnte bei der Studienpräsentation in Berlin: „Die deutsche Wirtschaft befindet sich im Fadenkreuz staatlicher und krimineller Hacker, die gezielt auf sensible Daten, Lösegeldzahlungen oder die Sabotage kritischer Infrastrukturen aus sind.“ Besorgniserregend sei, dass Cyberkriminelle verstärkt auf moderne Technologien wie KI setzen – und viele Unternehmen die damit verbundenen Gefahren offenbar unterschätzen.

Selbstwahrnehmung und Realität klaffen auseinander

Trotz wachsender Bedrohung schätzen 91 % der befragten Unternehmen ihre eigene Cybersicherheit als „gut“ oder „sehr gut“ ein. Gleichzeitig räumt jedes vierte Unternehmen (27 %) ein, dass IT-Sicherheit für den Betrieb kaum oder gar keine Rolle spielt. Fübi mahnt: „Cybersicherheit muss Chefsache sein. Unternehmen sind in der Pflicht, angemessen zu investieren und die nötigen Ressourcen bereitzustellen.“

Mehrheitlich wird staatliches Handeln befürwortet: 56 % der Befragten sprechen sich für gesetzlich verpflichtende Cybersicherheitsmaßnahmen aus. Fübi fordert deshalb die Bundesregierung dazu auf, die „überfällige nationale Umsetzung der NIS2-Richtlinie jetzt zügig zu verabschieden.“

Diese europäische Richtlinie definiert verbindliche Sicherheitsanforderungen für rund 30.000 Unternehmen in kritischen Sektoren wie Energie, Gesundheit oder digitale Dienste. Dennoch kennt bislang nur etwa die Hälfte der befragten Unternehmen die NIS2-Richtlinie überhaupt.

BSI-Präsidentin Plattner: „Cybernation Deutschland steht erst am Anfang“

Auch Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht dringenden Handlungsbedarf: „Die geringe Bekanntheit der NIS2-Richtlinie ist alarmierend. Damit Deutschland zur Cybernation wird, braucht es klare Vorgaben – richtig umgesetzt, können sie die digitale Resilienz deutlich erhöhen.“ Sie betont, das BSI setze auf Kooperation und Unterstützung, nicht Bürokratie. Unter dem Motto „Cybersicherheit vor Bürokratie“ stellt die Behörde Unternehmen bereits umfangreiche Informations- und Beratungsangebote zur Verfügung. Das BSI plant im Rahmen des Cyber Resilience Acts (CRA), künftig die Marktüberwachung für vernetzte Produkte zu übernehmen.

Phishing dominiert die Angriffsmethoden

15 % der deutschen Unternehmen verzeichneten 2024 einen Cyberangriff. © TÜV Cybersecurity Studie 2025.

Die mit Abstand häufigste Angriffsform ist weiterhin Phishing: 84 % der betroffenen Unternehmen berichten davon – ein Anstieg um 12 Prozentpunkte gegenüber 2023. Meist erfolgt der Angriff über täuschend echte E-Mails mit Links zu Schadsoftware. Fübi erklärt: „Künstliche Intelligenz macht Phishing gefährlicher. Sie hilft Angreifern, personalisierte E-Mails zu erstellen, täuschend echte Texte zu verfassen oder sogar Stimmen zu imitieren.“ Obwohl Ransomware-Angriffe (12 %) zurückgehen, bleibt das Risiko hoch. Dabei verschlüsseln Angreifer Daten und fordern Lösegeld. Positiv: Immer mehr Unternehmen haben Back-up-Strategien etabliert. Weitere genannte Bedrohungen sind sonstige Malware-Angriffe (26 %) sowie Passwort-Attacken (12 %).

Künstliche Intelligenz als zweischneidiges Schwert

Laut Studie berichten 51 % der Unternehmen von Angriffen, bei denen KI zum Einsatz kam. In größeren Betrieben (ab 250 Mitarbeitenden) liegt der Wert sogar bei 81 %. Die Bedrohung durch KI ist real: 82 % sehen in KI ein Werkzeug, um gezielt Schwachstellen auszunutzen. 89 % sagen, KI mache Angriffe effizienter und schwerer erkennbar. Dennoch setzen erst 10 % KI aktiv zur Cyberabwehr ein – weitere 10 % planen den Einsatz. Ziel ist es, Bedrohungen frühzeitig zu erkennen, Datenanomalien zu identifizieren, Schwachstellen zu analysieren oder Angriffe automatisiert abzuwehren.

So wappnen sich Unternehmen gegen Cybergefahren

Viele Unternehmen haben bereits Maßnahmen ergriffen, um ihre digitale Sicherheit zu stärken. Besonders häufig:

• Sichere Hardware (65 %)
• Externe Beratung (59 %)
• Cybersecurity-Software (48 %)
• Mitarbeiterschulungen (53 %)

Jedoch setzen nur 22 % auf regelmäßige Notfallübungen oder Penetrationstests, die im Ernstfall entscheidend sein können. Ebenfalls kritisch: Nur 27 % haben ihr IT-Sicherheitsbudget erhöht – vor zwei Jahren waren es noch 52 %. Fübi betont: „Die Investitionen müssen mit den steigenden Bedrohungen Schritt halten.“

Standards und Regulierung als Schlüssel zur Resilienz

Ein wichtiger Baustein sind verbindliche Normen und Standards. 70 % der Befragten bewerten diese als wichtig oder sehr wichtig für die Verbesserung der Cybersicherheit. Aktuell erfüllen 22 % entsprechende Normen vollständin, 53 % orientieren sich daran, setzen sie aber nur teilweise um. „Standards helfen dabei, Cybersicherheit dauerhaft im Unternehmen zu verankern“, erklärt Fübi.

Appell an Politik und Wirtschaft

Angesichts wachsender Bedrohungen fordert der TÜV-Verband klarere gesetzliche Vorgaben. 55 % der Befragten unterstützen strengere Sicherheitsvorgaben für Unternehmen – auch, um das Internet sicherer zu machen. NIS2 und der kommende Cyber Resilience Act (CRA) sind dabei zentrale Hebel. Letzterer sieht ab 2027 verbindliche Sicherheitsvorgaben für alle Produkte mit digitalen Komponenten vor. „Nur wenn Unternehmen sich frühzeitig mit den neuen Vorgaben auseinandersetzen, können sie ihre Resilienz nachhaltig stärken“, so Fübi.

Den vollständige Bericht zur ‚TÜV Cybersecurity Studie 2025‘ können Sie hier herunterladen.