Cybersecurity in der deutschen Industrie: Umfrage belegt hohes Bewusstsein für die Bedrohungen, aber wenig strategische Reife. (Quelle: Diconium)
Drei von vier Befragten (74 %) bewerten die Bedrohungslage durch Cyberangriffe als hoch oder sehr hoch. Auffällig: Das gilt branchenübergreifend – von Maschinenbau und Elektrotechnik bis Chemie/Pharma sowie Nahrungs- und Genussmittelindustrie.
„Viele Unternehmen erkennen Cyberangriffe als reale Bedrohung, ziehen daraus aber noch nicht die notwendigen strategischen Konsequenzen“, sagt Michael Achatz, Managing Director von Diconium Deutschland. Ohne klare Governance, ausreichende Ressourcen und geübte Reaktionsfähigkeit bleibe Cybersicherheit im Ernstfall fragil.
Strategie: „Wichtig“ reicht nicht
Während die Awareness hoch ist, bleibt die strategische Verankerung in vielen Unternehmen ausbaufähig: Nur 50 % geben an, dass Cybersecurity eine zentrale Rolle in der Unternehmensstrategie spielt; für weitere 40 % ist sie zwar ein wichtiger Bestandteil – aber eben nicht „zentral“.
Diconium ordnet das als riskant ein: Gerade in OT-nahen Umgebungen entscheidet sich Resilienz nicht an Absichtserklärungen, sondern an Prozessen, Verantwortlichkeiten und regelmäßig geübten Abläufen.
Compliance: Zwei Drittel erfüllen Mindestanforderungen, aber nicht alle wissen es
Beim Blick auf gesetzliche Mindestanforderungen zeigt die Studie ein gemischtes Bild: Zwei Drittel erfüllen die Mindestanforderungen oder gehen darüber hinaus – gleichzeitig geben rund 23 % an, die Anforderungen nicht zu erfüllen oder nicht sicher beurteilen zu können, ob sie compliant sind.
„Viele Unternehmen nutzen den Rückenwind gezielt, den sie durch die Erfüllung gesetzlicher Vorgaben bekommen, um ihr Sicherheitsniveau zu erhöhen“, so Achatz. Compliance bringe mehr als Audits – sie könne ein Sprungbrett zur Verbesserung der Sicherheitslage sein.
Spannend im Branchenvergleich: Die Automobilindustrie gilt laut Diconium als Referenz beim Reifegrad – dort wird der Cyber Resilience Act (CRA) deutlich stärker als relevant eingeschätzt. In der Automotive-Umfrage (Sept. 2025) sehen rund 63 % hohe/sehr hohe Auswirkungen des CRA auf die Geschäftsplanung – branchenübergreifend sind es nur gut 30 %.
Hürden liegen selten am Budget
Ein Kernergebnis, das viele Praktiker bestätigen dürften: Cybersicherheit scheitert nach Selbsteinschätzung überwiegend nicht am Geld, sondern an internen Engpässen. Als häufigste Hindernisse nennen die Unternehmen u. a.:
- Fachkräftemangel in IT-/OT-Security (50 %)
- Legacy-/Altsysteme (40 %)
- fehlende Prozesse/Governance-Strukturen (32,5 %)
Auch bei der Ressourcenfrage wird klar: Lücken sehen Befragte vor allem bei Personal (32,5 %) und Technologie/Tools/Infrastruktur (31 %); Budget nennen nur 10 % als primäre Lücke.
Investitionen: Cloud, Awareness, KI – operative Security oft zu weit unten
Für die kommenden 12–18 Monate priorisieren viele Unternehmen Investitionen in:
- sichere Cloud-Infrastruktur (47 %)
- Security-Awareness & Trainings (45 %)
- KI-basierte Sicherheitslösungen (42 %)
- sichere Softwareentwicklung (41 %)
Deutlich niedriger priorisiert werden dagegen operative Maßnahmen wie:
- Threat Detection & Incident Response (26,5 %)
- Pentesting/Offensive Security (17,5 %)
Diconium warnt vor einer „Resilienz-Lücke“: Im Alltag sei das Sicherheitsniveau vielerorts solide – im Ernstfall fehle aber häufig die geübte Reaktionsfähigkeit.
Resilienz in der Praxis
Die Studiengrafiken zu umgesetzten Resilienzmaßnahmen zeigen ein klares Muster: Viele Maßnahmen sind nicht flächendeckend vollumfänglich etabliert, sondern häufig „teilweise/testweise“ umgesetzt. Das gilt besonders für Penetrationstests, Incident-Response-Pläne sowie Red-Teaming/Simulationen.
„Cyber-Resilienz bedeutet nicht, jeden Angriff zu verhindern, sondern handlungsfähig zu bleiben, wenn es dazu kommt“, sagt Saul Dickinson, Senior Director Cybersecurity bei Diconium. Proaktive Maßnahmen wie Red Teaming, Pentesting und das aktive Üben von Incident-Response-Plänen seien dafür essenziell.