IT-Sicherheit in Großbritannien: Hohe Vorfallsquoten, steigende Budgets – doch der Wandel stockt

Die fünfte Welle der britischen Cyber Security Longitudinal Survey (CSLS) zeichnet ein nüchternes Bild der IT-Sicherheitslage in mittelgroßen und großen Unternehmen sowie einkommensstarken Wohltätigkeitsorganisationen des Vereinigten Königreichs: Cybervorfälle sind für die überwiegende Mehrheit der Organisationen nach wie vor alltägliche Realität – und strukturelle Schwachstellen bleiben trotz steigender Budgets und wachsender Zertifizierungsbereitschaft bestehen. Die Studie, die seit 2021 dieselben Organisationen begleitet, liefert damit nicht nur eine Momentaufnahme, sondern auch belastbare Erkenntnisse über langfristige Entwicklungen und Verhaltensänderungen im Bereich der Cybersicherheit.

Vorfälle auf hohem Niveau – Resilienz nur bedingt verbessert

Laut der im Sommer 2025 durchgeführten Erhebung verzeichneten 82 Prozent der Unternehmen und 77 Prozent der Wohltätigkeitsorganisationen im Erhebungszeitraum mindestens einen Cybervorfall. Die Zahlen bewegen sich damit auf einem anhaltend hohen Niveau und verdeutlichen, dass Cybervorfälle für die meisten Organisationen keine Ausnahme, sondern ein wiederkehrendes Phänomen darstellen.

Die Langzeitperspektive der Studie offenbart dabei ein Muster der Kontinuität: Mehr als die Hälfte aller teilnehmenden Organisationen (54 Prozent) berichtete zu beiden Erhebungszeitpunkten von vergleichbaren Erfahrungen. Wer einmal verschont blieb, blieb es häufig auch beim Folgeinterview – 52 Prozent der Organisationen ohne Vorfall zum ersten Zeitpunkt meldeten auch zum zweiten Zeitpunkt keinen Zwischenfall. Dies legt nahe, dass bestimmte Organisationsmerkmale – sei es die Branche, die Unternehmensgröße oder die bereits vorhandene Sicherheitsinfrastruktur – einen stabilen Einfluss auf die Vorfallswahrscheinlichkeit ausüben.

Immerhin: Rund ein Drittel der Organisationen (34 Prozent), die beim ersten Befragungszeitpunkt Vorfälle mit konkreten Folgen erlebt hatten, berichteten beim zweiten Zeitpunkt von Vorfällen ohne nennenswerte Auswirkungen. Dies lässt sich entweder auf gestärkte Abwehrmaßnahmen oder auf eine geringere Intensität der Angriffe zurückführen – eindeutig belegen lässt sich beides nicht. Die Studie weist ausdrücklich darauf hin, dass das Ausbleiben von Vorfällen nicht automatisch als Indikator für eine starke Cyberresilienz gewertet werden kann, da die tatsächliche Reaktions- und Wiederherstellungsfähigkeit im Rahmen dieser Methodik nicht direkt gemessen wird.

Reaktiv statt proaktiv: Ein wiederkehrendes Muster

Ein zentrales Ergebnis der Langzeitanalyse ist die anhaltende Tendenz vieler Organisationen, Sicherheitsmaßnahmen erst nach einem tatsächlichen Vorfall zu intensivieren. Bei Organisationen ohne Vorfallserfahrung waren im Zeitverlauf keine statistisch signifikanten Muster für proaktive Verbesserungen erkennbar. Cybervorfälle mit spürbaren Konsequenzen fungierten hingegen als Auslöser: Betroffene Organisationen verbesserten in der Folge häufiger ihre Einhaltung der fünf Kernkontrollen des Cyber-Essentials-Frameworks. Organisationen, die lediglich geringfügige oder keine Auswirkungen erlebt hatten, zeigten dagegen keine vergleichbare Veränderungsbereitschaft.

Dieses Muster gibt Anlass zur Reflexion: Zwar können Organisationen den Zeitpunkt eines Cyberangriffs nicht vorhersehen, doch die Abhängigkeit vom tatsächlichen Schadenseintritt als Handlungsimpuls zeigt, dass präventive Ansätze noch nicht flächendeckend verankert sind. Externe Ereignisse – etwa öffentlich bekannt gewordene Angriffe auf andere Unternehmen oder branchenweite Vorfallsberichte – wirkten zwar ebenfalls als Impulsgeber und ermöglichten in einigen Fällen die Freigabe zusätzlicher Finanzmittel oder intensivierten interne Kontrollen. Sie führten jedoch nicht zwangsläufig zu konkreten, nachhaltigen Maßnahmen. 51 Prozent der Unternehmen, aber nur 41 Prozent der Wohltätigkeitsorganisationen nannten branchenweite Vorfallsberichte als Motivation zur Verbesserung ihrer Sicherheitslage – ein Unterschied, der auf strukturelle Differenzen in der Risikowahrnehmung beider Organisationstypen hindeutet.

Zertifizierung nimmt zu – Lieferkette bleibt Schwachstelle

Positiv fällt der deutliche Anstieg bei der Einhaltung anerkannter Sicherheitsstandards auf. Der Anteil der Organisationen mit Cyber-Essentials-Zertifizierung stieg gegenüber der Vorjahreswelle merklich: bei Unternehmen von 23 auf 30 Prozent, bei Wohltätigkeitsorganisationen von 19 auf 28 Prozent. Im Längsschnitt berichteten 31 Prozent der Organisationen von einer verbesserten Einhaltung mindestens eines der drei Hauptstandards (Cyber Essentials, Cyber Essentials Plus, ISO 27001), während nur 20 Prozent einen Rückgang vermeldeten. Diese Entwicklung deutet darauf hin, dass das Bewusstsein für formale Sicherheitsrahmen gestiegen ist und sich zunehmend in konkreten Zertifizierungsschritten niederschlägt.

Das Lieferkettenmanagement hingegen bleibt eine strukturelle Lücke, die sich auch in der fünften Welle nicht geschlossen hat. Mittelgroße Unternehmen und Wohltätigkeitsorganisationen bewerteten die Cybersicherheit ihrer Lieferanten seltener formal – und das obwohl Lieferketten als bekannter Angriffsvektor gelten. Eine formale Bewertung fand vor allem dann statt, wenn die Organisation zuvor selbst einen Vorfall mit Folgen erlebt hatte. Auch hier zeigt sich das reaktive Muster: Erst der eigene Schaden schärft den Blick für externe Risiken.

Positiv hervorzuheben ist die hohe Stabilität bei der Cyberversicherung: 98 Prozent der Organisationen, die zum ersten Zeitpunkt über eine spezifische Cyberversicherung verfügten, hielten zum zweiten Zeitpunkt weiterhin eine Form von Cyberversicherung aufrecht – entweder als eigenständige Police oder eingebettet in eine allgemeine Versicherung. Im Vergleich zu anderen Cybersicherheitspraktiken, die im Zeitverlauf stärkere Schwankungen aufweisen, erweist sich die Versicherungsabdeckung damit als besonders beständige Maßnahme.

Budgets steigen – Wirkung bleibt ungleich verteilt

Über ein Drittel der befragten Organisationen (37 Prozent der Unternehmen, 36 Prozent der Wohltätigkeitsorganisationen) meldeten für die fünfte Welle gestiegene Cybersicherheitsbudgets – ein Indikator dafür, dass das Thema in den Leitungsebenen vieler Organisationen angekommen ist. Dennoch klafft zwischen gestiegenen Ausgaben und tatsächlicher Wirksamkeit bisweilen eine Lücke. Zehn Prozent der Wohltätigkeitsorganisationen – gegenüber fünf Prozent der Unternehmen – gaben an, ihre Budgets reichten nicht aus, um alle relevanten Risikobereiche abzudecken und in einigen Bereichen ausreichend geschützt zu sein.

Auch auf Vorstandsebene zeigen sich deutliche Unterschiede zwischen den Organisationstypen. Große Unternehmen wiesen im Zeitverlauf doppelt so häufig regelmäßige Cyberrisiko-Diskussionen im Leitungsgremium auf wie Wohltätigkeitsorganisationen – mit einer Veränderungsrate von 2,1 gegenüber 0,8. Bei Wohltätigkeitsorganisationen war sogar eine Tendenz zu rückläufigen Diskussionsfrequenzen auf Vorstandsebene erkennbar. Dies verdeutlicht eine strukturelle Diskrepanz: Obwohl Organisationen beider Typen versuchen, Cyberrisiken stärker in ihre Gesamtstrategie zu integrieren, spiegelt sich dieses Bewusstsein bei Wohltätigkeitsorganisationen weder ausreichend im Budget noch in der Intensität der Vorstandsbefassung wider. Auch bei der regelmäßigen Schulung von Vorstandsmitgliedern war im Langzeitvergleich über alle Organisationen hinweg eine geringere Neigung zu positiven Veränderungen festzustellen.

Mensch als Faktor – Schulung und Kommunikation im Fokus

Qualitative Interviews, die ergänzend zur Umfrage zwischen September und Oktober 2025 geführt wurden, unterstreichen die Bedeutung des menschlichen Faktors: Mitarbeitende wurden wiederholt als potenzielle Angriffsfläche innerhalb der Organisationen benannt – unabhängig von Unternehmensgröße oder Branche. Das Bewusstsein und die Wachsamkeit der Belegschaft gelten dabei als erste Verteidigungslinie gegen künftige Angriffe, was viele Organisationen dazu veranlasst hat, ihre Investitionen in Nutzerschulung und Sensibilisierungsmaßnahmen zu erhöhen.

Zielgruppenspezifische Kommunikation erwies sich in diesem Zusammenhang als besonders wirksamer Ansatz, um Verhaltensänderungen innerhalb einer Organisation nachhaltig zu beeinflussen. Standardisierte Schulungsformate allein reichen offenbar nicht aus – entscheidend ist, dass Inhalte auf die jeweiligen Rollen und Risikoexpositionen der Mitarbeitenden zugeschnitten sind. Regelmäßige Penetrationstests ergänzen diesen Ansatz auf technischer Ebene und helfen Organisationen, Schwachstellen systematisch zu identifizieren, bevor sie ausgenutzt werden können. Beide Maßnahmen zusammen – kontinuierliche Schulung und technische Überprüfung – scheinen jene Organisationen zu kennzeichnen, die im Zeitverlauf eine stabilere Sicherheitslage aufrechterhalten konnten.

Langzeitstudie zur Cybersicherheit – fünfte Welle, technischer Anhang

Die Cyber Security Longitudinal Survey wird im Auftrag des britischen Ministeriums für Wissenschaft, Innovation und Technologie durchgeführt. Die fünfte Erhebungswelle umfasste die quantitative Befragungsphase von Juni bis August 2025 sowie qualitative Interviews von August bis Oktober 2025.

Vielleicht gefällt Ihnen auch:

 

---