Wie häufig ereignen sich IT-Sicherheitsvorfälle in NRW-Unternehmen? Sind nur die großen Unternehmen betroffen? Wie ist die Lage im europäischen Vergleich?
Dieser Artikel beleuchtet verschiedene Aspekte zur IT-Sicherheitslage der Unternehmen in NRW in den Jahren 2023 und 2024. Aktuellere Angaben zur Cyber-Sicherheit in NRW liegen voraussichtlich erst Anfang 2027 mit der Erhebung zum Berichtsjahr 2026 vor.
Die Ergebnisse stammen aus der freiwilligen IKTU-Erhebung der Europäischen Union. Je mehr Unternehmen an der Befragung teilnehmen, umso verlässlicher sind die Ergebnisse zur digitalen Entwicklung in NRW.
Ihr Unternehmen wurde für die IKTU angeschrieben? Helfen Sie mit und nehmen an der Erhebung teil.
Anzahl von IT-Sicherheitsvorfällen
Zwei von fünf großen Unternehmen von IT-Vorfällen betroffen
Nach jüngsten Daten für das Jahr 2023 waren 42,8 % aller großen Unternehmen in Nordrhein-Westfalen von Cyber-Sicherheitsvorfällen betroffen.1 Damit sind bei durchschnittlich zwei von fünf Großunternehmen – trotz aller Sicherheitsmaßnahmen – mindestens einmal IT-Systeme beeinträchtigt worden. Als Folge solcher Vorfälle haben entweder Unbefugte Zugang zu internen Informationen erhalten, die Integrität von IT oder Daten wurde beschädigt oder IT-Systeme waren nicht erreichbar.
Vereinfacht gesagt: Je größer Unternehmen sind, desto eher nehmen sie Schaden durch Cyber-Sicherheitsvorfälle. Kleine Unternehmen blieben dennoch nicht von Störungen ihrer IT-Sicherheit verschont. So hatte jedes vierte kleine Unternehmen (25,1 %) im Jahr 2023 mindestens einen IT-Sicherheitsvorfall zu bewältigen.
IT-Vorfälle in Europa
NRW auf Platz sechs in der Europäischen Union
Wenn NRW ein Staat wäre, dann läge das Bundesland mit rund 26,4 % auf dem sechsten Platz unter den am häufigsten von IT-Vorfällen betroffenen Staaten in der Europäischen Union (EU). Das ist über dem Durchschnitt für Deutschland und der EU. Im gesamtdeutschen Durchschnitt – einschließlich NRW – waren 25,1 % der Unternehmen betroffen.
Im europäischen Vergleich meldeten vor allem die Unternehmen aus Finnland und Polen, dass es 2023 zu Sicherheitsvorfällen in den IT-Systemen gekommen war. Ebenfalls relativ viele Vorfälle gab es auf Malta, in Rumänien und der Tschechischen Republik. In der EU insgesamt waren es im Jahr 2023 21,5 %.
Risiko im Osten der EU am höchsten
Im europäischen Vergleich liegen die am stärksten von IT-Sicherheitsvorfällen betroffenen Staaten überwiegend im Osten der EU. Neben den Schwerpunkten Finnland und Polen lag der Anteil betroffener Unternehmen auch in Rumänien, der Tschechischen Republik und in Kroatien deutlich über dem EU-Durchschnitt von 21,5 %. Ebenso herrschte in Deutschland und den Niederlanden eine vergleichbare Sicherheitslage mit Anteilen betroffener Unternehmen von mehr als 25 %.
Eingesetzte Schutzmaßnahmen
Nahezu alle Unternehmen schützen ihre IT-Systeme
Angesichts der Sicherheitslage im Jahr 2023 hatten nahezu alle Unternehmen in NRW entsprechende Vorkehrungen zum Schutz ihrer IT-Systeme getroffen. Beispielsweise wurde in den IT-Systemen auf starke Passwörter geachtet, es fanden regelmäßige Daten-Backups statt oder Firmendaten wurden verschlüsselt.
Zum Erhebungsstand Ende 2024 wurde in 97,0 % aller Fälle angegeben, dass zumindest eine von den elf in der Erhebung genannten Maßnahmen angewendet wurde. Bei knapp drei von vier Unternehmen waren sogar fünf oder mehr Sicherheitsmaßnahmen parallel im Einsatz.
Deutlich erkennbar wurde 2024 in der NRW-Wirtschaft oft der Aufwand für eine Reihe von gleichzeitigen Schutzmaßnahmen betrieben. Fünf gleichzeitige Hürden waren bei 72,9 % der Unternehmen aktiv und mehr als die Hälfte der Unternehmen nutzte sogar mindestens sieben Maßnahmen parallel (51,8 %). Dennoch war es eher die Ausnahme, dass alle der elf genannten Technologien zum Schutz genutzt wurden.
Generell ist das Schutzniveau sehr heterogen
Von den abgefragten Technologien gab es 2024 keine, die bei allen vorhandenen IT-Systemen immer vorzufinden wäre. Selbst für die gängigsten Maßnahmen lagen die Verbreitungsgrade unter dem Maximalwert von 97,0 % für den Indikator „Mindestens eine Technologie wird genutzt“ (siehe oben).
Beispielsweise wurden in jeweils neun von zehn Unternehmen entweder auf sichere Passwörter geachtet oder die Daten wurden systematisch in Backups gesichert. Diese Vorkehrungen sind technisch einfacher als beispielsweise biometrische Erkennungsmethoden oder VPN-Tunnel für externe Netzwerkzugänge. Auch das Bundesamt für Informationssicherheit empfiehlt unter anderem diese beiden Maßnahmen als ersten Einstieg in den Schutz von IT-Systemen in Unternehmen.2
Tatsächlich gab zwar eine große Mehrheit der NRW-Firmen im Jahr 2024 an, dass beide Sicherheitsverfahren angewendet wurden, daneben fanden sich aber viele alternative Kombinationen von Mechanismen, die zusammen die individuelle IT-Sicherheit der Unternehmen bildeten.
Klar erkennbar ist lediglich, dass bestimmte Maßnahmen im Mix der Systeme weniger oft zu finden waren. Beispielsweise wurden biometrische Identifizierungen nur von 24,5 % der Unternehmen eingesetzt.
Dokumentationen der Sicherheitslage
Dokumentationen vor allem in großen Unternehmen vorhanden
Neben einzelnen Schutzmaßnahmen dokumentieren viele Unternehmen auch die Lage der möglichen Bedrohungen für die IT-Systeme. Je nach verfügbaren Ressourcen dürfte der Umfang und Detailgrad der Dokumentationen im jeweiligen Unternehmen unterschiedlich sein. Genaue Angaben waren nicht Teil der Erhebung.
Im Fragebogen der europäischen Statistik wurde stattdessen allein die Existenz von Dokumentationen als Indikator verwendet, dass in den Firmen systematisch über die IT-Sicherheitslage nachgedacht wurde. Um Dokumentation zu erstellen sind sehr wahrscheinlich verschiedene Angriffs- bzw. Schadensszenarien geprüft worden. Des Weiteren wurden Entscheidungen vorbereitet, wie mit den Risiken im Ernstfall umgegangen werden soll.
Auch in NRW sind Dokumente zur IT-Sicherheit eher in großen Unternehmen ab 250 Beschäftigten zu finden. Vier von fünf großen Unternehmen (83,4 %) waren 2024 entsprechend vorbereitet. Doch selbst unter den kleinen Unternehmen mit weniger als 50 Mitarbeitenden investierten mehr als ein Drittel (35,2 %) Ressourcen in systematische Sicherheitskonzepte.
Ein Drittel der Dokumente älter als ein Jahr
Dokumentationen zur technischen Sicherheit sind umso wirksamer, je häufiger sie aktualisiert werden. In NRW nutzten viele Firmen im Jahr 2024 die vorhandenen Konzepte für einen vergleichsweise langen Zeitraum bis diese überarbeitet wurden. Bei 36,5 % der Unternehmen in NRW mit vorhandenen Unterlagen zur IT-Sicherheit waren die Dokumente älter als ein Jahr.
Für das Jahr 2024 wird deutlich, dass bei kleineren Unternehmen die vorhandenen Dokumente öfter erst etwas später aktualisiert wurden. Bei den kleinen Organisationen ließen sich 41,4 % der Unternehmen etwas mehr Zeit. Jedoch wurden auch bei einigen der großen Unternehmen die Dokumente nicht innerhalb eines Jahres angepasst (17,3 %).
Verpflichtungen der Mitarbeitenden
Gerade große Unternehmen mit Sicherheitsverpflichtungen
Der Faktor Mensch ist eine zentrale Komponente für die Sicherheit von IT-Systemen. Zum einen können menschliche Eigenschaften für Angriffe auf IT-Systeme ausgenutzt werden. Zum anderen tragen die Mitarbeitenden durch ihr Verhalten zur technologischen Sicherheit bei. Dementsprechend bezogen die meisten Unternehmen in NRW 2024 ihre Beschäftigten in die Maßnahmen zur IT-Sicherheit mit ein. In der Erhebung wurde erstens gefragt, ob in den Unternehmen Schulungen erfolgt waren, in denen auf mögliche Risiken im Umgang mit IT-Technologien aufmerksam gemacht wurde. Als zweites konnten Unternehmen angeben, ob bereits in den Arbeitsverträgen entsprechende Verpflichtungen enthalten waren.
Im Jahr 2024 hatten über zwei Drittel der Unternehmen in NRW ihre Beschäftigten in mindestens einer Weise für die Risiken der IT-Sicherheit sensibilisiert (68,9 %). Gerade bei großen Unternehmen wurden zu 93,6 % Schulungen zu diesem Thema durchgeführt oder schriftliche Vereinbarungen abgeschlossen.
Fußnoten und methodischer Anhang
Fußnoten
1 Die Daten beruhen auf Befragungsdaten aus dem Jahr 2024. Die Unternehmen wurden 2024 befragt, ob es im Vorjahr (2023) zu einem IT-Sicherheitsvorfall in ihrem Unternehmen gekommen war.
2 BSI für Unternehmen: Erste-Schritte-für-mehr-Cyber-Sicherheit
Methode
Die Ergebnisse stammen aus einer freiwilligen Erhebung. Basis ist eine repräsentative Stichprobe aller Unternehmen in Nordrhein-Westfalen. Berechnet wurden die Anteile positiver Antworten an der Gesamtzahl aller Unternehmen, wenn nicht anders benannt.
Anteilswerte mit einem Standardfehler zwischen 10% und maximal 15 % werden in Klammern dargestellt. Werte mit höheren Standardfehlern werden nicht publiziert.
Zeitliche Vergleichbarkeit
Erhebungsstand der IKTU-Statistik ist der jeweilige November eines Berichtsjahres. Fragen zu einem Zeitraum beziehen sich teilweise auf das zuvor abgeschlossene Kalenderjahr. Im Abschnitt „IT-Sicherheit“ wurde Berichtsjahr 2024 nach den aufgetretenen Sicherheitsvorfällen im Kalenderjahr 2023 gefragt.
Regionale Vergleichbarkeit
Alle Ergebnisse sind direkt mit den Ergebnissen von Eurostat vergleichbar. Ergebnisse zu Deutschland stammen von Eurostat. Die deutschen Anteile gelten einschließlich NRW.
Ergebnisse für die gesamte EU umfassen die 27 Mitglieds-Staaten zum Stand 2020 (nach dem Austritt von Großbritannien). Zusätzliche Länderangaben sind in der IKTU-Statistik verfügbar für Norwegen (mit der EU assoziiert) sowie für die Beitrittskandidaten Bosnien und Herzegowina, Montenegro, Serbien und die Türkei.
Einbezogene Unternehmen
Einbezogen sind Unternehmen ab einer Größe von 10 Beschäftigten.
Verfügbare Größenklassen nach Beschäftigtenzahl:
- 10–49: Kleine Unternehmen
- 50–249: Mittlere Unternehmen
- ab 250: Große Unternehmen
Definitionen zu IT-Sicherheit (Cyber Security)
In dieser Erhebung wird der Grad der IT-Sicherheit von Unternehmen in drei Dimensionen überprüft:
1. Sicherung von Vertraulichkeit, Integrität und Verfügbarkeit von IT-Systemen und Daten
(sog. CIA-Triade)
2. Sicherheitsansatz von Authentifizierung, Autorisierung und Auditing (sog. 3A-Ansatz)
3. Reifegrad im Umgang mit IT-Risiken im Unternehmen
Ein Sicherheitsvorfall lag demnach vor, sobald eine der Anforderungen unter Punkt 1 gestört war.
Aufgrund der Sensibilität von Sicherheitsvorfällen wurde in der IKTU-Erhebung 2024 nur nach dem Vorkommen allgemeiner Schadensarten gefragt. Es liegen keine Informationen zur Häufigkeit oder der Schadenshöhe innerhalb der Unternehmen vor.
Die Erhebung berücksichtigte sowohl Schäden infolge von äußeren Angriffen als auch durch allgemein technische Probleme ohne Kenntnis der Quelle. Die Anzahl der erfolgreich vermiedenen Schadensfälle ist unbekannt.
In dieser Auswertung werden folgende ausgewählte Sicherheitsmaßnahmen erfragt:
• Starke Passwörter
Bei Passwörtern kann es durch Länge und Inhalte schwerer gemacht werden, dass Dritte das Passwort unbefugt ermitteln können. Starke Passwörter erfüllen die Sicherheitsnorm ISO 9594-1
• Authentifizierung durch biometrische Methoden für Zugänge zu IT-Systemen
Biometrische Methoden erfassen eines oder mehrere physische Merkmale von Personen. Die Charakteristika werden gespeichert und fest mit einem Benutzernamen verknüpft.
• Kombination von mindestens zwei unabhängigen Authentifizierungen (z.B. 2F-Verfahren)
Eine bekannte Kombination ist die zusätzliche Authentifizierung über persönliche Smart Phones. Alternativ sind Einmal-Passwörter, Security Tokens oder biometrische Verfahren möglich.
• Verschlüsselung von Daten, Dokumenten oder Mails
Eine Verschlüsselung verhindert nicht den Zugang zu Inhalten. Stattdessen werden Inhalte so verfälscht, dass sie nur mit einer bestimmten Zusatzinformation lesbar sind (der sog. „Schlüssel“). Personen ohne die Information können die Inhalte zwar erlangen, aber nicht verwenden.
• Daten-Backups in einem getrennten Standort (Offsite)
Ein Offsite-Backup ist auf beweglichen Datenträgern gespeichert, die dann außerhalb des Unternehmensstandorts gelagert sind. In dieser Erhebung sind Cloud-Backups ebenfalls enthalten. Laufende Synchronisationen via Cloud werden nicht explizit ausgeschlossen.
• Network Zugangskontrollen
Hier sind Verfahren gemeint, bei denen Nutzern der Zugang innerhalb des Netzwerkes durch Sicherheitsregeln gesteuert werden. Beispielsweise könnte einem Computer, der das aktuelle Antivirus-Update noch nicht installiert hat, der Zugang zu bestimmten Netzwerkteilen automatisch gesperrt werden.
• Virtual Private Network (VPN)
Die Technik des VPN erweitert die Sicherheitsregeln des internen Netzwerkes auf eine öffentliche Verbindung. Obwohl ein Gerät über einen gering geschützten Zugang mit dem Netzwerk verbunden ist, sind für den Datenaustausch alle Sicherheitsmaßnahmen des internen Netzwerks aktiv.
• Sicherheitsüberwachungssysteme
Diese Systeme überwachen alle verdächtigen Aktivitäten im Netzwerk. Beispiele sind Next Generation Intrusion Prevention Systems (NGIPS), Next Generation Firewalls (NGFW) oder Intrusion Detection Systems (IDS). Nicht enthalten sind Antivirus-Software sowie Standard-Firewalls, die bereits Teil von Betriebssystemen auf Computern und Routern sind.
• Sicherung von Protokoll-Dateien (Logfiles)
Hier sind nur Logfiles gemeint, die sich auf die IT-Sicherheit beziehen. Anhand von Logfiles kann nach einem Sicherheitsvorfall untersucht werden, welche Schwachstellen genutzt wurden. Damit kann die Cyber Security für aktuelle und künftige Risiken laufend verbessert werden.
• IT-Risikobewertungen
Hier werden regelmäßig mögliche Risiken gesucht und deren Relevanz für das interne Netzwerk eingestuft. Des Weiteren wird im Vorfeld bereits entschieden, ob mögliche Maßnahmen angemessen sind oder gegebenenfalls auch nicht.
• IT-Sicherheitstests
Gezielte Simulationen von Angriffen. Beispielsweise kann versucht werden, die vorhandenen Authentifizierungen zu umgehen. So wird noch vor einem Schadensfall deutlich, ob vorhandene Maßnahmen ausreichend stark sind.
Quelle
Die Auswertung „IT-Sicherheit (Cyber Security)“ ist Teil der Fachstatistik IKTU (Erhebung von Informations- und Kommunikationstechnologien in Unternehmen).
Landesdatenbank (LDB):
https://statistik.nrw/wirtschaft-und-umwelt/unternehmen/it-nutzung-unternehmen
Datenbank Eurostat:
https://ec.europa.eu/eurostat/databrowser/view/isoc_eb_ai/default/table?lang=en&category=isoc.isoc_e.isoc_eb
Sie haben Fragen?
Sprechen Sie uns an.
Zur Kontaktseite
Zentraler statistischer Auskunftsdienst
Der zentrale statistische Auskunftsdienst ist Ihr Ansprechpartner für alle Fragen rund um Statistik und das Statistische Landesamt.