17. April 2025 | Artikel drucken |

Deutschlands Cybersicherheit ist eine Illusion — Warum BSI-Berichte und NIS2 uns in falscher Sicherheit wiegen

2 Min. Lesezeit

Deutschland gibt sich als Cybersicherheits-Vorreiter – mit BSI-Lageberichten, NIS2-Umsetzung und KRITIS-Regulierung. Doch die Realität in Unternehmen und Behörden zeigt ein anderes Bild: Die meisten Maßnahmen sind Papierwerk ohne operative Wirkung. Eine unbequeme Bestandsaufnahme.

Das Wichtigste in Kürze

  • BSI-Lageberichte beschreiben die Bedrohungslage korrekt – aber der operative Schutz in Behörden und KMU hinkt Jahre hinterher
  • NIS2 verpflichtet rund 30.000 Unternehmen, doch viele haben weder Budget noch Personal für die Umsetzung
  • Die Digitalisierung der öffentlichen Verwaltung scheitert an Grundlagen: veraltete Software, fehlende Patches, kein Incident Response
  • Der Fachkräftemangel in der IT-Sicherheit ist in Deutschland gravierender als in vergleichbaren EU-Ländern

Das Potemkinsche Dorf der deutschen Cybersicherheit

Jedes Jahr veröffentlicht das BSI seinen Lagebericht. Jedes Jahr steigt die Bedrohungslage. Jedes Jahr folgen neue Regulierungen. Und jedes Jahr passiert operativ – zu wenig.

Das Problem ist nicht die Analyse. Die BSI-Berichte gehören zu den besten weltweit. Das Problem ist die Kluft zwischen Erkenntnis und Handlung. Ein Beispiel: Der Landkreis Anhalt-Bitterfeld wurde 2021 durch Ransomware lahmgelegt. Die Verwaltung fiel monatelang aus. Vier Jahre später betreiben immer noch Hunderte deutscher Kommunen identische Infrastrukturen ohne nennenswerte Härtung.

NIS2 sollte das ändern. Auf dem Papier klingt es ambitioniert: Meldepflichten innerhalb von 24 Stunden, persönliche Geschäftsführerhaftung, Sanktionen bis 10 Millionen Euro. In der Praxis? Die deutsche Umsetzung hinkt dem EU-Zeitplan hinterher. Viele der 30.000 betroffenen Unternehmen wissen nicht einmal, dass sie unter NIS2 fallen.

Wo die Lücken konkret liegen

Öffentliche Verwaltung: Tausende Behörden arbeiten mit Windows-Systemen jenseits des Support-Endes. Patch-Management existiert häufig nur als Konzept. Die IT-Abteilungen bestehen aus einer oder zwei Personen, die gleichzeitig Drucker reparieren und Active Directory administrieren.

Mittelstand: Unternehmen mit 200 bis 500 Mitarbeitern haben oft keinen dedizierten Security-Verantwortlichen. Die IT wird vom Geschäftsführer mitverwaltet oder an einen externen Dienstleister ausgelagert, der primär Verfügbarkeit, nicht Sicherheit liefert.

Kritische Infrastrukturen: Krankenhäuser, Wasserversorger, Energienetze – theoretisch durch KRITIS-Verordnungen geschützt. Praktisch zeigen Audits immer wieder: Segmentierung fehlt, OT-Netze hängen am Internet, Backups sind nicht offline verfügbar.

Der Selbstbetrug der Compliance

Das eigentliche Problem ist strukturell: Deutschland verwechselt Compliance mit Sicherheit. Ein ISO-27001-Zertifikat beweist, dass Prozesse dokumentiert sind – nicht, dass sie funktionieren. Ein Penetrationstest alle zwei Jahre zeigt eine Momentaufnahme – aber Angreifer testen täglich.

Die Regulierungsdichte steigt, aber die operative Resilienz nicht proportional. Unternehmen investieren in Audit-Berichte und Compliance-Tools statt in Detection and Response. Das Ergebnis: Perfekte Dokumentation, aber im Ernstfall kein Incident-Response-Plan, der jemals unter Druck getestet wurde.

Was sich wirklich ändern müsste

1. Operative Prüfungen statt Papier-Audits: Regulierer sollten nicht nur Dokumentation prüfen, sondern unangekündigte Red-Team-Exercises durchführen. Wer die Prüfung nicht besteht, bekommt keine Schonfrist, sondern muss sofort nachbessern.

2. Zentrale Security-Services für KMU: Der Mittelstand kann keine eigenen SOCs betreiben. Der Staat muss – wie in Israel oder Estland – zentrale Dienste bereitstellen: Threat Intelligence, Incident Response, Vulnerability Scanning als öffentliche Infrastruktur.

3. Fachkräfte-Offensive statt Lippenbekenntnisse: Deutschland bildet pro Jahr weniger als 5.000 IT-Sicherheitsfachkräfte aus. Der Bedarf liegt bei über 100.000. Ohne eine radikale Neuausrichtung der Ausbildung – inklusive Quereinstiegsprogrammen und attraktiver Vergütung im öffentlichen Dienst – bleibt jede Regulierung wirkungslos.

Fazit: Ehrlichkeit als erster Schritt

Deutschland hat kein Erkenntnisproblem, sondern ein Umsetzungsproblem. Die Lageberichte sind korrekt, die Regulierungen ambitioniert – aber zwischen Gesetzestext und gelebter Praxis klafft eine gefährliche Lücke. Der erste Schritt wäre, diese Lücke ehrlich zu benennen, statt sich in Compliance-Illusionen zu wiegen.

Key Facts

BSI-Personal: Das BSI hat rund 1.700 Mitarbeitende – Israels vergleichbare Behörde INCD operiert mit ähnlicher Stärke bei einem Zehntel der Bevölkerung.

KRITIS-Ausfälle: Laut BSI gab es 2024 über 670 meldepflichtige IT-Sicherheitsvorfälle in kritischen Infrastrukturen – ein Anstieg von 28 Prozent.

Häufige Fragen

Ist NIS2 wirkungslos?

NIS2 ist nicht wirkungslos, aber die Umsetzung in Deutschland ist zu langsam. Die Richtlinie setzt die richtigen Impulse – persönliche Haftung, kurze Meldefristen, hohe Bußgelder. Das Problem liegt in der verspäteten nationalen Gesetzgebung und fehlenden Prüfkapazitäten.

Was können KMU konkret tun, wenn Budget und Personal fehlen?

Drei Sofortmaßnahmen: Erstens, Managed Detection and Response (MDR) als externen Service einkaufen – kostet einen Bruchteil eines eigenen SOC. Zweitens, Offline-Backups einrichten und monatlich testen. Drittens, die wichtigsten zehn CIS Controls umsetzen – das reduziert 85 Prozent aller Angriffsvektoren.

Wie schneidet Deutschland im EU-Vergleich ab?

Im ENISA Maturity Report liegt Deutschland im oberen Mittelfeld – hinter Estland, den Niederlanden und Frankreich. Besonders bei der Umsetzung in KMU und der öffentlichen Verwaltung gibt es erheblichen Nachholbedarf.

Verwandte Artikel

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH