IT-Notfallplanung: Nur 20 Stunden Durchhaltevermögen bei Ausfall

Eine aktuelle Bitkom-Studie zeigt: Die meisten Betriebe sind auf längere Ausfälle kaum vorbereitet. Besonders der Gesundheitssektor leidet unter den Folgen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen

Nur 20 Stunden Durchhaltevermögen

Die Bitkom-Untersuchung, durchgeführt von November 2025 bis Januar 2026 unter 604 Unternehmen, offenbart alarmierende Schwächen. Im Durchschnitt können Betriebe ihren Geschäftsbetrieb bei einem kompletten Internetausfall nur 20 Stunden aufrechterhalten. Besonders erschreckend: 21 Prozent der Firmen sind sofort handlungsunfähig, sobald die Verbindung reißt.

Die Angst vor gezielten Angriffen ist groß. 74 Prozent der Unternehmen rechnen mit einer erhöhten Gefahr durch Sabotage und hybride Bedrohungen. Noch kritischer sehen sie die staatliche Vorbereitung: 73 Prozent halten Deutschland für unzureichend auf großflächige Störungen vorbereitet. Als besonders verwundbar gilt mit 90 Prozent die Energieversorgung.

Immerhin: 61 Prozent der Betriebe haben den IT-Schutz auf Geschäftsführungsebene verankert. Doch bei der Selbsteinschätzung herrscht Skepsis. Kein einziges Unternehmen fühlt sich „sehr gut“ auf einen langfristigen Ausfall vorbereitet. Immerhin planen 37 Prozent, ihre Investitionen in die IT-Vorsorge zu erhöhen.

NIS2 und TISAX erhöhen den Druck

Die europäische NIS2-Richtlinie und ihre nationale Umsetzung im BSI-Gesetz verschärfen die Anforderungen massiv. Besonders das Gesundheitswesen – nun als „wesentliche Einrichtung“ eingestuft – unterliegt strengen Meldeverpflichtungen.

Ein Sicherheitsvorfall gilt als erheblich, wenn er zu schweren Betriebsstörungen, finanziellen Verlusten ab 500.000 Euro oder Schäden für Dritte führt. Die erste Meldung ans BSI muss dann innerhalb von 24 Stunden über das Melde- und Informationsportal (MIP) erfolgen. Das zwingt Organisationen zur Professionalisierung ihrer Incident-Response-Prozesse.

Auch die Automobilindustrie steht unter Zugzwang. Seit April 2024 ist der Prüfkatalog VDA ISA 6.0 verbindlich. Das dazugehörige TISAX-Verfahren wächst jährlich um 18 Prozent – über 9.500 aktive Labels gibt es mittlerweile. Die Neuerung bringt das Label „Verfügbarkeit“ und fünf neue Controls für Incident-Management und Business Continuity. Zudem wurde die Norm ISA/IEC 62443-2-1 für OT integriert.

Für viele Zulieferer ist die Zertifizierung der Schlüssel zum Markt. Die Kosten variieren: Für Assessment Level 2 (AL2) fallen 8.000 bis 15.000 Euro an, für Level 3 (AL3) 18.000 bis 35.000 Euro. Rund 75 Prozent der Anforderungen decken sich mit ISO 27001.

Von Backups zu unsichtbaren Daten

Ransomware-Angreifer zielen zunehmend auf Backup-Infrastrukturen. Ihr Ziel: die Wiederherstellung verhindern und den Druck bei Lösegeldforderungen erhöhen. Die Antwort der Branche: „unsichtbare Daten“. Experten setzen auf logisch isolierte und verdeckte Backups als letzte Verteidigungslinie. Denn automatisierte Schadsoftware findet sichtbare Systeme im Netzwerk schnell.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieser Gratis-Report enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Cyber Security E-Book jetzt gratis sichern

Parallel dazu verändert sich die Sicherheitsstrategie in industriellen Umgebungen. Weg vom klassischen Perimeterschutz mit Firewalls, hin zu identitätsbasierter Kommunikation. Hier steuert eine Public Key Infrastructure (PKI) den Datenverkehr. Jeder Zugriff erfordert einen kryptographischen Nachweis – ein Paradigmenwechsel für vernetzte Produktionsanlagen.

Die Sicherheitsausgaben steigen weltweit. IDC prognosticiziert für 2025 ein Wachstum von 12,2 Prozent. Das Geld fließt verstärkt in Resilienz-Technologien. Im Gesundheitswesen reichen die Fördermittel aus dem Krankenhauszukunftsgesetz (KHZG) laut Branchenberichten jedoch nicht aus, um die chronischen Defizite zu beheben.

Zehn Milliarden für den Zivilschutz

Die Bundesregierung reagiert auf die Bedrohungslage. Ein am 24. Mai 2026 vorgestelltes Eckpunktepapier des BMI sieht ein Zehn-Milliarden-Programm vor. Die Mittel sollen in Schutzräume, moderne Warnsysteme und Hilfsorganisationen fließen. Doch die Pläne stoßen auf lokaler Ebene auf Widerstand. Für den 22. Juni ist ein kommunaler Protesttag angekündigt – Städte und Gemeinden sehen Herausforderungen bei der Umsetzung.

Die Nachfrage nach Weiterbildung im Bereich IT-Sicherheit und Notfallmanagement steigt. Heise Online bietet zwischen Juni und November mehrtägige Schulungen zu BCM und IT-Notfallplanung an. Schwerpunkte: Risikoidentifikation, Aufbau einer Notfallorganisation und Wiederanlaufübungen.

Auch KI-gestützte Methoden gewinnen an Bedeutung. Workshops im Juni, August und November 2026 behandeln KI-basierte Schwachstellenanalyse und Bedrohungserkennung. Für Webentwickler gibt es spezialisierte Fortbildungen zu OWASP Top 10, Injection-Angriffen und Cross-Site Scripting (XSS).

Fazit: IT-Notfallplanung wird zur Überlebensfrage

Die Kombination aus wachsender Bedrohung und verschärfter Regulierung zwingt Unternehmen zum Umdenken. IT-Notfallplanung ist kein reines IT-Thema mehr – sie wird zur Geschäftsstrategie. Die Bitkom-Studie zeigt: Viele Betriebe stehen hier noch am Anfang.

Technologische Innovationen wie identitätsbasierte Sicherheit und isolierte Backups bieten neue Schutzmöglichkeiten. Doch die Umsetzung bleibt eine finanzielle und organisatorische Herausforderung. Ob die geplanten Investitionen ausreichen, um die digitale Resilienz nachhaltig zu stärken, wird sich in den kommenden Monaten zeigen. Der Druck durch NIS2 und die neuen TISAX-Standards dürfte dabei als Katalysator wirken.

de | wissenschaft | 69419698 |