Studie: Wirtschaft braucht mehr Schulung in Sachen Hackerabwehr

ONEKEY IoT & OT Cybersecurity Report 2025: „Kaum ein Drittel der Unternehmen führt mindestens einmal im Jahr eine Schulung zum Cyber Resilience Act durch.“

Düsseldorf, 15. Januar 2026 – Die deutsche Wirtschaft sollte in diesem Jahr einen stärkeren Fokus auf das Cybersicherheits-Training ihrer Belegschaften legen. Zu diesem Schluss kommt der aktuelle „IoT & OT Cybersecurity Report 2025“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Ab Herbst dieses Jahres treten die meisten der im Cyber Resilience Act der Europäischen Union festgelegten strengen Meldepflichten bei Sicherheitsvorfällen in Kraft. Im Herbst 2027 müssen die Hersteller, Inverkehrbringer und Betreiber vernetzter digitaler Geräte, Maschinen und Anlagen die EU-Verordnung vollumfänglich erfüllen.

Die Unternehmen müssen dann gemäß CRA nachweisen, dass ihre Produkte grundlegende Cybersicherheitsanforderungen erfüllen und keine bekannten Schwachstellen enthalten. Zudem verpflichtet der CRA zur Bereitstellung regelmäßiger Sicherheitsupdates, zur schnellen Behebung von Schwachstellen und zur Erstellung einer detaillierten Software-Stückliste (SBOM). Verstöße können mit hohen Geldbußen belegt werden.

Dennoch führt laut „IoT & OT Cybersecurity Report 2025“ von ONEKEY weniger als ein Drittel (30 Prozent) der 300 für den Bericht befragten Unternehmen mindestens einmal jährlich eine Weiterbildungs­maßnahme zum Thema „Cyber Resilience Act“ für seine Beschäftigten durch. Weitere 28 Prozent halten eine diesbezügliche Schulung alle ein bis zwei Jahre für ausreichend. 19 Prozent haben die Frage nach einer CRA-Weiterbildung mit „selten oder nie“ beantwortet.

„Der niedrige Schulungsstand ist umso bemerkenswerter, als die Bedrohungslage weiterhin hoch ist“, sagt ONEKEY-CEO Jan Wendenburg. Er verweist auf die Polizeiliche Kriminalstatistik (PKS), die mehr als 130.000 in Deutschland verübte Cybercrime-Fälle aufführt. Der durch Cyberattacken verursachte Schaden wird in der Größenordnung von 180 Milliarden Euro geschätzt.

„Die weiterhin zu­nehmende Digitalisierung und Vernetzung sowie die Nutzung von Künstlicher Intelligenz durch Cyberkriminelle wird die Situation noch verschärfen“, warnt Jan Wendenburg. Laut „IoT & OT Cybersecurity Report 2025“ haben mehr als ein Drittel (35 Prozent) der befragten Unternehmen schon mindestens einmal Cybersicherheitsvorfälle im Zusammenhang mit der Nichteinhaltung von CRA-Anforderungen erleben müssen. „Im Herbst dieses Jahres treten die im CRA festgelegten Meldepflichten in Kraft“, erinnert der ONEKEY-CEO an die nahe Zukunft.

ONEKEY bietet eine vollautomatisierte Product & Cybersecurity Compliance Plattform, die für Unternehmen die SBOM Erstellung, Schwachstellenmanagement und Compliance Prüfung automatisiert und so viel Zeit, Kosten und Nerven spart.

Für Einsteiger bietet ONEKEY auch einen praxisnahen CRA Readiness Assessment-Workshop. In einführenden Sessions erfahren Teilnehmende, welche konkreten Auswirkungen der CRA auf ihren Betrieb hat und erhalten darauf basierend einen individuellen Bewertungsplan. Im Rahmen einer detaillierten Prozessüberprüfung werden zentrale Bereiche wie Softwareentwicklung und Schwachstellenmanagement analysiert. Darüber hinaus deckt eine GAP-Analyse bestehende Compliance-Lücken auf und zeigt Möglichkeiten zu deren Behebung. Am Ende des Workshops erhält jedes Unternehmen eine maßgeschneiderte Roadmap, die klar aufzeigt, wie sich die Anforderungen des CRA strukturiert und effizient umsetzen lassen.