Der Anteil der IT-Budgets, der in Cybersicherheit fließt, liegt im Energiesektor bei lediglich 5,3 Prozent – der zweitniedrigste Wert der untersuchten Branchen. (Bilder: © Wavestone)
Energie- und Versorgungssektor bildet das Schlusslicht beim Reifegrad Cybersicherheit
Von:
Bernd Wegmann, Senior Manager Cyber Security
Marc-André Drescher-Litzius, Managing Consultant
bei Wavestone
Das Thema Cybersicherheit wird immer wichtiger – gerade in kritischen Industrien, deren Leistungsfähigkeit für das Funktionieren des Gemeinwesens unerlässlich ist. Doch obwohl die Bedrohungslage und Risiken klar sind, gibt es wenig Dynamik. Laut der aktuellen Wavestone Cyber Benchmark 2025 hat sich die Cybersicherheit in großen Unternehmen nur geringfügig verbessert. Der durchschnittliche Reifegrad der Cybersicherheit ist im Vergleich zum Vorjahr gerade einmal um einen Punkt gestiegen – von 53 auf 54 Prozent. Betrachtet wurden über 170 internationale Unternehmen, davon mehr als 100 mit einem Umsatz von über einer Milliarde Euro. Das Ergebnis zeigt: Cybersicherheit ist in vielen Fällen noch immer kein strategisches Kernthema und allzu häufig von der Regulatorik getrieben.
Besonders deutlich wird das beim Blick auf einzelne Branchen. So ist der Finanzsektor erneut Spitzenreiter, mit einem Reifegrad von 62,5 Prozent. Das bedeutet einen Anstieg von 2,5 Prozentpunkten im Vergleich zum Vorjahr. Diese Entwicklung ist insbesondere auf den steigenden regulatorischen Druck und damit verbundene Mehrinvestitionen zurückzuführen. Europäische Initiativen wie der Digital Operational Resilience Act zielen auf erhöhte Sicherheit im Finanzsektor. Offensichtlich mit Erfolg. Einzelne Unternehmen der Branche erreichen sogar Spitzenwerte von fast 90 Prozent.
Der Energie- und Versorgungssektor hingegen bildet das Schlusslicht. Hier liegt der Reifegrad bei lediglich 49 Prozent. Im Vergleich zum Vorjahr hat sich der Reifegrad im Energiesektor sogar verschlechtert – um knapp zwei Prozentpunkte.
Reifegrad in den unterschiedlichen Organisationen. Energie und Versorgung bilden dass Schlusslicht.
Warum schneidet ausgerechnet der Energiesektor so schlecht ab?
Die Gründe dafür sind vielfältig – und sie zeigen, wie komplex die Herausforderungen in dieser Branche sind. Ein entscheidender Faktor ist die technologische Struktur. Anders als viele andere Branchen arbeitet der Energiesektor mit einer Kombination aus klassischer IT und sogenannter Operational Technology (OT) – also Steuerungssystemen für Anlagen, Netze oder Kraftwerke. Viele dieser OT-Komponenten sind Jahrzehnte alt, lassen sich kaum patchen und wurden nie für vernetzte Umgebungen oder moderne Bedrohungsszenarien konzipiert. Das macht sie zu einem besonders anfälligen Ziel für Angriffe – und zu einem signifikanten Sicherheitsrisiko.
Zudem ist die Investitionsbereitschaft gering: Der Anteil der IT-Budgets, der in Cybersicherheit fließt, liegt im Energiesektor bei lediglich 5,3 Prozent – der zweitniedrigste Wert der untersuchten Branchen. Zum Vergleich: In der Industrie sind es 6,3 Prozent, im Dienstleistungssektor 6,8 Prozent und im Finanzsektor sogar über acht Prozent.
Hinzu kommt die strukturelle Heterogenität innerhalb der Energieunternehmen. Während Bereiche wie Netzbetrieb oder Stromerzeugung in der Regel stark reguliert sind und entsprechende Sicherheitsvorkehrungen getroffen wurden, hinken andere Unternehmensbereiche deutlich hinterher. Vertrieb, Vertragsmanagement und Kundenbetreuung unterliegen zwar auch diversen regulatorischen Anforderungen, jedoch liegt deren Fokus wenig bis gar nicht auf Cybersicherheit. Für diese Bereiche ergeben sich bisher oft nur Cybersicherheitsanforderungen aus der DSGVO, deren Umsetzung jedoch häufig nicht ganzheitlich gedacht wird. Die Folge: Selbst innerhalb eines Unternehmens kann der Reifegrad der Cybersicherheit stark variieren. Die Wavestone Cyber Benchmark bringt dieses Ungleichgewicht ans Licht.
Neue Regulatorik bringt Bewegung – aber reicht das?
So unausgeglichen die Situation teilweise ist: Es kommt Bewegung in den Sektor. 2024 ist die NIS2-Richtlinie in Kraft getreten und wird derzeit in nationales Recht umgesetzt. Die überarbeitete EU-Richtlinie zur Cybersicherheit verpflichtet deutlich mehr Unternehmen zu umfassendem Risikomanagement und Vorfallsmeldungen. Sie erweitert den Geltungsbereich deutlich – sowohl was die Anzahl der betroffenen Unternehmen angeht als auch die internen Strukturen, die betrachtet werden müssen. Künftig reicht es nicht mehr, nur die kritische Infrastruktur zu sichern, auch kommerzielle Einheiten wie Kundenservice oder IT-Support unterliegen nun strengeren Anforderungen. Das steigert das Bewusstsein und zwingt viele Unternehmen erstmals dazu, sich ganzheitlich mit dem Thema Cybersicherheit auseinanderzusetzen.
So positiv diese Entwicklung ist, zeigt sie den Kern des Problems: Der Antrieb für Unternehmen, die eigene Cybersicherheit zu verbessern, ist in vielen Fällen nicht die Überzeugung, sondern die Pflicht. Ziel ist es, Vorgaben zu erfüllen, die eigentliche Sicherheit ist dabei paradoxerweise zweitrangig. Zu oft lautet das Motto: compliant statt sicher.
Compliant ≠ sicher: Ein gefährlicher Irrtum
Cybersicherheit wird als regulatorische Pflicht verstanden – nicht als strategische Notwendigkeit. Unternehmen richten ihre Maßnahmen an Mindestanforderungen aus, statt echte Resilienz aufzubauen. Dabei ist der Unterschied entscheidend: Wer nur eine Checkliste abarbeitet, wird im Ernstfall keine Antwort auf komplexe Bedrohungslagen haben. Regulatorik zu erfüllen bedeutet nicht unbedingt, sicher aufgestellt zu sein.
Cybersicherheit ist ein strategisches Thema mit direkter Relevanz für Resilienz und Geschäftskontinuität. In vielen Unternehmen wächst dieses Bewusstsein, in anderen muss es dringend geschärft werden. Und dann gilt es zu handeln: Ein guter erster Schritt ist eine realistische Reifegradbetrachtung. Sie hilft, bestehende Lücken – sowohl in der Umsetzung regulatorischer Anforderungen als auch im Hinblick auf technische und organisatorische Risiken – systematisch zu identifizieren. Auf dieser Grundlage lassen sich gezielte Maßnahmen ableiten, Ressourcen priorisieren und ein wirksames Cybersicherheitsprogramm entwickeln, das über gesetzliche Mindeststandards hinausgeht.
Cybersicherheit ist ein zentraler Erfolgsfaktor. So wie kein Unternehmen ohne funktionierendes Geschäftsmodell überlebt, wird in Zukunft auch niemand ohne belastbare Sicherheitsarchitektur bestehen können. Die Verantwortung dafür liegt nicht bei der Regulatorik – sondern in der strategischen Führung jedes Unternehmens.
Mehr zum Wavestone Cyber Benchmark 2025
Mit energie.blog auf dem Laufenden bleiben:
