Cybersicherheitslandschaft in Großbritannien: Strategische Prioritäten für 2025

Während das Vereinigte Königreich seine digitale Transformation und seine Abhängigkeit von vernetzten Technologien vertieft, Cybersicherheit hat sich zu einer kritischen Priorität entwickelt sowohl für den öffentlichen als auch für den privaten Sektor. Im Jahr 2024 zielten aufsehenerregende Cybervorfälle auf alles ab, von der Gesundheits- und Energieinfrastruktur bis hin zu Finanzdienstleistungen, was die zunehmende Raffinesse und Häufigkeit von Cyberangriffen verdeutlicht.

Melissa Parsons

An article from

Melissa Parsons
Technischer Redakteurin
Published
April 17, 2025
Updated
Reading time
minutes
Cyberlandschaft in Großbritannien

Als Reaktion darauf hat die britische Regierung neue Gesetze zur Verbesserung der nationalen Cyberresistenz erörtert. Zu diesen Initiativen gehören die Ausweitung der behördlichen Aufsicht, die Einführung verbindlicher Anforderungen zur Meldung von Vorfällen und die Möglichkeit, agiler auf neue Bedrohungen zu reagieren. Gleichzeitig müssen Unternehmen aus allen Sektoren ihre Cybersicherheitsrichtlinien überdenken, um mit einem zunehmend komplexen Bedrohungsumfeld Schritt zu halten.

 

Das National Cyber Security Center (NCSC) hilft Unternehmen beim Aufbau robusterer Cyberabwehr. Die Cyber Essentials-Zertifizierung entwickelt sich zu einem grundlegenden Standard, insbesondere da die Regierung neue Maßnahmen zum Schutz kritischer Infrastrukturen erwägt und die sektorübergreifende Ausrichtung auf bewährte Verfahren sicherstellt.

Große Cyberangriffe in Großbritannien (2024)

Southern Water Black Basta Ransomware-Angriff — Januar 2024

Im Januar 2024 erlitt Southern Water, ein britischer Energieversorger mit 2,5 Millionen Kunden, einen Ransomware-Angriff, der der Black Basta-Gruppe zugeschrieben wurde. Die Angreifer exfiltrierten sensible Kunden- und Mitarbeiterdaten, bevor sie sie online durchsickerten. Southern Water gab in ihrem Finanzbericht bekannt, dass Der Vorfall verursachte Kosten in Höhe von rund 4,5 Millionen Pfund, einschließlich externer Cybersicherheitsexperten, Rechtsberater und Kontaktaufnahme mit allen betroffenen Opfern. Der Angriff unterstreicht die erhebliche finanzielle und betriebliche Belastung, die Ransomware insbesondere für Anbieter kritischer Infrastrukturen mit sich bringen kann.

 

Verstoß gegen die Gehaltsabrechnung des britischen Verteidigungsministeriums — Mai 2024

Im Mai 2024 gab das britische Verteidigungsministerium eine erhebliche Datenschutzverletzung bekannt, von der rund 270.000 aktuelle und ehemalige Mitarbeiter der Streitkräfte betroffen waren. Der Verstoß ging auf ein Gehaltsabrechnungssystem eines Drittanbieters zurück, das von SSCL, einem Zweig des französischen Technologieunternehmens Sopra Steria, verwaltet wird und vom Kernnetz des Verteidigungsministeriums getrennt ist. Zu den kompromittierten Informationen gehörten Namen, Bankdaten und in einigen Fällen auch Adressen. Die britische Regierung gab den Angriff zwar nicht offiziell bekannt, Quellen wiesen jedoch auf eine mögliche Beteiligung chinesischer staatsnaher Akteure hin. Der Vorfall veranlasste sofortige Maßnahmen zur Sicherung der betroffenen Systeme und gab Anlass zu Bedenken hinsichtlich der Cybersicherheit externer Dienstleister, die sensible militärische Daten verarbeiten. Und Regierungsbeamte befürchteten, dass SSCL nur langsam auf den Hack reagierte.

 

NHS-Ransomware-Angriff auf Synnovis — Juni 2024

Anfang Juni 2024, russische Cyberkriminelle Gruppe Qilin hat einen Ransomware-Angriff auf Synnovis gestartet, ein Anbieter von Diagnose-, Test- und digitalen Pathologiedienstleistungen für den NHS und mehrere große Londoner Krankenhäuser. Der Angriff störte die IT-Systeme, was zur Verschiebung von mehr als 10.000 ambulanten Terminen und 1.700 elektiven Eingriffen, einschließlich kritischer Verfahren wie Krebsbehandlungen und Organtransplantationen, führte. Die IT-Systeme des Bluttransfusionslabors waren stark beeinträchtigt, was zu einem Mangel an Blutkonserven vom Typ O führte.

 

Mindestens zwei Patienten erlitten als Folge des Cyberangriffs langfristige oder dauerhafte Gesundheitsschäden sowie mindestens 11 Fälle von moderatem Schaden und 120 Fälle von geringem Schaden. In ihrem Finanzbericht veröffentlicht am 7. Januar 2025, Synnovis schätzte die finanziellen Auswirkungen des Angriffs auf 32,7 Millionen Pfund.

Transport für den Cyberangriff in London — September 2024

Am 1. September 2024 entdeckte Transport for London (TfL) verdächtige Aktivitäten in seinem Netzwerk, was zur sofortigen Abschaltung mehrerer Systeme führte, um potenzielle Ransomware-Bedrohungen abzuwehren. Die Transportdienste, wie Busse und die U-Bahn, blieben zwar in Betrieb, doch der Cyberangriff störte die Plattformen mit Kundenkontakt erheblich. Kunden konnten nicht auf ihre Konten für Zahlungsdienste zugreifen, bei Anwendungen von Drittanbietern kam es zu Ausfällen, und der Dial-a-Ride-Service für behinderte Passagiere wurde vorübergehend eingestellt.

Finanziell hat der Angriff TfL bis heute über 30 Millionen Pfund gekostet. Die Organisation gab an, 5 Millionen Pfund für die Reaktion auf Vorfälle und Verbesserungen der Cybersicherheit ausgegeben zu haben. Darüber hinaus wurde der prognostizierte Betriebsüberschuss für das Geschäftsjahr von 61 Millionen Pfund auf 23 Millionen Pfund reduziert, was hauptsächlich auf die Auswirkungen des Vorfalls zurückzuführen ist.

Seit Anfang 2025 hat TfL die am stärksten betroffenen Dienste wiederhergestellt, darunter Online-Reisehistorien und Oyster-Fotokartenanwendungen. Kunden könnten jedoch immer noch mit potenziellen Verzögerungen bei der Beantragung von Rückerstattungen und Datenaktualisierungen rechnen, da TfL die Wiederherstellungsbemühungen fortsetzt.

 

Der britische Regulierungsrahmen für Cybersicherheit

Der nationale Fokus auf Cybersicherheitsvorschriften im Vereinigten Königreich hat sich in den letzten Jahren weiterentwickelt. Dies spiegelt die jüngsten Cybersicherheitsvorfälle wider, die dazu geführt haben, dass kritische Sektoren negativ betroffen waren, was die wachsende Bedrohungslandschaft darstellt.

Derzeitiges regulatorisches Umfeld

Britische Vorschriften für Netzwerk- und Informationssysteme (NIS)

Die NIS-Vorschriften, die 2018 eingeführt und 2022 aktualisiert wurden, legen Cybersicherheitsanforderungen für Betreiber wesentlicher Dienste (OES) und relevante Anbieter digitaler Dienste (RDSPs) fest. Diese Vorschriften:

  • Von Unternehmen verlangen, angemessene Sicherheitsmaßnahmen zur Bewältigung von Risiken zu ergreifen
  • Verfahren zur Meldung von Vorfällen für wichtige Cybersicherheitsereignisse vorschreiben
  • Richten Sie für jeden Sektor zuständige Behörden ein, die die Einhaltung der Vorschriften überwachen
  • Verhängen Sie erhebliche Strafen für Verstöße, bis zu 17 Millionen Pfund für die schwerwiegendsten Verstöße

Mit den Änderungen von 2022 wurde der Anwendungsbereich um Anbieter verwalteter Dienste erweitert und die Berichtspflichten gestrafft, was den Erfahrungen Rechnung trägt, die aus den Zwischenfällen der vergangenen Jahre gezogen wurden.

Allgemeine Datenschutzverordnung des Vereinigten Königreichs (britische DSGVO)

Nach dem Brexit hat das Vereinigte Königreich die EU-DSGVO in nationales Recht aufgenommen und zusammen mit dem Datenschutzgesetz 2018 die britische DSGVO geschaffen.

Einige der wichtigsten Aspekte dieser beiden Rechtsakte:

  • Anforderungen an Organisationen zur Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zum Schutz personenbezogener Daten
  • Meldepflicht für Verstöße innerhalb von 72 Stunden bei Vorfällen, die personenbezogene Daten betreffen
  • Mögliche Bußgelder von bis zu 17,5 Millionen GBP oder 4% des weltweiten Jahresumsatzes
  • Explizite Anforderungen an Datenverarbeiter zur Gewährleistung angemessener Sicherheitsmaßnahmen

Das Information Commissioner's Office (ICO) dient als Durchsetzungsbehörde für diese Gesetzgebung. Zu den Hauptaufgaben des ICO gehören:

  • Überwachung und Durchsetzung der Einhaltung der Datenschutzgesetze
  • Untersuchung von Datenschutzverletzungen und Beschwerden aus der Öffentlichkeit
  • Erlass von Geldbußen und Vollstreckungsbescheiden, falls erforderlich
  • Bereitstellung von Leitlinien für Organisationen zu bewährten Verfahren für Datenschutz und Privatsphäre

Beispielsweise würde das ICO bei dem TfL-Cyberangriff, bei dem personenbezogene Daten kompromittiert wurden, untersuchen, ob die Datenschutzverpflichtungen verletzt wurden, und über etwaige Durchsetzungsmaßnahmen oder Strafen entscheiden.

Übernehmen Sie die Kontrolle über Ihre GenAI-Risiken

Unsere Risikomanagement-Experten nutzen modernste Standards und Frameworks, um Unternehmen bei der Erfassung, Bewertung und Verwaltung von GenAI-Risiken zu unterstützen. Vereinbaren Sie einen Anruf mit unserem Team, um loszulegen.

Neue regulatorische Entwicklungen

Das Gesetz über Cybersicherheit und Resilienz

Das Gesetzesvorschlag der Regierung zu Cybersicherheit und Resilienz, das voraussichtlich 2025 in Kraft treten wird, ist eine umfassende Überarbeitung der britischen Regulierungslandschaft für Cybersicherheit seit 2022.

Zu den wichtigsten Bestimmungen gehören:

  • Verbesserte Anforderungen an Anbieter kritischer Infrastrukturen, einschließlich regelmäßiger Sicherheitsaudits und Penetrationstests
  • Obligatorische Sicherheitsprinzipien durch Design für vernetzte Geräte und Systeme
  • Erweiterte Meldepflichten bei Vorfällen mit kürzeren Meldefristen
  • Branchenübergreifende Mindestsicherheitsbasislinien zur Gewährleistung einheitlicher Schutzstandards
  • Neue Befugnisse für Aufsichtsbehörden zur Durchführung proaktiver Bewertungen statt reaktiver Untersuchungen

Der Gesetzentwurf zielt darauf ab, der Fragmentierung der aktuellen Regulierungslandschaft entgegenzuwirken, indem branchenübergreifend einheitlichere Anforderungen eingeführt und gleichzeitig branchenspezifische Überlegungen berücksichtigt werden.

Compliance-Trends und Herausforderungen

Das Umfrage zu Cybersicherheitsverletzungen 2024 stellt fest, dass „ein beträchtlicher Teil der Organisationen, einschließlich größerer Organisationen, sich staatlicher Leitlinien wie der 10 Schritte zur Cybersicherheit, und die von der Regierung befürwortete Standard Cyber Essentials.“

Diese Sensibilisierungslücke verdeutlicht eine zentrale Herausforderung für die Regulierungsbehörden: Sie müssen sicherstellen, dass bestehende Anforderungen wirksam kommuniziert und umgesetzt werden, bevor neue Verpflichtungen eingeführt werden. Die Regierung hat darauf reagiert, indem das National Cyber Security Center ihre Öffentlichkeitsarbeit ausgeweitet hat. Dazu gehören auch branchenspezifische Anleitungen und besser zugängliche Ressourcen für kleinere Organisationen.

Da sich die regulatorische Landschaft ständig weiterentwickelt, stehen britische Unternehmen vor der doppelten Herausforderung, die aktuellen Compliance-Anforderungen zu erfüllen und sich gleichzeitig auf die bevorstehenden strengeren Verpflichtungen vorzubereiten.

Strategische Prioritäten für britische Organisationen

Angesichts immer raffinierterer Cyberbedrohungen und einer komplexen regulatorischen Landschaft müssen britische Unternehmen eine umfassende Cybersicherheits-Governance einführen, die mehr ist als eine Compliance-Maßnahme. Die folgenden strategischen Prioritäten stellen wichtige Schwerpunktbereiche für Unternehmen dar, die ihre Cyber-Resilienz im Jahr 2025 verbessern wollen.

Perspektiven der Cybersicherheits-Governance

Effektive Cybersicherheit beginnt mit soliden Verwaltungsstrukturen, die eine klare Rechenschaftspflicht und Aufsicht vorsehen:

Engagement auf Vorstandsebene

Cybersicherheit ist zu einem Problem auf Vorstandsebene geworden, und Direktoren werden zunehmend für Sicherheitslücken zur Rechenschaft gezogen. Unternehmen sollten sicherstellen, dass der Vorstand regelmäßig über Cyberrisiken informiert wird, einschließlich quantitativer Kennzahlen, anhand derer technische Sicherheitslücken in geschäftliche Auswirkungen umgewandelt werden.

Erweiterung der CISO-Rollen

Die Position des Chief Information Security Officers entwickelt sich ständig weiter. Erfolgreiche Unternehmen erweitern diese Rolle, um direkt an den CEO oder Vorstand und nicht an die IT-Leitung zu berichten. Dieser Strukturwandel spiegelt die strategische Bedeutung der Cybersicherheit für Unternehmen wider, die über den technischen Betrieb hinausgeht.

Definition der Risikobereitschaft

Unternehmen sollten ihre Risikobereitschaft im Bereich Cybersicherheit formell in finanzieller Hinsicht definieren und akzeptable Risikoniveaus für verschiedene Geschäftsfunktionen und Datenklassifizierungen dokumentieren.

Risikomanagement durch Dritte

Wie die Sicherheitslücken von Southern Water und dem Verteidigungsministerium gezeigt haben, stellen Schwachstellen in der Lieferkette erhebliche Risiken dar. Unternehmen sollten umfassende Verfahren zur Bewertung der Lieferantensicherheit, eine kontinuierliche Überwachung und vertragliche Sicherheitsanforderungen implementieren.

Aufbau organisatorischer Resilienz

Aufgrund der Häufigkeit und der Auswirkungen erfolgreicher Cyberangriffe sind Resilienzfähigkeiten ebenso wichtig wie präventive Maßnahmen:

  • Planung der Geschäftskontinuität
  • Fähigkeiten zur Reaktion auf Vorfälle
  • Ransomware-spezifische Vorbereitungen
  • Cyber-Versicherung

Umsetzung der Empfehlungen des NCSC

10 Schritte zur Cybersicherheit

Das 10-stufige Framework des NCSC bietet einen strukturierten Ansatz zur Sicherheitsverbesserung. Die 10 Schritte konzentrieren sich auf das Verständnis organisatorischer Risiken, die Umsetzung geeigneter Maßnahmen und die Vorbereitung auf Vorfälle:

  • Risikomanagement
  • Engagement und Schulung
  • Verwaltung von Vermögenswerten
  • Architektur und Konfiguration
  • Verwaltung von Sicherheitslücken
  • Verwaltung identifizieren und aufrufen
  • Sicherheit der Daten
  • Protokollierung und Überwachung
  • Verwaltung von Vorfällen
  • Sicherheit der Lieferkette

Grundlagen des Cyber-Internets

Cyber Essentials ist ein von der britischen Regierung unterstütztes Zertifizierungssystem, das grundlegende Sicherheitsmaßnahmen bietet, mit denen Unternehmen und die Daten ihrer Kunden vor Cyberangriffen geschützt sind. Es gibt zwei Zertifizierungsstufen: Cyber Essentials und Cyber Essentials Plus. Das Cyber Essentials Plus-Programm kombiniert eine Selbstbewertung und ein unabhängiges Audit sowie strengere Tests.

Die Cyber Essentials-Zertifizierung wird zunehmend zu einer Voraussetzung für Regierungsaufträge und gilt als grundlegender Ausgangspunkt für Cybersicherheitsprogramme. Laut der Dokumentation von Cyber Essentials ist die Wahrscheinlichkeit, dass Unternehmen mit dieser Zertifizierung einen Anspruch auf ihre Cyberversicherung geltend machen, um 92% geringer.

Quantitatives Risikomanagement

Führende Unternehmen gehen über Compliance-orientierte Ansätze hinaus und wenden zunehmend ausgefeiltere quantitative Risikomanagementmethoden an. Das NCSC hat Leitlinien dazu herausgegeben, warum die Einführung eines quantitativen, datengesteuerten Ansatzes für das Risikomanagement die Widerstandsfähigkeit und Sicherheit verbessert.

Gründe für die Einführung der Quantifizierung von Cybersicherheitsrisiken gemäß NCSC:

  • Verbesserte Kommunikation in Bezug auf Themen, die den Stakeholdern wichtig sind
  • Ermöglicht Kosten-Nutzen-Analysen und Risikovergleich/Priorisierung
  • Höhere Transparenz

Durch die Übernahme dieser strategischen Prioritäten können britische Unternehmen über die Einhaltung von Checkboxen hinausgehen und eine echte Cyber-Resilienz entwickeln, d. h. die Fähigkeit, Cybervorfällen standzuhalten, darauf zu reagieren und sich von ihnen zu erholen und gleichzeitig wichtige Funktionen aufrechtzuerhalten und sensible Informationen zu schützen.

Mehr als nur Compliance, sondern Resilienz

 

Wie die großen Zwischenfälle von Southern Water, dem Verteidigungsministerium, dem NHS und Transport for London gezeigt haben, verursachen Cyberangriffe beispiellose Betriebsstörungen, finanzielle Verluste und in einigen Fällen auch Schäden für Einzelpersonen.

 

Allein die finanziellen Auswirkungen sind überwältigend: 32,7 Millionen Pfund für Synnovis, über 30 Millionen Pfund für Transport for London und 4,5 Millionen Pfund für Southern Water. Diese Zahlen unterstreichen, dass Cybersicherheit nicht mehr nur ein IT-Problem ist, sondern ein grundlegendes Geschäftsrisiko, das Aufmerksamkeit auf Vorstandsebene und strategische Investitionen erfordert.

Cybersicherheit muss sich von einer Compliance-Maßnahme zu einer strategischen Geschäftsfunktion entwickeln, die es Unternehmen ermöglicht, digitale Risiken in geschäftlicher Hinsicht zu verstehen, zu kommunizieren und zu managen. Durch die Einführung datengestützter Ansätze zur Risikoquantifizierung können britische Unternehmen die Widerstandsfähigkeit aufbauen, die für ihren Erfolg erforderlich ist.

C-Risk kann Ihrem Unternehmen mit unserer Expertise in den Bereichen datengesteuertes Risikomanagement und CRQ dabei helfen, dieses herausfordernde Umfeld erfolgreich zu meistern. Wenn Sie Ihre Cybersicherheits- oder Risikomanagementstrategie besprechen möchten, vereinbaren Sie ein Meeting hier.

Strategische Prioritäten für Cybersicherheit im Vereinigten Königreich 2025

Was ist das britische Cyber Essentials-Zertifizierungsprogramm?

Cyber Essentials ist eine Cybersicherheitszertifizierung für Unternehmen aller Größen. Diese jährlich verlängerbare Zertifizierung zeigt, dass Sie fünf grundlegende technische Kontrollen zum Schutz vor gängigen internetbasierten Bedrohungen implementiert haben. Britische Unternehmen mit einem Umsatz von weniger als 20 Millionen Pfund erhalten bei der Zertifizierung ihres gesamten Unternehmens eine automatische Cyber-Haftpflichtversicherung. Die Einstiegszertifizierung beinhaltet eine Selbsteinschätzung, die von einem qualifizierten Gutachter überprüft wird.

Was ist die Bedeutung der britischen Netzwerk- und Informationssystemvorschriften 2018?

Die NIS-Vorschriften 2018 sind die wichtigsten sektorübergreifenden Cybersicherheitsgesetze des Vereinigten Königreichs zum Schutz kritischer nationaler Infrastrukturen. Sie legen verbindliche Sicherheitsanforderungen für Betreiber grundlegender Dienste in fünf Sektoren fest: Verkehr, Energie, Trinkwasser, Gesundheit und digitale Infrastruktur sowie für bestimmte Anbieter digitaler Dienste. Diese Vorschriften werden von zwölf Aufsichtsbehörden durchgesetzt und sind für die Aufrechterhaltung der Cybersicherheit und der physischen Widerstandsfähigkeit der lebenswichtigen Dienste im Vereinigten Königreich von entscheidender Bedeutung. Sie müssen jedoch regelmäßig aktualisiert werden, um den sich entwickelnden Bedrohungen zu begegnen.

Wie wird das vom Vereinigten Königreich vorgeschlagene Gesetz über Cybersicherheit und Widerstandsfähigkeit die nationale Cybersicherheit und Widerstandsfähigkeit verbessern?

Das vom Vereinigten Königreich vorgeschlagene Gesetz über Cybersicherheit und Widerstandsfähigkeit wird die nationale Cybersicherheit stärken, indem der Geltungsbereich der bestehenden Vorschriften auf mehr Sektoren ausgedehnt wird, darunter kritische Lieferketten und digitale Dienste. Es gibt den Aufsichtsbehörden mehr Befugnisse, um Standards durchzusetzen, Bedrohungen zu untersuchen und die Meldung von Vorfällen vorzuschreiben, insbesondere bei größeren Cyberangriffen wie Ransomware. Der Gesetzentwurf konzentriert sich auch auf die Verbesserung der Widerstandsfähigkeit, indem strengere Risikomanagement- und Lieferkettensicherheitspraktiken vorgeschrieben werden. Insgesamt zielt es darauf ab, das Vereinigte Königreich besser auf sich entwickelnde Cyberbedrohungen vorzubereiten.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.