Thought Leadership
Viele Unternehmen wiegen sich in falscher Sicherheit. Laut dem Secure Data Report 2025 des Münchner Softwareunternehmens FTAPI halten 40 Prozent der befragten Betriebe ihre Datensicherheit für sehr hoch, obwohl sie über kein dokumentiertes Informationssicherheitsmanagementsystem verfügen.
Die Studie befragte 200 IT- und Sicherheitsverantwortliche aus Unternehmen unterschiedlicher Größen. Das Ergebnis zeigt deutlich, dass zwar technische Grundlagen vorhanden sind, aber strategische Sicherheitsstrukturen häufig fehlen.
Technische Grundlagen – aber wenig Struktur
In den meisten Unternehmen sind die wichtigsten Schutzmechanismen bereits etabliert. E-Mail-Gateways, Malware-Erkennung, regelmäßige Backups oder verschlüsselte Datenübertragungen gehören vielerorts zum Standard. Auch die Benennung von Informationssicherheitsbeauftragten ist in mehr als der Hälfte der Unternehmen erfolgt.
Trotzdem zeigt sich bei der Prozessreife ein anderes Bild. Nur ein Drittel der Befragten verfügt über gelebte ISMS-Strukturen, während jedes fünfte Unternehmen noch keinerlei Umsetzung plant. Viele Organisationen reagieren erst, wenn ein Sicherheitsvorfall eingetreten ist. Das lässt erkennen, dass Sicherheitsmanagement in der Praxis oft reaktiv statt strategisch betrieben wird.
Klassische Lösungen dominieren den Alltag
Bei den eingesetzten Werkzeugen dominieren weiterhin altbekannte Systeme. Verschlüsselte E-Mails und Cloud-Speicherlösungen sind weit verbreitet. Moderne Ansätze wie spezialisierte File-Sharing-Dienste oder sichere Datenräume kommen hingegen nur bei etwa der Hälfte der Unternehmen zum Einsatz. Rund ein Drittel setzt sogar noch auf physische Datenträger, was Risiken für Sicherheit, Nachvollziehbarkeit und Effizienz mit sich bringt.
Diese Zahlen deuten darauf hin, dass technologische und kulturelle Veränderungen in vielen Betrieben nur langsam voranschreiten. Wer weiterhin auf veraltete Übertragungswege vertraut, riskiert nicht nur Datenverluste, sondern auch Probleme mit neuen regulatorischen Anforderungen wie NIS-2 oder dem Cyber Resilience Act.
Komplexität, Kosten und Akzeptanz als Bremsfaktoren
Die größten Hürden beim Aufbau sicherer Datenaustauschsysteme sind laut der FTAPI-Studie technischer und organisatorischer Natur. Mehr als die Hälfte der Befragten beschreibt die Implementierung neuer Sicherheitslösungen als zu komplex. Besonders mittelgroße und große Unternehmen kämpfen mit aufwendigen Integrationsprozessen, da bestehende IT-Landschaften oft schwer anpassbar sind.
Ebenso hoch ist der Kostendruck. Lizenzen, Infrastruktur und Schulungen verursachen zusätzliche Ausgaben, die gerade für mittelständische Betriebe schwer zu stemmen sind. Fast ebenso häufig werden lange Projektlaufzeiten und fehlende Benutzerfreundlichkeit genannt. Wenn Sicherheitslösungen zu kompliziert sind, sinkt die Akzeptanz bei den Mitarbeitenden – und damit die Wirksamkeit der gesamten Strategie.
Menschen bleiben das schwächste Glied
Neben technischen Aspekten spielt der Faktor Mensch eine zentrale Rolle. Die Mehrheit der Unternehmen setzt auf Schulungen und Richtlinien, um das Sicherheitsbewusstsein zu fördern. Dennoch bleibt der Umgang mit sensiblen Daten in vielen Fällen manuell und fehleranfällig. Nur etwa ein Viertel der Befragten nutzt automatisierte Klassifizierungssysteme, die Daten nach Sensibilität einstufen und entsprechend schützen.
Fehlende Automatisierung führt dazu, dass Sicherheitsverantwortung häufig direkt bei einzelnen Mitarbeitenden liegt. Das erhöht die Wahrscheinlichkeit von Fehlentscheidungen und menschlichen Irrtümern – gerade in komplexen, zeitkritischen Arbeitsumgebungen.
Sicherheit als Teil der Unternehmenskultur
Datensicherheit ist längst keine rein technische Disziplin mehr. Sie muss Teil der Unternehmenskultur werden. Das bedeutet, Prozesse so zu gestalten, dass Schutzmaßnahmen nahtlos in den Arbeitsalltag integriert sind und keine zusätzlichen Hürden darstellen.
FTAPI-Chef Ari Albertini betont in diesem Zusammenhang, dass erfolgreiche Unternehmen einfache, integrierbare und gleichzeitig sichere Lösungen benötigen. Der Aufbau einer solchen Sicherheitskultur erfordert Investitionen, aber auch Bewusstseinswandel: Nur wer Datensicherheit als kontinuierlichen Prozess versteht, kann Risiken wirklich minimieren.
Der Secure Data Report 2025 zeigt deutlich, dass zwischen wahrgenommener und tatsächlicher Sicherheit in vielen Unternehmen noch eine große Lücke besteht. Technische Grundpfeiler sind vorhanden, doch ohne strukturierte Sicherheitsprozesse und klare Verantwortlichkeiten bleibt der Schutz lückenhaft.
Zukunftsfähige Datensicherheit entsteht erst, wenn Technologie, Prozesse und Menschen gleichermaßen berücksichtigt werden. Nur dann kann sie ihren Zweck erfüllen: Vertrauen schaffen – intern wie extern.
