Thought Leadership
Weltweit betreuen lediglich 35.000 CISOs rund 359 Millionen Unternehmen. Ein neuer Report warnt vor einem riesigen strukturellen Ungleichgewicht, das kleine und mittlere Unternehmen schutzlos lässt.
Die globale Cybersicherheit steht vor einem strukturellen Marktversagen, das über den bekannten Mangel an IT-Fachkräften hinausgeht. Laut dem CISO Report 2026, der von Cybersecurity Ventures in Zusammenarbeit mit Sophos veröffentlicht wurde, klafft eine gewaltige Lücke in der strategischen Sicherheitsführung. Weltweit sind lediglich etwa 35.000 Chief Information Security Officers (CISOs) im Einsatz. Diese kleine Gruppe von Experten steht einer gigantischen Zahl von rund 359 Millionen Unternehmen gegenüber. Statistisch gesehen entfällt damit ein einziger CISO auf mehr als 10.000 Organisationen.
Lücke ohne Lösung in der Cybersicherheit
Wahrend Großunternehmen aus den Fortune-500- und Global-2000-Listen nahezu flachendeckend über eigene Sicherheitschefs verfügen, bleibt der Rest der Weltwirtschaft, insbesondere der Mittelstand, ohne diese zentrale Instanz.
Das sind keine guten Aussichten. Das ist ein Marktversagen. Das Cybersicherheits-Ökosystem hat noch nicht herausgefunden, wie diese Lücke geschlossen werden kann. Wir haben jetzt das Potenzial, dies zu tun.
Joe Levy, CEO von Sophos
Wie ohne CISO auf Ransomware und KI-gestützte Angriffe vorbereiten
Ein CISO ist weit mehr als ein technischer Administrator. Als oberste Instanz für Informationssicherheit entwickelt diese Rolle die Risikostrategie, priorisiert Investitionen und bereitet das Unternehmen auf komplexe Bedrohungen wie Ransomware oder KI-gestützte Angriffe vor. Ohne diese strategische Ebene fehlen vielen Unternehmen die Leitplanken, um im Wettrüsten mit Cyberkriminellen zu bestehen.
Die Folgen dieses Defizits sind bereits heute messbar. Kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Visier. Vier von fünf kleinen Betrieben waren im vergangenen Jahr von Sicherheitsvorfallen betroffen. Oft resultierten daraus sechsstellige Schadenssummen, die für kleinere Firmen existenzbedrohend sein können.
Wirtschaftlicher Druck und der Burnout-Faktor
Ein wesentliches Hindernis für die Besetzung von CISO-Positionen ist der Preis. Ein qualifizierter Experte auf dieser Ebene kostet jährlich zwischen 218.000 und 348.000 Euro. Für viele KMU ist eine solche Investition finanziell nicht darstellbar. Doch selbst dort, wo CISOs angestellt sind, zeigt das System Risse. Die Belastung ist so hoch, dass 75 Prozent der Sicherheitsverantwortlichen laut Report über einen Jobwechsel nachdenken. Nahezu alle leisten regelmäßig Überstunden, und die durchschnittliche Verweildauer in einer Position liegt bei nur 18 bis 26 Monaten. Stress und steigende rechtliche Haftungsrisiken treiben die Fluktuation in die Höhe.
Da die menschliche Kapazität nicht unbegrenzt skalierbar ist, rücken neue Modelle in den Fokus. Raja Patel, President of Product & Marketing bei Sophos, betont die Grenzen herkömmlicher Ansätze: „Die Herausforderung bei den derzeitigen vCISO-Angeboten besteht darin, dass die personellen Kapazitäten nicht unbegrenzt skalierbar sind.“
Der Report sieht die Lösung in Managed Service Providern (MSPs) und Managed Security Service Providern (MSSPs). Diese Partner fungieren als Kraftmultiplikatoren. Durch hybride Modelle, die menschliche Expertise mit moderner Technologie wie agentenbasierter KI kombinieren, können strategische Aufgaben wie Governance, Compliance und Risikomanagement industrialisiert werden.
Kosten von 12 Billionen Dollar
Die Dringlichkeit für neue Modelle wird durch die Prognosen unterstrichen. Cybersecurity Ventures schätzt, dass die weltweiten Kosten durch Cyberkriminalität bis 2031 auf jährlich 12,2 Billionen US-Dollar steigen werden. Allein für das Jahr 2026 werden Ransomware-Schaden in Höhe von rund 74 Milliarden Dollar erwartet. In einem Umfeld, in dem alle zwei Sekunden ein neuer Angriff stattfindet, wird der Zugang zu strategischer Sicherheitskompetenz über spezialisierte Partner zum entscheidenden Wettbewerbsvorteil für Unternehmen jeder Größe.
