Thought Leadership
Eine Sophos-Studie zeigt: IT-Teams verbringen 39 % ihrer Zeit mit Compliance. 82 % der Verantwortlichen fürchten, gesetzliche Vorgaben nicht voll zu erfüllen.
Eine aktuelle internationale Untersuchung im Auftrag des Cybersicherheitsanbieters Sophos unter 5.000 IT- und Cybersecurity-Verantwortlichen belegt, dass administrative Anforderungen zunehmend zulasten der operativen Abwehrkapazitäten gehen. Die Studie, die Teilnehmer aus 17 Ländern und verschiedensten Branchen umfasst, zeichnet das Bild einer Branche, die zwischen technischer Absicherung und bürokratischer Dokumentationspflicht gefangen ist.
82 Prozent der IT-Liter besorgt wegen Erfüllung der Compliance-Standards
Die Ergebnisse der Erhebung verdeutlichen, dass Compliance keine Randerscheinung mehr ist, sondern einen zentralen Teil des operativen Geschäfts bildet. Im Median müssen Unternehmen heute gleichzeitig fünf verschiedene Compliance-Standards erfüllen. Diese Anforderungen reichen von globalen Frameworks bis hin zu spezifischen nationalen oder branchenspezifischen Gesetzen.
Trotz des hohen Aufwands herrscht in den Führungsetagen eine ausgeprägte Unsicherheit: 82 % der befragten IT-Leiter gaben an, besorgt zu sein, dass ihr Unternehmen die relevanten Vorgaben nicht vollständig erfüllt. Besonders kritisch ist, dass fast ein Viertel (24 %) der Befragten „große Bedenken“ äußert. Lediglich 18 % der Verantwortlichen sehen sich und ihre Organisation derzeit auf der sicheren Seite. Diese Diskrepanz zwischen Aufwand und Gewissheit deutet darauf hin, dass die reine Masse an Regelwerken die Kontrollfähigkeit untergräbt.
Zeitaufwand von 39 Prozent verdrängt operative Sicherheit
Der personelle Ressourcenverbrauch für regulatorische Aufgaben ist gestiegen. Den Daten zufolge wenden IT- und Cybersecurity-Teams im Durchschnitt 39 % ihrer gesamten Arbeitszeit für Compliance-bezogene Aktivitäten auf. Dazu zählen die Implementierung geforderter Kontrollmechanismen, die interne Abstimmung zwischen Abteilungen sowie die umfangreiche Dokumentation und Berichterstattung gegenüber Aufsichtsbehörden oder Partnern.
Dieser Zeitaufwand steht in direktem Konflikt mit der eigentlichen Sicherheitsarbeit. Wenn fast zwei Fünftel der Kapazität für die Erfüllung von Vorschriften gebunden sind, fehlen diese Ressourcen für die proaktive Bedrohungssuche (Threat Hunting), das Patch-Management oder die Weiterentwicklung der Sicherheitsarchitektur. Experten warnen hierbei vor einem „Compliance-Paradoxon“: Während die Vorschriften die Sicherheit eigentlich erhöhen sollen, binden sie so viele Ressourcen, dass die tatsächliche Reaktionsfähigkeit auf neue Angriffsmuster geschwächt wird.
Dynamik der Anforderungen überfordert 79 Prozent der Firmen
Ein wesentliches Hindernis ist die mangelnde Statik der Regelwerke. 79 % der Organisationen finden es herausfordernd, mit den stetigen Änderungen der Compliance-Anforderungen Schritt zu halten. Für 19 % der Befragten stellt dies sogar eine „sehr große Herausforderung“ dar. Die Dynamik ergibt sich aus der kontinuierlichen Anpassung von Gesetzen an die technologische Entwicklung, beispielsweise im Bereich der Künstlichen Intelligenz oder der Absicherung von Lieferketten.
Zudem führt die Vielzahl der Standards zu ineffizienten Doppelarbeiten. Da viele Frameworks ähnliche Kontrollen in unterschiedlichen Formaten abfragen (z. B. Zugriffssteuerungen oder Incident-Response-Pläne), müssen Teams dieselben Informationen häufig mehrfach aufbereiten und dokumentieren. Eine Harmonisierung dieser Anforderungen auf internationaler oder sektoraler Ebene ist in der Praxis bisher kaum spürbar.
KMU leiden unter fehlenden Skaleneffekten
Die Studie hebt hervor, dass kleine und mittlere Unternehmen (KMU) überproportional von der Regulierungswelle getroffen werden. Während Großkonzerne oft über spezialisierte Compliance-Abteilungen verfügen, müssen KMU die gleichen komplexen Regelwerke (wie NIS2, GDPR oder ISO 27001) mit deutlich geringerem Personal- und Fachwissen bewältigen.
Häufig trifft ein kleiner Betrieb auf die exakt gleiche Anzahl an Frameworks wie ein Großunternehmen, da er Teil einer globalen Lieferkette ist oder in einem hochregulierten Sektor wie der Medizintechnik agiert. Ohne Skaleneffekte bei der Dokumentation führt dies zu einer finanziellen und personellen Belastung, die das eigentliche Sicherheitsbudget dieser Firmen aushöhlt.
Regionale Fragmentierung der Frameworks bleibt bestehen
Die Verteilung der genutzten Standards zeigt eine deutliche Fragmentierung nach Regionen und Branchen. Laut der Umfrage sind die am häufigsten genannten Regelwerke:
- ISO 27001/2: 51,2 %
- GDPR (DSGVO): 40,4 %
- CIS Controls: 29,7 %
- NIST CSF: 23,8 %
- PCI DSS: 23,1 %
- HIPAA: 21,7 %
- DORA: 19,8 %
- NIS2: 16,1 %
Auffällig sind die regionalen Unterschiede: Während sich in Spanien 60 % der Unternehmen an ISO 27001 orientieren, sind es in Mexiko nur 35 %. In den USA nutzen 30 % das NIST-Framework, in Australien hingegen nur 13 %. Für global agierende Unternehmen, auch im DACH-Raum (Deutschland, Österreich, Schweiz), bedeutet dies eine enorme Komplexität, da sie europäische Anforderungen wie NIS2 oder DORA mit internationalen Standards in Einklang bringen müssen. Ein „Einheitsansatz“ ist aufgrund dieser heterogenen Landschaft kaum umsetzbar.
Mangelnde Sichtbarkeit als Sicherheitsrisiko
Ein zentrales Fazit der Sophos-Studie ist der Zusammenhang zwischen Compliance-Unsicherheit und operativer Blindheit. Wer nicht sicher weiß, ob er alle Vorgaben erfüllt, hat in der Regel auch keine vollständige Sicht auf seine technischen Schwachstellen. Die 82 % der besorgten Verantwortlichen deuten darauf hin, dass in vielen IT-Infrastrukturen „blinde Flecken“ existieren.
Ohne volle Transparenz über den Compliance-Status steigen die Risiken für unentdeckte Datenverluste oder erfolgreiche Ransomware-Angriffe. Die Studie kommt zu dem Schluss, dass Compliance sich von einer reinen administrativen Pflichtübung zu einer strategischen Managementaufgabe entwickelt hat. Viele Unternehmen prüfen daher verstärkt die Zusammenarbeit mit externen Spezialisten (Managed Service Provider), um die notwendige Expertise und personelle Entlastung sicherzustellen, die intern nicht mehr abbildbar ist.
