Zwischen Bedrohung und Verantwortungslosigkeit

Chaos bei der Verantwortung für Cybersicherheit

Sicherheitslücke, Schwachstelle, Sicherheitsvorfälle, Cybersicherhei
LinkedInRedditWhatsAppPocket

Die IT-Sicherheitslage in Deutschland verschärft sich zunehmend – doch in vielen Unternehmen herrscht Unklarheit darüber, wer eigentlich für die Abwehr zuständig ist.

Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht 2024 die Situation der IT-Sicherheit als “besorgniserregend” bezeichnet, zeigt eine aktuelle Erhebung von Horizon3.ai, dass viele Firmen intern kaum auf die Bedrohungslage reagieren. Im Zentrum des Problems: unklare Zuständigkeiten, veraltete Sicherheitsstrategien und fehlende Prävention.

Anzeige

Zuständigkeit für IT-Sicherheit bleibt diffus

Laut dem „Cyber Security Report DACH 2025“, basierend auf einer Umfrage unter 300 Führungskräften überwiegend mittelständischer Unternehmen, ist die Frage der Verantwortung für die IT-Sicherheit in vielen Firmen nicht eindeutig geregelt:

  • Nur 13 % der befragten Unternehmen verfügen über einen dedizierten Chief Information Security Officer (CISO).
  • Stattdessen liegt die Verantwortung oft bei Positionen wie dem IT-Teamleiter (22 %), dem CTO (16 %) oder dem CIO (14 %).
  • In 25 % der Fälle übernehmen sogar IT-Manager oder Administratoren die Aufgabe, also Funktionen ohne strategische Führungsrolle.
  • In weiteren 21 % der Unternehmen trägt kurioserweise der IT-Einkaufsleiter die Hauptverantwortung für Cybersicherheit.

Diese Zersplitterung behindert eine gezielte und effektive Sicherheitsstrategie – trotz wachsender Bedrohung.

Ein gefährlicher Widerspruch: Hohe Bedrohung, geringe Reaktion

Der Widerspruch zwischen der realen Gefahr und der mangelhaften Abwehrbereitschaft wird deutlich, wenn man sich aktuelle Cyberangriffe und Schadsoftware-Zahlen anschaut. Täglich tauchen laut BSI über 300.000 neue Schadprogramme auf – viele davon automatisiert und speziell auf den Mittelstand ausgerichtet. Ziel ist oft die Verschlüsselung sensibler Daten, die erst nach Lösegeldzahlungen wieder freigegeben werden. Dieses Modell entwickelt sich zu einem lukrativen Geschäft für professionelle Cyberkriminelle.

Anzeige

Trotzdem geben rund 30 % der befragten Unternehmen an, in den letzten zwei Jahren keine Angriffe festgestellt zu haben – ein Befund, den Horizon3.ai-Technikdirektor Dennis Weyel kritisch einordnet. Es sei eher Ausdruck mangelnder Überwachung als tatsächlicher Sicherheit.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Resilienz statt Reaktion: Die Rolle des aktiven Sicherheitsmanagements

In vielen Unternehmen dominiert eine passive Sicherheitsstrategie: Firewalls, Antivirenprogramme und andere Abwehrmaßnahmen, die potenzielle Angriffe lediglich blockieren sollen. Doch diese Methoden allein reichen nicht mehr aus.

Penetrationstests (Pentests) – gezielte, simulierte Angriffe auf die eigene IT – gelten als effektive Methode, um Sicherheitslücken frühzeitig zu erkennen. Besonders automatisierte Pentests ermöglichen regelmäßige und kostengünstige Überprüfungen.

Die Plattform NodeZero von Horizon3.ai hat laut eigenen Angaben über 50.000 Testangriffe ausgewertet. Das Ergebnis: In 71 % der Fälle konnten Zugangsdaten mit einfachen Mitteln erlangt werden. Häufig nutzten die simulierten Angriffe Schwachstellen, die längst bekannt – aber nie geschlossen worden waren.

Automatisierte Tests als Schlüssel zur Sicherheit

Trotz dieser Erkenntnisse setzen bisher nur 13 % der Unternehmen auf automatisierte Pentests. Der Großteil (38 %) verlässt sich auf manuelle Prüfungen, oft durch externe Dienstleister. Doch diese sind teuer und werden deshalb selten genug durchgeführt, um mit der Dynamik von täglich neu entdeckten Schwachstellen Schritt zu halten.

Laut Dennis Weyel ist die Regelmäßigkeit entscheidend: Je häufiger die Systeme überprüft werden, desto höher ist das tatsächliche Sicherheitsniveau. Die Kombination aus Automatisierung und Routine wird damit zur zentralen Säule einer modernen Sicherheitsarchitektur.

Verantwortung braucht Struktur – und Initiative

Die Zahlen sprechen eine klare Sprache: Die Bedrohung durch Cyberkriminalität wächst, während viele Unternehmen noch mit internen Strukturen und Zuständigkeiten kämpfen. Besonders mittelständische Betriebe laufen Gefahr, Opfer professioneller Angriffe zu werden – oft ohne es zu merken.

Ein Umdenken ist nötig: Klare Verantwortlichkeiten, regelmäßige Sicherheitsüberprüfungen und der Mut zu offensiven Sicherheitsstrategien wie automatisierten Pentests könnten den Unterschied machen – zwischen reaktiver Schadensbegrenzung und nachhaltiger Prävention.

(pd/Horizon3.ai)


Anzeige

Artikel zu diesem Thema

“Polyworking” erhöht Cybersicherheitsrisiken massiv

Weitere Artikel

Cloudflare vs. Perplexity AI: Problem, Fehlverhalten und Lösungen
Was ist eine Sicherheitsverletzung?
Unternehmen setzen auf Multi-Vendor-Security – trotz Mehraufwand
NIS2 verändert die Spielregeln – ein Kabinettsbeschluss unter Druck
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.