Thought Leadership
Viele Unternehmen investieren derzeit kräftig in ihre Cyber-Resilienz. Doch eine aktuelle Studie von Zscaler zeigt: Zwischen wahrgenommener Sicherheit und tatsächlicher Vorbereitung klafft eine Lücke – auch in Deutschland.
Die von Sapio Research durchgeführte Untersuchung verdeutlicht, dass sich Organisationen zunehmend externen Risiken gegenübersehen, ihre Sicherheitsstrategien jedoch häufig noch auf interne Systeme fokussieren.
Mehr Budget, aber falscher Fokus
Weltweit haben 90 Prozent der befragten Unternehmen ihre Investitionen in Cyber-Resilienz erhöht, in Deutschland sind es 84 Prozent. Dennoch geben 59 Prozent der deutschen Unternehmen an, dass ihre Sicherheitsstrategie zu stark auf interne Infrastrukturen ausgerichtet ist. Risiken aus Lieferketten, durch Drittanbieter oder neue Technologien wie KI und Quantencomputing geraten dabei ins Hintertreffen.
Gleichzeitig rechnen 62 Prozent der IT-Führungskräfte hierzulande damit, dass es innerhalb eines Jahres zu größeren Störungen durch externe Partner kommen könnte. 59 Prozent haben einen solchen Vorfall bereits erlebt. Trotz dieser Erfahrungen halten nur 28 Prozent der deutschen Unternehmen ihre aktuellen Maßnahmen für wirklich wirksam gegen Lieferkettenrisiken.
Alte Infrastruktur bremst moderne Sicherheit
Ein zentrales Problem liegt in gewachsenen IT-Strukturen. Viele Unternehmen setzen weiterhin auf klassische Sicherheitsmodelle mit Firewalls, VPNs und klar definierten Perimetern. 62 Prozent der deutschen Befragten verlassen sich noch auf solche traditionellen Architekturen.
64 Prozent geben an, dass ihre bestehende IT-Architektur ihre Reaktionsfähigkeit bei Sicherheitsvorfällen einschränkt. Damit stehen moderne Bedrohungsszenarien einer Infrastruktur gegenüber, die nicht für dynamische, verteilte Umgebungen konzipiert wurde.
Neue Technologien als doppelte Herausforderung
Neben klassischen Cyberangriffen verschärfen neue Technologien die Lage. Mehr als die Hälfte der IT-Entscheider in Deutschland sieht ihre bestehenden Sicherheitssysteme als unzureichend vorbereitet auf komplexe Bedrohungen.
Besonders kritisch wird der Umgang mit KI bewertet. 53 Prozent der Unternehmen, die agentenbasierte KI testen oder einsetzen, verfügen nicht über ausgereifte Governance-Modelle. Gleichzeitig fehlt 59 Prozent der Unternehmen der Überblick über sogenannte Schatten-KI – also nicht offiziell genehmigte KI-Anwendungen im Unternehmen.
Auch das Thema Post-Quanten-Kryptografie spielt eine Rolle: 60 Prozent haben entsprechende Schutzmechanismen bislang nicht in ihre Strategien integriert, obwohl die Mehrheit davon ausgeht, dass heute abgegriffene Daten in wenigen Jahren entschlüsselt werden könnten.
Digitale Souveränität gewinnt an Bedeutung
Die Studie zeigt zudem, dass geopolitische Spannungen und regulatorische Anforderungen wie NIS2, DORA oder DSGVO den Druck erhöhen. 77 Prozent der deutschen Unternehmen prüfen ihre Abhängigkeit von ausländischen Technologieanbietern, 67 Prozent haben ihre Resilienzstrategie im vergangenen Jahr aufgrund neuer Souveränitätsanforderungen angepasst.
Unternehmen stehen damit vor der Aufgabe, Sicherheit nicht nur technisch, sondern auch strategisch neu zu denken, mit stärkerem Fokus auf Datenhoheit und lokalisierte Infrastrukturen.
Resilienz neu denken
Zscaler plädiert für einen „Resilient by Design“-Ansatz. Dahinter steht die Idee, Sicherheit nicht als nachgelagerte Schutzschicht zu verstehen, sondern als integralen Bestandteil der Architektur.
Dazu gehören transparente Plattformmodelle, die Daten-, KI- und Drittanbieterrisiken zentral sichtbar machen. Ebenso spielt ein Zero-Trust-Ansatz eine Rolle, bei dem Zugriffsrechte strikt nach dem Prinzip der minimalen Berechtigung vergeben werden. Moderne Plattformen sollen es ermöglichen, neue Sicherheitsfunktionen flexibel zu aktivieren, ohne komplexe Zusatzlösungen implementieren zu müssen.
Also: Investitionen allein reichen nicht aus. Unternehmen müssen ihre Sicherheitsarchitektur an eine Welt anpassen, in der Risiken längst nicht mehr an der eigenen Firewall enden. Externe Abhängigkeiten, KI-basierte Technologien und geopolitische Unsicherheiten erfordern ein Umdenken: weg vom rein internen Schutz, hin zu einer ganzheitlichen, vernetzten Resilienzstrategie.
