CISO-Know-how: Ein exklusives Gut?

Schätzungsweise haben nur 0,009 Prozent der Millionen Unternehmen weltweit einen Chief Information Security Officer (CISO) – meist große Unternehmen und Konzerne. Doch den Bedarf, Cybersecurity strategisch zu betreiben, haben alle Unternehmen.

Besonders der Mittelstand und kleinere Unternehmen stehen vor der Herausforderung, die Aufgaben zentraler Rollen wie die des CISO zu erfüllen. Managed Security Services können hier entscheidende Entlastung bringen und einen für Unternehmen jeder Größe realisierbaren, virtueller CISO an Bord holen.

Die Rolle des CISO bzw. Cybersicherheitsverantwortlichen hat sich in den vergangenen Jahren von einer optionalen Position vielfach zu einer regulatorisch geforderten Schlüsselfunktion entwickelt.

Sowohl die NIS2-Richtlinie der EU als auch der Digital Operational Resilience Act (DORA) sowie der IT-Grundschutz des BSI und die DSGVO fordern eine klare Zuordnung von Verantwortlichkeiten in der Cybersicherheit. Unternehmen müssen nachweisen können, dass Sicherheitsstrategien von einer qualifizierten Instanz definiert, umgesetzt und überwacht werden. Der Sicherheitsverantwortliche fungiert dabei als zentrale Steuerungsstelle für alle Sicherheitsaktivitäten: Er entwickelt Sicherheitsstrategien, priorisiert Risiken, koordiniert die operative Umsetzung und berichtet an die Geschäftsführung.

Gleichzeitig kämpfen Unternehmen mit einem strukturellen Problem: Es fehlt an Fachpersonal und damit auch an CISOs. Der Branchenverband Bitkom rechnet mit einem IT-Fachkräftemangel von über 650.000 Expertinnen und Experten bis 2040. Im Mittelstand ist die Lage besonders angespannt. Viele Unternehmen verfügen weder über das Budget noch über die Attraktivität großer Konzerne, um erfahrene Sicherheitsexperten zu gewinnen und langfristig zu halten. Hinzu kommt, dass Marktforscher prognostizieren, dass rund die Hälfte der CISOs bis 2025 ihre aktuelle Position verlassen wird. Sobald ein erfahrener Sicherheitsexperte ein mittelständisches Unternehmen verlässt, ist Ersatz meist schwer zu finden – die Rekrutierungsprozesse dauern oft viele Monate und verschlingen erhebliche Ressourcen.

Fehlende Expertise erhöht das Risiko

Die Folgen dieses Fachkräftemangels sind bereits deutlich messbar. Der „Sophos State of Ransomware Report 2025“ zeigt, dass Unternehmen mit weniger als 500 Mitarbeitenden fehlendes Fachpersonal im Bereich Cybersecurity als zweitgrößtes Sicherheitsrisiko bewerten. In Deutschland führen 44 Prozent der befragten Organisationen erfolgreiche Cyberangriffe – insbesondere Ransomware-Attacken – direkt auf fehlende Kenntnisse und Fähigkeiten zurück, um Bedrohungen rechtzeitig zu erkennen und zu stoppen.

Fehlt eine zentrale strategische Instanz wie der CISO, fehlt häufig auch die langfristige Sicherheitsplanung. Sicherheitsmaßnahmen werden dann eher reaktiv umgesetzt – etwa nach einem Vorfall – anstatt proaktiv auf Basis einer klaren Risikoanalyse.

Bewusst Risiken eingehen

Wie groß der Handlungsdruck tatsächlich ist, zeigen auch die Ergebnisse der Sophos-Managementstudie. Demnach gaben über zehn Prozent der befragten mittelständischen Unternehmen an, bewusst Cybersicherheitsrisiken eingegangen zu sein – eine Situation, die ein erfahrener CISO in der Regel unterbinden würde. Zudem sind sich die Verantwortlichen über ihre schwächere Position am Arbeitsmarkt durchaus im Klaren: Rund 50 Prozent der Manager von Unternehmen mit einer Mitarbeiteranzahl von 50 bis 199 Mitarbeitern sehen größere Organisationen als attraktivere Arbeitgeber für IT-Security-Fachkräfte.

Diese Einschätzung ist angesichts der dynamischen Bedrohungslage besonders problematisch. Angreifer entwickeln ihre Methoden kontinuierlich weiter, nutzen Automatisierung, KI und gezielte Social-Engineering-Techniken. Unternehmen, die Sicherheitslücken aus Ressourcengründen bewusst in Kauf nehmen, setzen ihre Geschäftsfähigkeit zunehmend aufs Spiel.

Managed Security Services als pragmatischer Ausweg

Vor diesem Hintergrund gewinnen Managed Security Services zunehmend an Bedeutung. Sie bieten Unternehmen die Möglichkeit, lückenhafte Fachkenntnisse und Kapazitäten durch externe Expertise zu kompensieren. Besonders im Fokus steht Managed Detection and Response (MDR). MDR kombiniert Endpoint Detection and Response (EDR) sowie Extended Detection and Response (XDR) mit einem spezialisierten, rund um die Uhr aktiven Sicherheitsteam. Diese Expertinnen und Experten erkennen und analysieren Angriffe in Echtzeit und können auch komplexe, manuell gesteuerte Attacken stoppen. Durch den Einsatz moderner Technologien, Machine Learning und KI sind MDR-Teams in der Lage, Bedrohungen zu identifizieren, die klassische Schutzmechanismen oft übersehen.

Dass Managed Security Services Unternehmen in Zeiten hoher Risikopotenziale maßgeblich und wirksam unterstützen, steht außer Frage. Dies bestätigt die Entwicklung von Sophos, der als Lösungs- und Managed-Services-Anbieter gemeinsam mit seinen Partnern über 26.000 Unternehmen mit MDR betreut – bei einem steilen Wachstum von jährlich über 30 Prozent.

Doch trotz der operativen Vorteile können Managed Services die Rolle des CISO nicht vollständig ersetzen. Insbesondere die strategischen und für das Unternehmen individuell in die Zukunft ausgerichtete Sicherheitskonzepte sind ohne die steuernde Funktion einer CISO-Rolle nicht vollumfänglich abzubilden.

Virtuelle CISOs schließen die Lücke

Ein zusätzlicher Ansatz ist daher der Einsatz eines virtuellen CISOs als Unterstützung zum existierenden IT- und Sicherheitspersonal eines Unternehmens. Im Rahmen eines Managed-Services-Angebots bringen die spezialisierten Sicherheitsstrategen dabei ihre Expertise als externe Dienstleistung in das Unternehmen ein und übernehmen dabei zentrale Aufgaben: Sie entwickeln Sicherheitsstrategien, erstellen Richtlinien, begleiten Audits und beraten die Gesch.ftsführung – kontinuierlich und mittel- bis langfristig. Die Kombination verschiedener Managed Security Services realisiert so ein schlagkräftiges Resilienzmodell, das sowohl operative Abwehrmaßnahmen als auch strategische Planung abdeckt.

Durch die Integration einer KI-gestützten Sicherheitsplattformen mit Managed Services und dem Ansatz des virtuellen CISO lässt sich ein Sicherheitsniveau erreichen, das bisher hauptsächlich großen Konzernen vorbehalten war – und das mit erheblich geringerem Budgetaufwand. Gerade mittelständische Unternehmen können damit ihre Cyberresilienz effektiv stärken und sind nicht weiter ein Spielball der marktbedingten Personalknappheit.

Fazit

Der Fachkräftemangel in der IT Security ist eine strukturelle Herausforderung, die in den kommenden Jahren eher zunehmen als abnehmen wird. Mittelständische und kleine Unternehmen müssen deshalb neue Wege angeboten werden, um ihre Sicherheit auf Enterprise-Niveau zu heben – ohne die Ressourcen und Budgetgrenzen zu sprengen. Managed Security Services mit virtuellen CISOs bieten hier einen pragmatischen, wirtschaftlich tragfähigen Ansatz, um die Abwehrfähigkeit als auch die strategische Steuerung der Security sicherzustellen. Denn Cybersicherheit sollte kein Privileg großer Konzerne sein, sondern eine Selbstverständlichkeit für Unternehmen jeder Größe.