11. August 2025

Chaos bei der Verantwortung für Cybersicherheit

Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist dem „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai zufolge unübersehbar. [...]

Nur 13 Prozent der befragten Unternehmen verfügen über einen Chief Information Security Officer (CISO), der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. (c) stock.adobe.com/leowolfert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die IT-Sicherheitslage im aktuellen Lagebericht 2024 als „besorgniserregend“ ein, aber in der Wirtschaft ist die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend chaotisch organisiert. Diese Diskrepanz deckt der „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai auf, der auf einer Umfrage unter 300 Führungskräften überwiegend mittel­ständischer Firmen basiert. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.

Bei knapp einem Viertel der Firmen (22 Prozent) liegt die Verantwortung beim Teamleiter IT, bei 16 Prozent ist der Chief Technology Officer (CTO) dafür verantwortlich und bei 14 Prozent der Chief Information Officer (CIO). Nur 13 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO), der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. Bei einem Viertel der befragten Firmen liegt die Zuständigkeit für die Abwehr von Cyber­kriminellen bei untergeordneten Positionen wie IT-Manager, Administrator oder System­architekt. Bei einem guten Fünftel (21 Prozent) trägt die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.

Widerspruch zwischen Bedrohungslage und Abwehrchaos

„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, sagt Dennis Weyel, Inter­national Technical Director bei Horizon3.ai. Er erklärt: „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen Chief Information Security Officer als zentrale Sicherheitsinstanz zu etablieren.

Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ein Drittel (30 Prozent) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten feststellen konnten, meint Dennis Weyel: „Niemand kann ernsthaft glaubten, zwei Jahre lang von Hackern verschont geblieben zu sein“.

Daten-Erpressungen sind ein Massengeschäft

Der Sicherheitsfachmann verweist auf Untersuchungen des BSI, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwer­punkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt. „Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft“, sagt Dennis Weyel. Die Cyberkriminellen professionalisieren ihre Vorgehensweise, sind technisch auf dem neuesten Stand und gehen aggressiv vor.

Horizon3.ai betreibt unter dem Namen NodeZero eine automatisierte Pentestplattform, über die Firmen Cyberangriffe auf ihre IT-Infrastruktur („Penetrationstest“) durchführen können, um die Resilienz gegenüber Hackerattacken auf die Probe zu stellen. Eine Auswertung von über 50.000 über NodeZero durchgeführten Testangriffen hat zutage gefördert, dass es bei 71 Prozent der Unter­nehmen für professionelle Hacker vergleichsweise leicht ist, an Zugangsdaten zum Firmennetzwerk zu gelangen. In beinahe 100.000 Fällen konnte NodeZero über Sicherheitslücken eindringen, die längst bekannt, aber bei den entsprechenden Unternehmen noch nicht gestopft waren.

Aktive versus passive Sicherheit

„Das Gros der Unternehmen verlässt sich auf herkömmliche passive Sicherheit, die im wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert“, erklärt Dennis Weyel, „Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter. Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.“ Weyel rät Unternehmen, mindestens einmal im Monat einen solchen „Einbruch“ zu simulieren, also einen Pentest auf die IT-Infrastruktur durchzuführen.

Dennoch führt laut Studie nur gut die Hälfte (51 Prozent) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendet hierzu automatisierte Systeme, was die Voraussetzung ist, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzen auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister. „Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Pentestingplattform“, sagt Dennis Weyel. „Dabei geht es nicht in erster Linie um die Kosten, sondern um die Unter­schiede im Sicherheitsniveau. Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit ist, desto häufiger wird sie von den Unternehmen durchgeführt. Und die Regelmäßigkeit ist angesichts von täglich beinahe 70 neu entdeckten Schwachstellen in Computerprogrammen ein entscheidenden Faktor, um IT-Organisationen sicher zu halten.“


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*