Horizon3.ai-Report: Verantwortung für Cybersicherheit verliert sich im Chaos

Dennis Weyel rät Unternehmen dringend, einen „Chief Information Security Officer“ (CISO) als zentrale IT-Sicherheitsinstanz zu etablieren

[datensicherheit.de, 11.08.2025] Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheitslage in Deutschland im aktuellen Lagebericht 2024 als „besorgniserregend“ einstuft, ist in der Wirtschaft die Verantwortlichkeit für die Abwehr der Cyberkriminalität weitgehend „chaotisch“ organisiert: Diese Diskrepanz ist eine Erkenntnis aus dem „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai, basierend auf einer Umfrage unter 300 Führungskräften überwiegend mittel­ständischer Firmen. Demnach ist die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, in der Wirtschaft weitgehend ungeklärt.

Foto: Horizon3.ai

Dennis Weyel gibt zu bedenken: Das Gros der Unternehmen verlässt sich noch immer auf herkömmliche passive Sicherheit – Pentesting steht hingegen für offensive Sicherheit und wird damit der wachsenden Bedrohungslage deutlich gerechter

IT-Sicherheit mit Nachrang: Nur 13% der Unternehmen verfügen über CISO

Bei knapp einem Viertel der Unternehmen (22%) liege die Verantwortung beim „Teamleiter IT“, bei 16 Prozent sei der „Chief Technology Officer“ (CTO) dafür verantwortlich und bei 14 Prozent der „Chief Information Officer „(CIO).

• Nur 13 Prozent der Unternehmen verfügten über einen „Chief Information Security Officer“ (CISO), welcher sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert.

Bei einem Viertel der befragten Firmen liege die Zuständigkeit für die Abwehr von Cyber­kriminellen bei untergeordneten Positionen wie jener des IT-Managers, Administrators oder System­architekten. Bei einem guten Fünftel (21%) trage die Gesamtverantwortung für die IT-Sicherheit der IT-Einkaufsleiter.

Widerspruch zwischen Bedrohungslage der IT-Sicherheit und chaotischer Abwehr

„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hacker-Angriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, warnt Dennis Weyel, „Inter­national Technical Director“ bei Horizon3.ai.

• „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen ,Chief Information Security Officer’ als zentrale Sicherheitsinstanz zu etablieren!“, legt Weyel nahe.

Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ca. ein Drittel (30%) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten hätten feststellen können. Er kommentiert: „Niemand kann ernsthaft glaubten, zwei Jahre lang von Hackern verschont geblieben zu sein.“

Täglich mehr als 300.000 neue Schadprogramme auf ihrem Weg durch den Cyberspace

Weyel verweist auf BSI-Untersuchungen, wonach täglich mehr als 300.000 neue Schadprogramme ihren Weg durch den Cyberspace auf der Suche nach Opfern antreten. Ein Schwer­punkt liegt laut BSI auf automatisierten Angriffen auf den Mittelstand mit Ransomware, die Firmendaten verschlüsselt und erst gegen Lösegeldzahlungen wieder freigibt.

• „Erpressungen mit verschlüsselten oder gestohlenen Daten entwickeln sich zum Massengeschäft“, berichtet Weyel.

Die Cyberkriminellen professionalisierten ihre Vorgehensweise, seien technisch auf dem neuesten Stand und gingen aggressiv vor.

Resilienz-Stärkung: Automatisierte Pentest-Plattform zur IT-Sicherheit

Horizon3.ai betreibt nach eigenen Angaben unter dem Namen „NodeZero“ eine automatisierte Pentest-Plattform, über die Firmen Cyberangriffe auf ihre IT-Infrastruktur („Penetrationstest“) durchführen können, um die Resilienz gegenüber Hacker-Attacken auf die Probe zu stellen.

• Eine Auswertung von über 50.000 über „NodeZero“ durchgeführten Testangriffen habe zutage gefördert, dass es bei 71 Prozent der Unter­nehmen für professionelle Hacker vergleichsweise leicht sei, an Zugangsdaten zum Firmennetzwerk zu gelangen.

In beinahe 100.000 Fällen habe „NodeZero“ über Sicherheitslücken eindringen können, „die längst bekannt, aber bei den entsprechenden Unternehmen noch nicht gestopft waren“.

Pentesting steht für offensive Sicherheit

Weyel führt aus: „Das Gros der Unternehmen verlässt sich auf herkömmliche passive Sicherheit, die im wesentlichen auf einem mehrschichtigen Schutzwall rund um die IT-Systeme basiert.“ Sogenanntes Pentesting stehe hingegen für offensive Sicherheit und werde damit der wachsenden Bedrohungslage deutlich gerechter.“

• Er erläutert die Unterschiede anschaulich: „Passive Sicherheitssysteme sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können.“

Er rät Unternehmen, mindestens einmal im Monat einen solchen „Einbruch“ zu simulieren, also einen Pentest auf die IT-Infrastruktur durchzuführen.

Unter­schiede im Sicherheitsniveau: manuelles vs. automatisiertes Pentesting

Dennoch führt laut Studie nur gut die Hälfte (51%) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendeten hierzu automatisierte Systeme, was die Voraussetzung sei, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzten auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister.

• „Gleichgültig, ob externe oder interne Ressourcen zum Einsatz kommen, ist manuelles Pentesting viel aufwändiger und damit teurer als die Verwendung einer automatisierten Pentestingplattform“, gibt Weyel zu bedenken. Dabei gehe es nicht in erster Linie um die Kosten, sondern um die Unter­schiede im Sicherheitsniveau.

Je kostengünstiger und automatisierter die aktive Überprüfung der IT-Sicherheit sei, desto häufiger werde sie von den Unternehmen durchgeführt. „Und die Regelmäßigkeit ist angesichts von täglich beinahe 70 neuentdeckten Schwachstellen in Computerprogrammen ein entscheidenden Faktor, um IT-Organisationen sicher zu halten“, unterstreicht Weyel abschließend.

Weitere Informationen zum Thema:

HORIZON3.ai
Our Vision: The Future of Security

TECHNIK UND WISSEN / TECHNISCHE RUNDSCHAU, 30.06.2025
Cyberkriminalität: Der Mittelstand segelt im Nebel / Zwei Drittel der Unternehmen in der DACH-Region wurden gehackt – oft ohne es zu merken

datensicherheit.de, 27.06.2025
CISO-Reifeprüfung – in fünf Stufen zur Cyberresilienz / Angesichts zunehmender Bedrohung stehen CISOs unter stärkerem Druck, die Sicherheit ihres Unternehmens ganzheitlich neu zu denken

datensicherheit.de, 19.02.2025
2025 als Jahr gute IT-Security-Vorsätze: Vier CISO-Prioritäten auf der Agenda / 44 Prozent der CISOs machtlos – zwischen 2023 und 2024 waren sie nicht in der Lage, Sicherheitsvorfälle rechtzeitig zu erkennen

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe /Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

datensicherheit.de, 11.10.2023
Predictive-Text-Technologien: Veritas gibt CISOs Tipps zu Sicherheit und Datenschutz / Veritas-Stellungnahme soll mit fünf gängigen Missverständnissen aufräumen