Fehlender Geschäftskontext: Trotz erhöhter Investitionen ausgebremstes Cyberrisiko-Management

Laut „State of Cyber Risk 2025“ von Qualys und Dark Reading bleibt das betriebliche Cyberrisiko-Management vieler Unternehmen weiter unausgereift

[datensicherheit.de, 20.07.2025] Die aktuelle gemeinschaftliche Studie – „State of Cyber Risk 2025“ – von Qualys und Dark Reading widmet sich der Problematik, dass trotz wachsender Ausgaben und zunehmender Relevanz in Vorstandsetagen das betriebliche Cyberrisiko-Management vieler Unternehmen unausgereift bleibt. Der Grund dafür ist demnach der fehlende geschäftliche Kontext. Empfohlen wird daher, die Betrachtungsweise der Cybersicherheit zu transformieren: Vom puren Kostenzentrum (Cost Center) hin zum relevanten Geschäftsfaktor (Business Driver).

Abbildung: Qualys

Warnende Erkenntnis aus dem Bericht: Trotz wachsender Budgets steigt das Cyberrisiko bei vielen Unternehmen weiter!

Cyberrisiko: Zum Management müssen Techniker und Kaufleute gemeinsame Sprache finden

Zentrale Erkenntnisse der Umfrage zum Cyberrisiko-Management unter über 100 IT- und Security-Verantwortlichen laut Qualys:

• Cyberrisiken nehmen zu
  71 Prozent der Befragten sähen steigende oder gleichbleibende Risiken – trotz steigender Budgets.
• Formelle Programme – ohne Reife
  Zwar verfügten 49 Prozent über ein Cyberrisiko-Programm, doch nur 30 Prozent priorisierten Risiken auf Basis von Geschäftszielen.
• Kapitalrendite (Return on Investment / ROI) bleibt aus
  Die meisten Sicherheitsinvestitionen zahlten sich nicht direkt erkennbar aus – fehlende Transparenz und Priorisierung bremsten die Wirkung.
• Mangelhaftes Intelligentes Gerätebestandsmanagement (Asset Intelligence)
  Nur 13 Prozent könnten „Assets“ kontinuierlich inventarisieren, 47 Prozent arbeiteten noch mit manuellen Prozessen.
• Kommunikationslücke zum Management
  Lediglich 14 Prozent verknüpften Cyberrisikoberichte mit finanziellen Kennzahlen – und nur 22 Prozent würden hierzu Finanzteams einbinden.
• Wunsch nach Kontext statt „Common Vulnerability Scoring System“ (CVSS)
  Führungskräfte forderten Entscheidungen basierend auf geschäftlichen Risiken – keine technischen Bewertungen (scores).

Entgegen der Erwartung nimmt das Cyberrisiko bei vielen Unternehmen weiter zu

Cybersicherheit werde zunehmend als strategisches Thema wahrgenommen, doch in der praktischen Umsetzung klafften Lücken. Zwar verfügten fast die Hälfte der befragten Organisationen über formelle Risikoprogramme, doch nur ein Drittel davon priorisiere Risiken anhand geschäftlicher Ziele.

• Die Studie fordert deshalb eine stärkere Orientierung an geschäftlichen Auswirkungen – beispielsweise an potenziellen Umsatzverlusten oder der Gefährdung sensibler Kundendaten.

Trotz wachsender Budgets steige das Cyberrisiko bei vielen Unternehmen weiter. Das liege vor allem daran, dass „Tools“ isoliert arbeiteten, die „Asset“-Transparenz lückenhaft sei und Priorisierungen oft an klaren strategischen Zielen vorbeigingen.

Bewertung des Cyberrisikos muss geschäftsrelevante Risikobetrachtung adressieren

Die Risikobewertung erfolge häufig noch auf Basis starrer „Scores“ wie CVSS, ohne den geschäftlichen Kontext zu berücksichtigen. Führungskräfte verlangten jedoch keine technischen „Dashboards“ mehr, sondern verständliche Antworten auf zentrale Fragen: „Wo liegen die größten Risiken? Wie hoch ist die mögliche Auswirkung? Welche Maßnahmen bringen den größten Nutzen?“

• Hier nun soll das von Qualys vorgestellte Konzept eines „Risk Operations Center“ (ROC) ansetzen: Dieses vereine die kontinuierliche Erkennung, Bewertung und Steuerung von Risiken auf Basis kontextualisierter Echtzeitdaten. Das dazugehörige „Enterprise TruRisk Management“ (ETM) konsolidiere technische Informationen und übersetze sie in geschäftsrelevante Kennzahlen, um Entscheidungen fundiert treffen zu können.

Deshalb müssten Unternehmen ihr Risikomanagement strategisch neu ausrichten – weg vom Technikfokus, hin zur geschäftsrelevanten Risikobetrachtung. Das ROC-Modell biete hierfür eine strukturierte, unternehmensweite Lösung.

Weitere Informationen zum Thema:

Qualys, Juni 2025
Research Report / New Dark Reading Report: Most Cyber Risk Programs Still Falling Short

Qualys
Risk Operations Center (ROC) / Continuously assess, prioritize and mitigate risks in real-time with unified & contextualized risk management

datensicherheit.de, 01.07.2025
Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen / Unternehmen wissen zwar, dass ihnen Gefahren auflauern und haben meist auch Vorsichtsmaßnahmen getroffen – aber sie wissen oft dennoch nicht, ob sie einem Cyberangriff standhalten können

datensicherheit.de, 02.05.2025
Erkenntnisse aus dem Verizon Data Breach Investigation Report (DBIR) 2025 / Der Bericht macht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes deutlich