Aktuelles, Branche, Studien - geschrieben von dp am Sonntag, Juli 20, 2025 0:15 - noch keine Kommentare
Fehlender Geschäftskontext: Trotz erhöhter Investitionen ausgebremstes Cyberrisiko-Management
Laut „State of Cyber Risk 2025“ von Qualys und Dark Reading bleibt das betriebliche Cyberrisiko-Management vieler Unternehmen weiter unausgereift
[datensicherheit.de, 20.07.2025] Die aktuelle gemeinschaftliche Studie – „State of Cyber Risk 2025“ – von Qualys und Dark Reading widmet sich der Problematik, dass trotz wachsender Ausgaben und zunehmender Relevanz in Vorstandsetagen das betriebliche Cyberrisiko-Management vieler Unternehmen unausgereift bleibt. Der Grund dafür ist demnach der fehlende geschäftliche Kontext. Empfohlen wird daher, die Betrachtungsweise der Cybersicherheit zu transformieren: Vom puren Kostenzentrum (Cost Center) hin zum relevanten Geschäftsfaktor (Business Driver).

Abbildung: Qualys
Warnende Erkenntnis aus dem Bericht: Trotz wachsender Budgets steigt das Cyberrisiko bei vielen Unternehmen weiter!
Cyberrisiko: Zum Management müssen Techniker und Kaufleute gemeinsame Sprache finden
Zentrale Erkenntnisse der Umfrage zum Cyberrisiko-Management unter über 100 IT- und Security-Verantwortlichen laut Qualys:
- Cyberrisiken nehmen zu
71 Prozent der Befragten sähen steigende oder gleichbleibende Risiken – trotz steigender Budgets. - Formelle Programme – ohne Reife
Zwar verfügten 49 Prozent über ein Cyberrisiko-Programm, doch nur 30 Prozent priorisierten Risiken auf Basis von Geschäftszielen. - Kapitalrendite (Return on Investment / ROI) bleibt aus
Die meisten Sicherheitsinvestitionen zahlten sich nicht direkt erkennbar aus – fehlende Transparenz und Priorisierung bremsten die Wirkung. - Mangelhaftes Intelligentes Gerätebestandsmanagement (Asset Intelligence)
Nur 13 Prozent könnten „Assets“ kontinuierlich inventarisieren, 47 Prozent arbeiteten noch mit manuellen Prozessen. - Kommunikationslücke zum Management
Lediglich 14 Prozent verknüpften Cyberrisikoberichte mit finanziellen Kennzahlen – und nur 22 Prozent würden hierzu Finanzteams einbinden. - Wunsch nach Kontext statt „Common Vulnerability Scoring System“ (CVSS)
Führungskräfte forderten Entscheidungen basierend auf geschäftlichen Risiken – keine technischen Bewertungen (scores).
Entgegen der Erwartung nimmt das Cyberrisiko bei vielen Unternehmen weiter zu
Cybersicherheit werde zunehmend als strategisches Thema wahrgenommen, doch in der praktischen Umsetzung klafften Lücken. Zwar verfügten fast die Hälfte der befragten Organisationen über formelle Risikoprogramme, doch nur ein Drittel davon priorisiere Risiken anhand geschäftlicher Ziele.
- Die Studie fordert deshalb eine stärkere Orientierung an geschäftlichen Auswirkungen – beispielsweise an potenziellen Umsatzverlusten oder der Gefährdung sensibler Kundendaten.
Trotz wachsender Budgets steige das Cyberrisiko bei vielen Unternehmen weiter. Das liege vor allem daran, dass „Tools“ isoliert arbeiteten, die „Asset“-Transparenz lückenhaft sei und Priorisierungen oft an klaren strategischen Zielen vorbeigingen.
Bewertung des Cyberrisikos muss geschäftsrelevante Risikobetrachtung adressieren
Die Risikobewertung erfolge häufig noch auf Basis starrer „Scores“ wie CVSS, ohne den geschäftlichen Kontext zu berücksichtigen. Führungskräfte verlangten jedoch keine technischen „Dashboards“ mehr, sondern verständliche Antworten auf zentrale Fragen: „Wo liegen die größten Risiken? Wie hoch ist die mögliche Auswirkung? Welche Maßnahmen bringen den größten Nutzen?“
- Hier nun soll das von Qualys vorgestellte Konzept eines „Risk Operations Center“ (ROC) ansetzen: Dieses vereine die kontinuierliche Erkennung, Bewertung und Steuerung von Risiken auf Basis kontextualisierter Echtzeitdaten. Das dazugehörige „Enterprise TruRisk Management“ (ETM) konsolidiere technische Informationen und übersetze sie in geschäftsrelevante Kennzahlen, um Entscheidungen fundiert treffen zu können.
Deshalb müssten Unternehmen ihr Risikomanagement strategisch neu ausrichten – weg vom Technikfokus, hin zur geschäftsrelevanten Risikobetrachtung. Das ROC-Modell biete hierfür eine strukturierte, unternehmensweite Lösung.
Weitere Informationen zum Thema:
Qualys, Juni 2025
Research Report / New Dark Reading Report: Most Cyber Risk Programs Still Falling Short
datensicherheit.de, 01.07.2025
Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen / Unternehmen wissen zwar, dass ihnen Gefahren auflauern und haben meist auch Vorsichtsmaßnahmen getroffen – aber sie wissen oft dennoch nicht, ob sie einem Cyberangriff standhalten können
datensicherheit.de, 02.05.2025
Erkenntnisse aus dem Verizon Data Breach Investigation Report (DBIR) 2025 / Der Bericht macht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes deutlich
Aktuelles, Experten, Studien - Sep. 3, 2025 0:36 - noch keine Kommentare
Smartphone als Multifunktionsgerät: Wecker, Kamera, Navigationsgerät
weitere Beiträge in Experten
- eco begrüßt BMDS-Eckpunkte zur geplanten TKG-Novelle
- ACSL in Karlsruhe: Neues KI-Institut erforscht Denkmaschinen
- Bundesnetzagentur als Digital Services Coordinator: eco fordert mehr personelle Ressourcen
- Milka-Schokolade: Verbraucherzentrale Hamburg klagt wegen Mogelpackung
- PayPal-Zahlungsausfälle: Verbraucherzentrale NRW gibt Betroffenen Empfehlungen
Aktuelles, Branche - Sep. 3, 2025 18:09 - noch keine Kommentare
Stealerium: Proofpoint meldet Comeback einer Cyberbedrohung
weitere Beiträge in Branche
- Unternehmen im Visier: hensec meldet Zunahme der Nachfrage nach Abhörschutztechnik
- Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure
- facebook: Vorgetäuschte Kontosperrung als Phishing-Attacke
- Task Scams: Trend Micro warnt vor digitalem Job-Betrug
- Zum Bundesliga-Start warnt Kaspersky vor cyberkriminellem Angriffs-Portfolio
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren