80 Prozent der CISOs stehen unter hoher Belastung, fast jeder zweite fürchtet nach einem Sicherheitsvorfall den Jobverlust. Das Problem: Über die Hälfte verfügt über keine Metriken, die Vorstände wirklich verstehen. CISOs müssen lernen, Risiken in betriebswirtschaftliche Größen zu übersetzen und Cybersicherheit als Wertschöpfungsbeitrag zu vermitteln.
Cybersecurity ist ein strategischer Faktor für Stabilität und Wachstum. Doch zwischen technischer Realität und wirtschaftlicher Erwartung entsteht eine Kommunikationslücke.
Cyberangriffe sind kein technisches Detail, sondern ein Geschäftsrisiko. Produktionsstillstände, Vertragsausfälle und Reputationsschäden wirken unmittelbar auf Bilanz und Marktwert. Der Angriff auf Jaguar Land Rover hat gezeigt, wie empfindlich Unternehmen auf digitale Störungen reagieren. In nur drei Monaten sank der Absatz um ein Viertel, weil zentrale Systeme ausfielen. Solche Vorfälle verdeutlichen, dass Cyberschutz über operative Kontinuität entscheidet. Trotzdem steigen die Budgets kaum. Der Nagomi CISO Pressure Index 2025 zeigt, dass 80 Prozent der Sicherheitsverantwortlichen unter hoher Belastung stehen und zwei Drittel wöchentlich oder täglich Erschöpfung erleben. Fast jeder zweite CISO nennt den Vorstand als Hauptquelle dieses Drucks.
Die Rolle des CISO hat sich zu einer strategischen Schnittstelle entwickelt. Sie verbindet technische Verantwortung mit politischem Anspruch. Chefs der Unternehmenssicherheit müssen operative Resilienz sicherstellen und gleichzeitig Vorstände über Risiken, Prioritäten und Ergebnisse informieren. Diese doppelte Verantwortung erzeugt Reibung. Führungsgremien erwarten Kennzahlen, die Sicherheitslage in betriebswirtschaftliche Größen übersetzen. Laut Nagomi-Report können 82 Prozent der CISOs Risiken quantifizieren, aber mehr als die Hälfte verfügt über keine Metriken, die Vorstände wirklich verstehen.
Praerit Garg, CEO von One Identity, beschreibt dieses Spannungsfeld als Kommunikationsproblem. CISOs denken in Bedrohungsszenarien, Vorstände in Ergebnissen. Risiko ist für die eine Seite ein technisches Konstrukt, für die andere ein Kostenfaktor. Garg betont, dass Sicherheitsverantwortliche lernen müssen, in der Sprache des Vorstands zu sprechen. Wer in dieser Ebene überzeugen will, muss zeigen, wie Sicherheit Rendite schützt. Die Diskussion verschiebt sich von der Abwehr zu messbaren Resultaten.
Zwischen Technik und Vertrauen
Das Vertrauen in Sicherheitswerkzeuge sinkt. Laut Nagomi-Studie verzeichneten drei Viertel der CISOs in den letzten sechs Monaten mindestens einen größeren Vorfall, über die Hälfte trotz vorhandener Schutzsysteme. Ebenfalls mehr als die Hälfte berichtet, dass eingesetzte Tools versagten, obwohl sie Angriffe hätten verhindern sollen. Gleichzeitig steigt die Komplexität der Systemlandschaften. der allergrößte Teil der Sicherheitschefs betreuen mehr als zwanzig verschiedene Tools, einige sogar über fünfzig. Fehlende Integration und fragmentierte Daten führen zu ineffizienter Ressourcenverteilung.
Garg fordert deshalb eine Vereinfachung der Sicherheitsarchitektur. Identität, Berechtigung und Zugriff bilden den zentralen Schutzbereich eines Unternehmens. Wer in dieser Ebene Ordnung schafft, reduziert Risiken und Kosten gleichzeitig. Drei Schwerpunkte definiert er als Kern einer widerstandsfähigen Strategie: eine straffe Identity Governance, die Verwaltung privilegierter Konten nach Zero-Trust-Prinzipien und den gezielten Abbau überflüssiger Komplexität in der gesamten IT-Landschaft. So entsteht eine Sicherheitsstruktur, die nachvollziehbar und skalierbar bleibt.
Der anhaltende Fachkräftemangel verschärft die Lage. Der Nagomi-Report nennt ihn als strukturelles Risiko, das durch steigende Vorfallzahlen weiterwächst. Über 80 Prozent der befragten CISOs stehen unter Druck, Personal zu reduzieren und Effizienz durch KI-Automatisierung zu steigern. Gleichzeitig sehen ebenfalls wieder weit über die Hälfte KI-gestützte Angriffe als größte Bedrohung. Diese doppelte Rolle von KI als Risiko und Hilfsmittel prägt den gegenwärtigen Diskurs.
Garg betrachtet das nicht als Widerspruch, sondern als notwendige Entwicklung. Menschliche Fähigkeiten reichen nicht mehr aus, um die Geschwindigkeit moderner Angriffe zu beherrschen. KI kann dort wirken, wo Analyse und Reaktionszeit über menschliche Grenzen hinausgehen. Autonome Systeme überwachen Netzwerke kontinuierlich, erkennen Muster und reagieren in Echtzeit. Dadurch entsteht eine zweite Schutzebene, die menschliche Entscheidungen ergänzt. KI entlastet Teams, indem sie Routineprüfungen übernimmt und Anomalien früh markiert.
In diesem Verständnis ist KI ein strategischer Hebel, keine Rationalisierungsmaßnahme. Sie erweitert die Wahrnehmung der Sicherheitsteams und ermöglicht eine Verschiebung von reaktiver Abwehr zu vorausschauender Kontrolle. So lässt sich auch die strukturelle Überlastung abfedern, die viele Organisationen lähmt. KI ersetzt keine Erfahrung, sie erweitert sie.
Sicherheit bleibt nur dann messbar, wenn sie mit geschäftlichen Kennzahlen verknüpft ist. Garg argumentiert, dass Sicherheitschefs nicht um Budget bitten, sondern Ergebnisse nachweisen müssen. Dazu gehören überprüfbare Kennzahlen wie Reaktionszeit, Schadenshöhe pro Vorfall oder Kosteneinsparungen durch Systemkonsolidierung. Sicherheit wird so zu einem Effizienzfaktor. CISOs, die mit Daten und klaren Korrelationen argumentieren, schaffen Vertrauen und verändern die Gesprächsbasis mit dem Vorstand.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dieser Ansatz ist derzeit noch selten etabliert. Die Hälfte der CISOs sehen die Erwartungshaltung des Vorstands als größte Belastung und mehr als die Hälfte befürchtet, nach einem Sicherheitsvorfall ihren Posten zu verlieren. Dieses Klima der Unsicherheit hemmt Innovation. Unternehmen, die Cybersicherheit als gemeinsame Führungsaufgabe begreifen, erhöhen nicht nur ihre Resilienz, sondern stärken ihre Governance-Strukturen.
Von Verteidigung zu Führung
Cybersicherheit ist ein fester Bestandteil moderner Unternehmenssteuerung. Die Sprache des Vorstands orientiert sich an Effizienz und Kapitalrendite. CISOs müssen diesen Bezugsrahmen verstehen und nutzen, ohne technische Präzision zu verlieren. Sie fungieren als Vermittler zwischen operativer Sicherheit und wirtschaftlicher Planung.
Der Wandel, den (nicht nur) Garg beschreibt, erfordert strukturelle Anpassung. Sicherheitsarchitekturen müssen einfacher werden, Teams sollen durch KI ergänzt und Kommunikationswege zwischen Sicherheit und Führung neu definiert werden. Nur so lässt sich die Lücke zwischen Verantwortung und Einfluss schließen. Der Druck, den zahlreiche weitere Studien und Statisten zeigen, entsteht nicht allein aus Bedrohungen, sondern aus fehlender Abstimmung zwischen Risiko und Management.
Cybersicherheit ist kein nachgelagertes Thema, sondern Führungsaufgabe. Sie verlangt technische Klarheit, organisatorische Disziplin und betriebswirtschaftliches Verständnis. Die Zukunft liegt nicht in immer neuen Werkzeugen, sondern in integrierten, lernfähigen Systemen und einer Sprache, die strategische Wirkung entfaltet. Wer Sicherheit als Beitrag zur Wertschöpfung versteht, überzeugt die Vorstandsebene. Wer Bedrohungen in Lösungen übersetzt, verändert Strukturen. CISOs, die diese Sprache beherrschen, sichern nicht nur Systeme, sondern die Stabilität des gesamten Unternehmens.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5d/ff/5dff3299d12fc4d37210c44689af6d56/0130055480v2.jpeg "Der IT-Service-Provider Quipu verzeichnete mehrere DDoS-Angriffe, aber die Schutzmechanismen des Cloud-Providers konnten die Bots der Angreifer nicht abwehren. (Bild: © Maria Mikhaylichenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c0/31/c0317e2c71d107e6ecbd2fdefa100962/0129629035v2.jpeg "Cyberkriminelle nutzen Künstliche Intelligenz, um bestehende Methoden zur Betrugs- und Malware-Entwicklung zu verfeinern, ihre Kosten zu senken und neue Technologien wie Deepfakes effektiv in ihren Angriffen einzusetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/9a/ed9a6fff92a7a1aec767fc73c6681232/0130157782v2.jpeg "Der Hotpatch für Windows 11 vom 13. März 2026 bezieht sich auf Systeme mit den Architekturen x64 und Arm64. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/c5/e1c565c5f124763803e1fff4ab63358a/0128304876v1.jpeg "Netzwerksichtbarkeit und -sicherheit muss auch in der Produktion oberste Priorität haben, fordert Tiho Saric, Senior Sales Director bei Gigamon. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/4f/40/4f404cccff308914c8284689fd16153f/0130070733v2.jpeg "Die KI von Codewall wählte selbstständig McKinsey als Ziel, da sie auf eine öffentlich zugängliche Richtlinie zur verantwortungsvollen Offenlegung und die kürzlich durchgeführten Updates zu „Lilli“ stieß. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/a4/4ca48ee3de835f32513f2df9448470c5/0130022845v2.jpeg "Hardwarebasierte Enklaven schützen Daten während der Verarbeitung. Quantencomputer bedrohen aber die zugrundeliegende Verschlüsselung langfristig. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c6/5ec6325880225bfd8b91d5cb691ab5e5/0130056660v2.jpeg "Cybersecurity ist ein strategischer Faktor für Stabilität und Wachstum. Doch zwischen technischer Realität und wirtschaftlicher Erwartung entsteht eine Kommunikationslücke. (Bild: © Vadym - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/77/10/771090f3706a1998e0dc3002402e8428/0124885214v2.jpeg "CISOs haben einen harten Job. Es ist nicht verwunderlich, dass die durchschnittliche CISO-Amtszeit nur zwei bis vier Jahre beträgt. (Bild: © adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/16/f5168aa1ff02ec8c5e7bc7f2acb4d38e/0121503363v2.jpeg "Vor allem in den USA verdienen CISOs mittlerweile deutlich mehr als in den vergangenen Jahren. (Bild: zest_marina - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/87/9387481de73781efeb22f1b81c902341/0122736413v2.jpeg "Junge CISOs sollten lernen, schnell zu erkennen, welche Herausforderungen kritisch sind und eine sofortige Aufmerksamkeit erfordern. (Bild: Prostock-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/82/d2824c1a8c4885e2b8d37a51a22b8b01/0119715843v2.jpeg "Die Rolle des CISO entwickelt sich momentan extrem schnell. Die Zusammenarbeit zwischen CISO sowie weiteren C-Level-Entscheidern, sowohl intern als auch extern, ist dabei nicht nur eine Option, sondern eine Notwendigkeit. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")