Mit der Zunahme von Cyber-Bedrohungen ist es für Unternehmen geboten, ihre Ansätze zum Thema IT-Security zu überdenken. Reifegradmodelle bieten eine gute Möglichkeit, regelmäßig zu bewerten, auf welchem Security-Niveau sie sich aktuell befinden.
Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern.
(Bild: Andrii Yalanskyi - stock.adobe.com)
Reifegradmodelle sind eine Sammlung von Best Practices, deren Einhaltungsgrad Unternehmen auf einer Skala von niedrigeren „Reifegraden“ zu höheren Eignungs- und Zertifizierungsstufen voranbringen. Zertifizierungen nach einem Reifegradmodell bedeuten, dass sich ein Unternehmen dazu verpflichtet hat, seine Prozesse und Praktiken innerhalb der Domänen eines Modells auf ein nachhaltiges Leistungsniveau zu verbessern.
Das Anlehnen von Security-Praktiken an bewährte Modelle, von denen einige auf bestimmte Branchen zugeschnitten sind, kann dabei helfen, Security-Programme schneller auszureifen, die Sicherheitslage allgemein zu verbessern und vor allem Risiken zu reduzieren.
In einem erprobten Reifegradmodell sind eine Vielzahl von Prozessen, Tools und Akteure aufeinander abgestimmt und wirken optimal zusammen, um ein Höchstmaß an Effektivität zu erzielen. Ausgereifte Security-Programme finden nicht nur leichter Akzeptanz unter der C-Suite und dem Vorstand, sondern werden auch von den Abteilungen im gesamten Unternehmen besser verstanden.
Standard-Reifegradmodelle für die IT-Security
Zu den gängigen Reifegradmodellen, die meist als Goldstandard gelten, gehören beispielsweise das NIST Cybersecurity Framework, die CIS 18 und der Health Insurance Portability and Accountability Act (HIPAA).
Jedes Reifegradmodell erfordert umfassende Kenntnisse über die IT-Security eines digitalen Ökosystems. Als weltweit führende Plattform für Sicherheitsbewertungen bietet beispielsweise BitSight die Transparenz, die einem Unternehmen dabei helfen kann, ihre Sicherheits- und Risikoprogramme zu verfeinern.
NIST-Cybersicherheits-Framework: Das National Institute of Standards and Technology (NIST) ist ein Reifegradmodell für IT-Security, das nicht nur von US-Organisationen und Unternehmen verwendet wird. In diesem Modell ist die Etablierung und Kommunikation von Risikotoleranz der Schlüssel zur Erhöhung der Sicherheit. Das NIST-Framework berücksichtigt eine sich schnell entwickelnde Bedrohungslandschaft und rät Sicherheitsteams, ihre Überwachungstechniken und Abhilfestrategien an die jeweiligen Bedrohungen anzupassen.
CIS 18: Dieses Reifegradmodell, das vom Center for Internet Security (CIS) erarbeitet wurde, besteht aus 18 kritischen Kontrollmechanismen zum Schutz eines Netzwerks vor Hacker-Angriffen. Das CIS 18-Modell ist so konzipiert, dass es allumfassend ist und daher große Aufmerksamkeit für die Cybersicherheits-Managementprozesse einer Organisation erfordert.
Der Weg zur Reife in der IT-Security
Im Folgenden sind die einzelnen Schritte eines ausgereiften IT-Security-Programms und deren Indikatoren am Beispiel des CIS 18 skizziert, die jeweils wiederum auf die Notwendigkeit einer größeren Reife hinweisen:
Organisationen mit niedrigem Reifegrad
Merkmale einer Level-1-Reife
Unvorhersehbare Prozesse bzw. Ad-hoc-Prozesse.
Schlechte und inkonsistente Kontrollen.
Mangel an Betriebs- oder Governance-Modellen.
Geringe Qualifikationstiefe der Mitarbeiter oder zu kleines Team.
Minimale Automatisierung oder Tool-Implementierung.
Schlechte Asset-Verwaltung.
Minimale oder fehlende Maßnahmen oder Überwachung.
Wesentliche Maßnahmen
Identifizierung und Priorisierung der Sicherheitsrisiken und Schwachstellen.
Etablierung eines umsetzbaren Plans, um dringende Sicherheitslücken zu schließen.
Entwicklung eines Organisations- und Governance-Modells.
Dies ist das Level, das die größten Risiken birgt. Das Unternehmen ist gerade erst im Begriff zu erkennen, dass sein „Programm“ eher reaktiv als proaktiv und standardisiert ist. Hier besteht das wesentliche Ziel erst einmal darin, ein Risikoprofil zu erstellen, einen Plan für den Aufbau des Programms zu erarbeiten und Lücken im Bereich des Security-Knowhows zu schließen. Es empfiehlt sich, externen CISO-Support oder Überwachung der IT-Security auf dieser Ebene zu nutzen.
Organisationen mit mittlerem Reifegrad
Merkmale einer Level-2-Reife
Viele kodifizierte Prozesse und Richtlinien.
Inkonsistente Maßnahmen und Überwachung.
Qualifikationslücken in verschiedenen Domänen.
Fehlende Sicherheitsfunktionen.
Suboptimales Bedrohungs- und Schwachstellen-Management.
Lücken im Konfigurations-Management.
Compliance- und Audit-Probleme.
Datenschutzbezogene Herausforderungen beim Testdaten-Management.
Wesentliche Maßnahmen
Klarer Kurs zum angestrebten Reifegrad.
Ressourcen werden systematisch eingesetzt.
Reduzierte Kosten und verbesserter ROI für IT-Security-Maßnahmen.
Metriken und Überwachungsberichte werden implementiert.
Auf dieser Ebene verfügt das Unternehmen bereits über ein etabliertes Programm mit einer Governance-Struktur sowie Richtlinien und Verfahren. Die Fähigkeit, Bedrohungen zu erkennen und Verstöße zu verhindern, muss jedoch gestärkt werden, ebenso wie IT-Security-Metriken zu überwachen und darüber zu berichten. Hier geht es darum, durch Leistungsindikatoren Stärke aufzubauen, Compliance zu erreichen, Ressourcen strategisch einzusetzen und mehr Effizienz zu erreichen. Viele Unternehmen nutzen zunächst die Unterstützung externer CISOs, bevor sie ihren ersten CISO einstellen.
Organisationen mit höherem Reifegrad
Merkmale einer Level-3-Reife
Formalisierte Richtlinien, Verfahren und Prozesse.
Risiken werden gemessen und konsequent überwacht.
Wiederkehrende Risiko- und Lückenbewertungen und –behebung.
Suche nach Outsourcing-Möglichkeiten.
Integration von Sicherheitsoperationen in Unternehmenssystemen und -funktionen.
Konzentration auf die Reduzierung von IT-Kosten und ROI bei gleichzeitiger Aufrechterhaltung einer ausgereiften Risiko-Überwachung.
Wesentliche Maßnahmen
Aufrechterhaltung und Verbesserung des positiven Compliance-Status.
Verbesserung des ROI für Sicherheitsoperationen durch Outsourcing.
Realisierung von erweiterten Metriken und Überwachungsfunktionen.
Implementierung einer Risiko-Analyse.
Formelle Berichterstattung auf C-Level.
Langfristige Managed Security Service Provider (MSSP)-Beziehung.
Auf dieser Ebene hat das Unternehmen IT-Leadership, Governance und kontinuierliche Überwachung und Reaktion auf wiederkehrende Bedrohungen etabliert. Das ausgereifte Security-Programm optimiert die Effizienz und den ROI. Die Security-Prozesse und -aufgaben sind automatisiert.
Das Unternehmen möchte sicherstellen, dass seine digitalen Produkte, Dienstleistungen und IT-Infrastruktur ein Sicherheitsniveau aufweisen, das es ihm ermöglicht, wettbewerbsfähiger zu werden, neue zu Kunden gewinnen und neue Märkte zu erschließen. Viele Unternehmen nutzen externe Unterstützung, damit sich das interne Team auf strategische IT-Initiativen konzentrieren kann.
(ID:49326033)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/c5/5fc595101c3f67c3f6e29ef6d0aba1c0/0128510102v1.jpeg "Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten. (Bild: © Pakin - stock.adobe.com)")