In vielen Unternehmen liegt das Risikomanagement bei einzelnen IT-Security-Verantwortlichen. Die Aufgabe ist jedoch so umfassend, dass sie ein Team oder sogar nur eine Einzelperson nicht systemübergreifend managen kann. Hier ist ein neuer Denkansatz dringend nötig.
Steht ein Security-Team beim Risk Management als Einzelkämpfer da, erzeugt das Frust. Das Risikomanagement ist eine fortlaufende Aufgabe, die im Unternehmen nur gemeinsam angegangen werden kann.
(Bild: allvision - stock.adobe.com)
„Ich bin der Einzige, der sich hier um die Security kümmert!“ Kommt Ihnen das bekannt vor? In den Gesprächen mit anderen CISOs und IT-Security-Verantwortlichen in Unternehmen höre ich diese Beschwerde immer häufiger. Und selbst wenn es Security-Teams gibt, sind die Kapazitäten knapp. Denn die Mitarbeitenden müssen immer mehr Tickets bearbeiten. Die Folgen: frustriertes Personal, negative Stimmung und Verzweiflung angesichts fehlender Unterstützung. Dadurch steigt das Risiko, qualifizierte Fachkräfte zu verlieren – und so die Arbeitslast pro Person noch weiter zu erhöhen. Ein Teufelskreis.
Um daraus auszubrechen, ist es hilfreich, alternative Herangehensweisen in Betracht zu ziehen. Häufig hört man aus der Branche, dass seit Jahrzehnten die gleichen Security-Probleme auftauchen und keine Besserung in Sicht sei. Allerdings sind auch die Lösungsansätze seit Jahrzehnten die gleichen, weshalb es kaum Fortschritte gibt.
Um Security-Probleme zukünftig besser in den Griff zu bekommen, hilft es, die Gründe für das bisherige Scheitern des Risikomanagements in Unternehmen zu analysieren. Aus meiner Erfahrung sind die Fehlschläge meistens auf folgende drei Ursachen zurückzuführen:
1. Silos beim Identifizieren von Risiken
Was ich häufig erlebe: Security-Teams sind überzeugt davon, dass sie allein dafür verantwortlich sind, Risiken zu identifizieren. Entsprechend versuchen sie das selbst in Systemen, mit denen sie sich nicht auskennen – und beziehen dabei die Systemverantwortlichen nicht einmal mit ein. So fehlt ihnen der größere Kontext und in der Folge ein besseres Verständnis dafür, wie ein erfolgreiches Risikomanagement in diesen Systemen aussehen oder funktionieren könnte. Das typische Ergebnis: Die Rufe der Security-Verantwortlichen nach mehr Unterstützung aus anderen Abteilungen verhallen ungehört.
Gleichzeitig beschweren sich die Security-Teams darüber, dass sie niemanden dazu bewegen können, die von ihnen entdeckten Probleme zu beheben. Unglücklicherweise informieren die Security-Teams die Systemverantwortlichen häufig erst, wenn es schon zu spät ist. Wenn sie also in deren Systemen Probleme entdecken und einfordern, dass sie die lösen. Das verschärft die Spannungen weiter.
Um auch andere Teams mitzunehmen, sollten die Security-Verantwortlichen ihre vermeintliche Monopolstellung aufgeben. Wer ein System administriert und dadurch dessen Ecken und Kanten kennt, sollte auch die Risiken selbst prüfen. Jemand, der täglich mit einem System arbeitet, kann die Risiken deutlich besser bewerten als ein Außenstehender. Sinnvoll ist es zudem, alle IT-Risiken eines Systems zu bewerten, nicht nur die Security-Risiken.
Schaffen Sie daher einen standardisierten Prozess, anhand dessen die Teams regelmäßig diese Prüfungen durchführen. Bauen Sie dann ein Backend-System auf, mit dem Sie die Risiken verwalten können, Aufgaben verteilen und Status-Updates erhalten. Das größere Mitspracherecht an den eigenen Systemen kann den zuständigen Personen bereits eine ausreichende Motivation sein, mehr Engagement für das Risikomanagement an den Tag zu legen.
2. Verwechseln von Schwachstellen und Risiken
Verwechseln die zuständigen Personen Schwachstellen mit Risiken, können sie den anderen Teams unnötigerweise zu viel Arbeit abverlangen – ohne dass die Teams verstehen, welchen Nutzen diese Arbeit wirklich bringt. Da die Zeit für solch eine Auswertung meist begrenzt ist, sind Kompromisse unvermeidlich. Behandelt man aber jede Schwachstelle wie ein Risiko, fällt es schwer, die Aufgaben sinnvoll zu priorisieren. Das gilt insbesondere, wenn das Security-Team den Schwerpunkt darauf legt, Wahrscheinlichkeiten und Konsequenzen zu kalkulieren – und in der Kommunikation mit den anderen Teams viel Fachvokabular nutzt. Das kann zu Frustration führen, insbesondere wenn die Mitarbeitenden dadurch die Folgen eines Risikos nicht nachvollziehen und einschätzen können. Arbeiten sie stundenlang an Aufgaben, deren Sinn und betrieblichen Wert sie nicht nachvollziehen können, steigert das den Rechtfertigungsdruck für das Security-Team.
Daher müssen die Security-Verantwortlichen klar kommunizieren und sorgfältig abwägen, welche Aufträge sie in die Abteilungen weitergeben. Denn generell gilt: Schwachstellen sind zwar Schwachstellen, aber nicht jede Schwachstelle ist auch ein Risiko. Sie können die identifizierten Risiken allerdings beeinflussen. Aber die Security-Teams sollten den anderen Abteilungen nicht aufbürden, zahlreiche Schwachstellen zu prüfen – und diese auch nicht als Risiken verkaufen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Gute Absichten führen zu Überforderung
Manchmal beginnen Security-Teams mit einer positiven Dynamik, die Risiken zu identifizieren und beziehen die anderen Fachabteilungen mit ein. Der nächste Schritt ist allerdings unkonstruktiv. Pro Risiko erstellen sie einfach ein Ticket im Backlog der anderen Teams. Der dadurch entstehende Stau an gemeldeten Schwachstellen lähmt schließlich die Teams, denen sie die Tickets zugewiesen haben. Die meisten werden die Arbeit nie beenden – wenn sie diese überhaupt anfangen. Verdenken kann man ihnen das kaum. Denn manchmal vergessen die Security-Verantwortlichen schlicht, dass diese Teams ihre eigene Arbeitslast haben. Das Risikomanagement ist zwar für jedes Unternehmen wichtig, die Arbeit an technischen Aufgaben verursacht allerdings insgesamt ähnliche Kosten wie Security-bezogene Aufgaben.
Wenn Security-Teams allerdings ihre Tickets für wichtiger halten als alles andere, werden die Fachbereiche nicht mehr mit ihnen zusammenarbeiten wollen. Denn so überhäufen sie diese einfach mit Problemen, anstatt gemeinsam einen passenden Prozess für die Lösung der Probleme zu entwickeln. Das können zum Beispiel eine angemessene, ausgewogene Schwachstellenanalyse sein und faire Service-Level-Agreements, um die wirklich wichtigen Schwachstellen schnellstmöglich zu beheben. Darüber hinaus ist es sinnvoll, systemische Probleme zu identifizieren und den Teams Leitplanken für deren Beseitigung an die Hand zu geben. Damit diese Probleme nicht wieder auftreten, helfen sogenannte „Golden Paths“. Dabei handelt es sich um eine Reihe definierter Prozesse, um Anwendungen sicher erstellen und einsetzen zu können.
Fazit
Bezieht man verschiedene Menschen mit unterschiedlichen Mentalitäten und Ansichten in die Analyse eines Problems ein, ergibt das eine umfassendere Lösung. Versucht ein Security-Team den Alleingang, insbesondere in unbekannten Systemen, erzeugt das Frust. Ich bin überzeugt davon, dass die Security-Verantwortlichen hier das Richtige tun möchten. Verursacht das aber mehr Schwierigkeiten als eine einfache Lösung, ist solch ein Projekt zum Scheitern verurteilt. Jede Minute Arbeitsaufwand hat ihren Preis. Security-Teams müssen deshalb bereit sein, Rahmenvorgaben mit klaren Prioritäten zu entwickeln und dabei diese Kosten mit einzubeziehen. Die Aufgabe Risikomanagement ist nicht eindimensional, sondern umfassend und vielschichtig. Deshalb ist es nicht praktikabel, den Fokus ausschließlich auf die Prioritäten der Security-Teams zu legen.
Alle Beteiligten müssen sich eines bewusst machen: Das Risikomanagement ist eine fortlaufende Aufgabe, die alle gemeinsam immer wieder neu angehen müssen. Eine dauerhaft perfekte Lösung dafür zu finden, ist kaum möglich. Deshalb sollten die Teams gemeinsam schauen, was für den jetzigen Zeitpunkt das beste Vorgehen ist. Dann klappt es auch mit der Zusammenarbeit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/3f/82/3f8217982544220806e570c54f4777ac/0129435794v2.jpeg "Hybride Angriffe bewegen sich zwischen Cloud und On-Premises und überfordern fragmentierte Abwehrsysteme, die keine einheitliche Sicht auf beide Umgebungen haben. (Bild: © Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/da/2c/da2c5cde907a3ea7ab1e1d3f5034a611/0129300487v2.jpeg "Viele Menschen nutzen KI-Chatbots wie ChatGPT. Der AI-Incidents-Datenbank zufolge war die KI von OpenAI 2025 an den meisten KI-Vorfällen beteiligt. (Bild: Monkey Business - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/00/09000405d20add869ef4d66901a6cef4/0129520873v1.jpeg "Rolf Schumann (Co-CEO Schwarz Digits), BSI-Präsidentin Claudia Plattner und Christian Müller (Co-CEO Schwarz Digits) vereinbaren eine strategische Partnerschaft (v.li.n.re.). (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/6e/df/6edf77fff0987819b75ea015d2077a91/0128109744v1.jpeg "Wenn Tempo bei der Migration zum offenen Tor wird. Shared Responsibility wird dabei oft missverstanden. Die Autoren erklären, warum Cloud‑Migrationen oft Lücken hinterlassen. (Bild: © scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/25/00/2500a7b46c366256ba5c7b9512f957df/0129482442v2.jpeg "Wer NIS2 als reines IT-Projekt behandelt, wird scheitern. Nur mit ISMS, klaren Verantwortlichkeiten und kontinuierlichen Prozessen gelingt die Compliance. (Bild: © Romolo Tavani - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/60/70/60706f14b8bae3e625f870a9979a78ae/0122914419v2.jpeg "SecOps ist ein ganzheitlicher Ansatz zur Verbesserung der IT-Sicherheit, der auf die enge Zusammenarbeit zwischen IT-Sicherheits- und IT-Betriebsteams setzt.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/d9/56/d956307a598604af7305e6a7c0736147/0124967731v2.jpeg "Wir geben sieben Tipps, wie Verantwortliche durch Prozessorchestrierung und Automatisierung Sicherheitsmaßnahmen effizienter gestalten und Cyberangriffe abwehren. (Bild: © Irina Shi - stock.adobe.com)")