Gemäß einer aktuellen Studie von Accenture erkennen CEOs zwar die Bedeutung der Cybersicherheit für den Erfolg ihrer Unternehmen, jedoch übernimmt nur eine kleine Gruppe von ihnen die Verantwortung in Bezug auf Cyber-Resilienz. Die Unternehmen dieser „cyber-resilienten CEOs“ bewältigen Cyber-Bedrohungen effektiver als ihre Konkurrenten und sind in diesem Bereich führend.
Obwohl seit Jahren in Expertenkreisen Konsens darüber herrscht, dass Cybersicherheit Chefsache sein sollte, scheint diese Einsicht bei vielen Vorstandsvorsitzenden noch nicht angekommen zu sein.
(Bild: Андрей Яланский - stock.adobe.com)
Im Jahr 2019 wurde das Softwarunternehmen SolarWinds Opfer eines Cyberangriffs, der gewaltige Konsequenzen haben sollte: Angreifer nutzten Schwachstellen in der SolarWinds-Software Orion, um Zugriff auf über 18.000 Organisationen zu erlangen, welche die Netzwerkmanagement-Software einsetzten.
Die Auswirkungen dieses sogenannten Supply-Chain-Angriffs waren tiefgreifend, da unter anderem mehrere US-Regierungsbehörden (u.a. US-Finanz-, Heimatschutz- und Außenministerium) unter den Opfern waren. Die US-Börsenaufsicht Securities and Exchange Commission (SEC) erhob am 30. Oktober 2023 Anklage, aber nicht gegen die Angreifer, sondern SolarWinds selbst. Ihr Vorwurf: SolarWinds und dessen Chief Information Security Officer (CISO) Timothy Brown hätten den Aktionären ein falsches Bild des Sicherheitsniveaus des Unternehmens gezeichnet. Während intern auf Mängel in der Software hingewiesen worden sei, gab SolarWinds auf seiner Website an, führende Cybersicherheitsstandards zu befolgen.
Die Anklage, erstmalig in ihrer Art, zeigt, wie ernst Aufsichtsbehörden mittlerweile die Bedrohung durch Cyberrisiken nehmen. Zeitgleich ist sie auch ein Weckruf an Vorstände und CEOs: Die Verantwortung für Cybersicherheit ist kein Randthema, sondern muss ein kritischer Aspekt der Unternehmensführung sein.
CEOs ziehen aus der Bedrohungslage nicht die richtigen Schlüsse
Obwohl seit Jahren in Expertenkreisen Konsens darüber herrscht, dass Cybersicherheit Chefsache sein sollte, scheint diese Einsicht bei vielen Vorstandsvorsitzenden noch nicht angekommen zu sein. Das zeigt ebenfalls die aktuelle Accenture Studie „Cyber-Resilient CEO“ , für die 1.000 CEOs von globalen Großunternehmen über den Grad der Cyber-Resilienz und den Ansatz für Cybersicherheit in ihren Unternehmen befragt wurden. Zwar gaben 96 Prozent der Unternehmenslenker Cybersicherheit als entscheidend für das Wachstum und die Stabilität des Unternehmens an. Doch trotz der hohen Relevanz integriert lediglich ein Bruchteil der Befragten Cybersicherheit von Anfang an in ihre Unternehmensstrategie, Services und Produkte.
Zudem halten 44 Prozent der CEOs bei Cybersicherheit eher ein episodisches Eingreifen anstatt kontinuierliche Aufmerksamkeit vonnöten. Besonders besorgniserregend ist die Aussage von mehr als der Hälfte der CEOs, die die Kosten für die Implementierung von Cybersicherheit höher einschätzen als die Kosten, die aus einem Cyberangriff resultieren. Dabei widerlegen Zahlen und Fakten diesen Irrglauben sehr deutlich: So erlitten deutsche Unternehmen laut Bitkom im Jahr 2023 einen Schaden von 148 Mrd. Euro durch Cyberattacken, während sie gleichzeitig „nur“ 9,2 Mrd. Euro für IT-Sicherheit ausgaben.
Cyberrisiken sind kein reines IT-Problem
Wie lässt sich der Widerspruch zwischen der angegebenen Relevanz von Cyberrisiken für den Unternehmenserfolg auf der einen Seite und den widersprüchlichen Handlungsmaßnahmen, welche die meisten CEOs daraus ziehen, erklären? Eine mögliche Ursache liegt darin, dass die überwiegende Mehrheit (91 Prozent) der Befragten in der Accenture Studie Cybersicherheit als eine überwiegend technische Funktion ansieht, die in die Zuständigkeit des CIO oder des CISOs fällt. CEOs delegieren die Verantwortung somit, anstatt sie selbst zu übernehmen.
Setzt man voraus, dass die Hauptaufgaben eines CEOs darin bestehen, den Unternehmenserfolg zu sichern, regulatorische Konfirmität herzustellen, sowie Risiken vom Unternehmen fernzuhalten, ist in Anbetracht der aktuellen Situation, in der man beinahe täglich von erfolgreichen Angriffen in Deutschland und der Welt erfährt, diese Haltung nur schwer nachvollziehbar. Gerade CEOs sollten eine Antworten darauf haben, wie ihre Unternehmen dieser Gefahr erfolgreich entgegen treten wollen.
Viele Unternehmen werden daher auch erst aktiv, wenn sie bereits angegriffen wurden oder wenn sie durch eine Prüfung von Aufsichtsbehörden zum Handeln gezwungen werden. Diese reaktive Haltung spiegelt sich auch in der Beobachtung der Bankenprüfer der Europäischen Zentralbank (EZB) wider. In ihrem „Aufsichtsnewsletter“ vom November 2023 betonten die Aufseher, dass Banken sich stärker proaktiv gegen Cyber-Risiken schützen müssen, da die während EZB-Prüfungen gefundenen Mängel schwerwiegender und verbreiteter waren als angenommen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Handeln für eine widerstandsfähige Zukunft: Die Agenda für CEO-Verantwortlichkeit
Dass Proaktivität durch die Führungsetage beim Thema Cybersicherheit häufig mit einer besseren Leistung des gesamten Unternehmens einhergeht, zeigt die Accenture Studie ebenso. So wurde eine kleine Gruppe von „cyber-resilient CEOs“ (5 Prozent) identifiziert, die proaktiv handelt und Cybersicherheit in allen Aspekten ihres Unternehmens bewertet. Unternehmen, die von solchen Führungskräften geführt werden, erkennen, begrenzen und beheben Cyber-Bedrohungen schneller als andere Unternehmen. Das führt nicht nur dazu, dass die durchschnittlichen Kosten eines Sicherheitsvorfalls geringer sind. Im Durchschnitt ist auch das Umsatzwachstum dieser Unternehmen um 16 Prozent höher und sie weisen eine um 19 Prozent gesündere Bilanz auf als der Rest.
Diese "cyber-resilienten" CEOs unterscheiden sich dabei in vier Punkten:
1. Sie verankern die Cyber-Resilienz von Anfang an in der Unternehmensstrategie
2. Sie übernehmen gemeinsam Verantwortung in der Führungsetage und pflegen einen sehr engen Austausch mit dem CISO
3. Sie stellen das notwendige Budget bereit, um den digitalen Kern des Unternehmens zu sichern
4. Sie weiten die Cyber-Resilienz über ihre Unternehmensgrenzen hinweg auf Drittdienstleister aus
Cybersicherheit muss Chefsache werden
Trotz der aktuellen Bedrohungslage sowie der Forderung Cybersicherheit in der Vorstandsetage anzusiedeln, ergreifen viele CEOs immer noch nicht die erforderlichen Maßnahmen, um ihre Unternehmen ausreichend zu schützen. Cybersicherheit ist zudem nicht nur für die Stabilität und das Wachstum eines Unternehmens wichtig, sondern wird auch immer mehr zu einem Compliance-Thema für Vorstände, wie die Anklage gegen SolarWinds verdeutlicht.
Diese Verantwortung an CIO oder CISO zu delegieren, ist nicht mehr zeitgemäß und kann weitreichende Auswirkungen für das Unternehmen, aber auch für die eigene Person haben. Unternehmenslenker sollten Cybersicherheit als integralen Bestandteil der Unternehmensführung betrachten und proaktiv handeln, indem sie Strategien entwickeln, Ressourcen bereitstellen und eine Kultur der Cyber-Resilienz im gesamten Unternehmen fördern. Nur so können sie ihre Unternehmen widerstandsfähig gestalten, um den wachsenden und komplexen Herausforderungen der Cyberbedrohungen erfolgreich zu begegnen.
Über den Autor: Thomas Schumacher ist Security Lead DACH bei Accenture.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/40/69/4069a9f596e9cdf246bbe3be2ece1c72/0128896554v2.jpeg "Der WEF Global Cybersecurity Outlook 2026 zeigt, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, indem sie sich auf KI-bezogene Risiken konzentrieren, den Schutz kritischer Infrastrukturen stärken und die Resilienz von Lieferketten verbessern, um mit der Bedrohungslage Schritt zu halten. Auch Quantensicherheit sollte dringend eine Rolle spielen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/83/a08383dc34d23d3f456b1cd2bca63cbf/0124981650v2.jpeg "Indem Unternehmen ihre Sicherheitsarchitektur rationalisieren, Security by Design konsequent umsetzen und Automatisierung sowie CSaaS gezielt einsetzen, schaffen sie eine widerstandsfähige IT-Landschaft, die Innovation und Sicherheit vereint. (Bild: © Limitless Visions - stock.adobe.com)")