Fehlende Sicherheitsstrukturen
Cybersecurity-Report: Verantwortlichkeiten oft unklar
Trotz einer laut BSI „besorgniserregenden“ IT-Sicherheitslage herrscht in vielen Unternehmen Unklarheit über die Zuständigkeit für Cyberabwehr. Das geht aus dem „Cyber Security Report DACH 2025“ hervor, den das Sicherheitsunternehmen Horizon3.ai veröffentlicht hat.
Nur 13 Prozent der befragten Firmen haben einen Chief Information Security Officer (CISO) benannt. In vielen Fällen liegt die Verantwortung bei IT-Teamleitern, CTOs oder CIOs – in einzelnen Fällen sogar beim Einkauf. 22 Prozent der Unternehmen haben die Zuständigkeit auf Positionen wie Administrator oder Systemarchitekt übertragen.
»Verantwortungschaos bei zunehmender Bedrohung«
»Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos auf Unternehmensseite ist unübersehbar«, sagt Dennis Weyel, International Technical Director bei Horizon3.ai. Er empfiehlt Unternehmen, einen CISO als zentrale Sicherheitsinstanz einzusetzen.
Weyel verweist auch auf einen Trugschluss: Rund 30 Prozent der Befragten gaben an, in den letzten zwei Jahren keine Cyberangriffe festgestellt zu haben. »Niemand kann ernsthaft glauben, zwei Jahre lang von Hackern verschont geblieben zu sein«, so Weyel.
Angriffe automatisiert und massenhaft
Laut BSI treten täglich über 300.000 neue Schadprogramme in Umlauf. Ransomware-Angriffe auf mittelständische Unternehmen nehmen zu. Die Täter verschlüsseln Daten und fordern Lösegeld – oft automatisiert und technisch auf hohem Niveau.
Automatisierte Pentests als aktiver Schutzmechanismus
Horizon3.ai betreibt mit NodeZero eine Plattform für automatisierte Penetrationstests (Pentests), mit der Unternehmen regelmäßig kontrollierte Angriffe auf ihre IT-Infrastruktur simulieren können. Aus über 50.000 durchgeführten Tests zeigt sich: In 71 Prozent der Fälle war es möglich, Zugangsdaten zu erlangen. In fast 100.000 Fällen wurden bekannte, aber ungepatchte Sicherheitslücken ausgenutzt.
Weyel sieht in automatisierten Pentests eine zeitgemäße Ergänzung zu klassischen Sicherheitsmaßnahmen: »Aktive Sicherheit bedeutet, regelmäßig reale Angriffsversuche zu simulieren, statt nur auf Schutzsysteme zu vertrauen.«
Automatisierung steigert Frequenz – und Sicherheit
Trotz der Bedrohung führt nur rund die Hälfte der Unternehmen Pentests durch. Lediglich 13 Prozent setzen dafür automatisierte Systeme ein. 38 Prozent vertrauen auf manuelle Tests, meist über externe Dienstleister.
»Manuelles Testen ist nicht nur aufwändiger, sondern wird auch seltener durchgeführt – mit negativen Folgen für das Sicherheitsniveau«, erklärt Weyel. Nur durch kostengünstige, automatisierte Verfahren lasse sich die nötige Testfrequenz sicherstellen – angesichts von rund 70 neu entdeckten Software-Schwachstellen täglich ein kritischer Faktor.
***
Grundlage des aktuellen Reports ist eine Befragung von 300 Führungskräften, überwiegend aus mittelständischen Unternehmen.
Lesen Sie mehr zum Thema
