Studie: Höhere Security-Budgets laufen ohne geschäftlichen Kompass ins Leere
Trotz steigender Budgets und wachsender Aufmerksamkeit in Vorstandsetagen erweist sich das Cyber-Risikomanagement vieler Unternehmen als lückenhaft. Eine aktuelle Studie von Qualys und Dark Reading zeigt: Ohne klaren geschäftlichen Kontext bleiben Risiken abstrakt – und Schutzmaßnahmen oft wirkungslos.
Die Befragung von über 100 IT- und Security-Verantwortlichen offenbart ein zentrales Dilemma: Zwar verfügen 49 Prozent der Unternehmen über ein formelles Programm zum Management von Cyberrisiken, doch nur 30 Prozent priorisieren Risiken entlang konkreter Geschäftsziele. Statt potenzieller Umsatzverluste oder Reputationsrisiken stehen oft abstrakte Kennzahlen im Vordergrund. Das macht viele Sicherheitsentscheidungen schwer vermittelbar – sowohl intern als auch auf Vorstandsebene.
Ein weiteres Problem ist die unzureichende Transparenz über die digitale Infrastruktur. Nur 13 Prozent der Befragten können ihre IT-Assets kontinuierlich und automatisiert inventarisieren. Fast die Hälfte arbeitet noch mit manuellen Prozessen, was zu unvollständigen Daten, blinden Flecken und ineffizientem Ressourceneinsatz führt. Die Folge: Investitionen in Sicherheit zeigen oft keinen klaren Return on Investment.
Fehlende Priorisierung und schwache Kommunikation
Obwohl viele Unternehmen massiv in Cybersicherheit investieren, empfinden 71 Prozent der Befragten die Bedrohungslage als gleichbleibend hoch oder sogar zunehmend. Das liegt unter anderem an fehlender Priorisierung. Schwachstellen werden isoliert bewertet, Sicherheitslücken nach technischen Scores (wie dem Common Vulnerability Scoring System, kurz: CVSS) gewichtet – ohne Rücksicht auf ihre geschäftliche Relevanz. Dabei wäre genau dieser Kontext entscheidend: Welche Systeme sind für das operative Geschäft kritisch? Welche Risiken bedrohen sensible Kundendaten? Und welche Schutzmaßnahmen bieten den größten Hebel?
Hinzu kommt eine Kommunikationslücke: Nur 14 Prozent der Unternehmen verknüpfen ihre Cyberrisikoberichte mit finanziellen Kennzahlen. Und lediglich 22 Prozent binden ihre Finanzabteilungen aktiv in das Risikomanagement ein. Damit fehlt vielen Führungskräften die Entscheidungsgrundlage, um IT-Risiken als Teil der Gesamtstrategie zu verstehen und richtig zu bewerten.
Neuer Blick auf Risiken: Business statt Technik
Die Studie fordert einen grundlegenden Perspektivwechsel: Weg von rein technischen Bewertungen, hin zu einem risikoorientierten Blick auf geschäftliche Auswirkungen. Konzepte wie das von Qualys vorgestellte Risk Operations Center (ROC) setzen genau hier an. Sie vereinen Risikodaten aus allen relevanten Quellen und machen diese in Echtzeit sichtbar, verständlich und steuerbar.
Kernstück ist die kontinuierliche Erkennung, Bewertung und Steuerung von Risiken auf Basis kontextualisierter Echtzeitdaten: Damit werden technische Schwachstelleninformationen in geschäftsrelevante Risikokennzahlen übersetzt –Grundlage für eine Priorisierung nach unternehmensstrategischen Kriterien. So lässt sich nicht nur erkennen, wo Risiken lauern, sondern auch, welche davon echten wirtschaftlichen Schaden verursachen könnten – und wie dringend sie behandelt werden müssen.
Fazit: Cyberrisiken brauchen geschäftlichen Kontext
Die Zahlen der Studie sind ein Weckruf. Wer Cybersicherheit als reine Technikdisziplin behandelt, läuft Gefahr, falsche Prioritäten zu setzen – oder Gefahren zu übersehen, die dem Unternehmen teuer zu stehen kommen können. Erst durch eine risikobasierte, kontextbezogene Betrachtung wird Sicherheit zum strategischen Steuerungsinstrument. Oder wie es eine Führungskraft im Bericht auf den Punkt bringt: „Wir brauchen weniger CVSS – und mehr Klartext.“
Den vollständigen Bericht “State of Cyber Risk 2025” gibt es hier.
Weitere Artikel zum Thema:
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
