alphaspirit.it – shutterstock.com
Viele Sicherheitsverantwortliche glauben, dass ein Cybervorfall unvermeidlich ist – unklsar ist lediglich der Zeitpunkt. Diese Überzeugung spiegelt sich in der gängigen Redewendung wider, dass es nicht darum geht, „ob“, sondern „wann“ ein Angriff erfolgt.
Eine wachsende Zahl von CISOs rechnet jedoch eher früher als später mit einem Vorfall: Im Voice of the CISO Report 2025 von Proofpoint gaben rund 76 Prozent der Befragten an, dass sie sich in den nächsten 12 Monaten einem erheblichen Cyberangriff ausgesetzt sehen. Im Vorjahr lag dieser Wert noch bei 70 Prozent.
Zudem glauben 58 Prozent der befragten CISOs, dass ihr Unternehmen nicht darauf vorbereitet ist. Neben dem allgemeinen Gefühl, dass ein Angriff fast unvermeidlich ist, räumen die Sicherheitschefs ein, dass verschiedene Herausforderungen sie bei ihren Aufgaben behindern. In erster Linie sehen sie bei ihrer Arbeit vier Probleme:
1. Teammitglieder werden nicht ausreichend befähigt, nach Prioritäten zu handeln
Viele CISOs geben offen zu, dass ihre Sicherheitsteams mehr Arbeit haben, als sie bewältigen können. Das führt zu viel Stress: Im 2025 CISO Pressure Index von Nagomi Security bekundeten rund 80 Prozent der CISOs, dass sie derzeit unter hohem oder extremem Druck stünden , BBei 87 Prozent hat der Druck bei in den vergangenen 12 Monaten zugenommen. Darüber hinaus geben 67 Prozent Befragten an, wöchentlich oder täglich ausgebrannt zu sein.
„Jeder CISO fühlt sich stark überfordert“, bestätigt Omar Khawaja, Leiter des Bereichs Field Security bei Databricks. „Um damit fertig zu werden, haben die CISOs gelernt, Prioritäten zu setzen.“ Bei den meisten stehe ganz oben auf ihrer Liste, die größten Risiken für das Unternehmen zu reduzieren, so Khawaja.
„Allzu oft schulen CISOs ihre Teammitglieder jedoch nicht, damit sie kompetente Entscheidungen treffen und Maßnahmen ergreifen können, die mit diesen Prioritäten übereinstimmen“, so der ehemalige CISO bei Highmark Health.Dadurch müssten Führungskräfte weiterhin alle Prioritätsentscheidungen treffen, was das gesamte Team verlangsamen würde.
CISOs sollten darauf hinarbeiten, dass ihre Teammitglieder wissen, wann und wie sie Prioritäten für ihre eigenen Arbeitsbereiche setzen müssen, „damit sich jedes einzelne Team auf die wichtigsten Dinge konzentriert“, fügt Khawaja hinzu.
„Dazu müssen Sie klare Mechanismen und Anweisungen für die Entscheidungsunterstützung schaffen“, erklärt er. „Es sollte Kriterien oder Faktoren geben, die festlegen, ob etwas vom Sicherheitsteam eine hohe, mittlere oder niedrige Priorität hat. Denn dann kann jedes Teammitglied jede Anfrage, die bei ihm eingeht, prüfen und sie sicher und effektiv priorisieren.“
2. Mit der Innovation und Einführung von KI nicht Schritt halten
Führungskräfte und Mitarbeiter haben sich gleichermaßen beeilt, künstliche Intelligenz einzusezten, angelockt von der Erwartung, dass KI Arbeitsabläufe verändern und Zeit, Geld sowie Aufwand sparen wird.
Die meisten CISOs haben jedoch mit der Geschwindigkeit der KI-Einführung durch ihre Geschäftskollegen nicht Schritt gehalten.
Laut einer Umfrage unter 921 IT- und Cybersicherheitsexperten im Rahmen des 2025 State of AI Data Security Report von Cyera nutzen 83 Prozent der Unternehmen KI. Aber nur 13 Prozent haben einen guten Überblick darüber, inwieweitdiese Systeme auf sensible Daten zugreifen oder wie sie mit ihnen umgehen; lediglich 16 Prozent behandeln KI als eigenständige Identität; nur elf Prozent der Unternehmen können riskante KI-Aktivitäten automatisch blockieren; und nur sieben Prozent verfügen über ein spezielles KI-Governance-Team.
„Die meisten CISOs kämpfen mit der Frage, wie sie die KI-Nutzung absichern können”, betont Robert T. Lee, Chief AI Officer und Forschungsleiter bei SANS.
Laut Lee verbieten viele CISOs aufgrund von Sicherheitsbedenken immer noch vorgeschlagene KI-Anwendungsfälle – was er als „Security Framework of No” bezeichnet – oder verlangsamen die Einführung, während sie die Sicherheit der KI bewerten.
„Es herrscht ein allgemeiner Mangel an Wissen darüber, wie man mit KI umgehen soll“, so Lee. „Fairerweise muss man sagen, dass die Unternehmen den CISOs hier nicht immer helfen“, bemerkt der Experte.
Ein anderer Punkt ist die häufig wechselnde KI-Strategie in vielen Unternehmen. „Eine neue KI-Version kommt heraus, und schon ändert sich die Agenda, und einen Monat später kommt etwas Neues heraus, und schon ändert sie sich wieder. Es ist also ein bewegliches Ziel, das das Sicherheitsteam schützen soll“, erklärt Lee.
Unabhängig davon ist es laut Lee klar, dass die Unfähigkeit des Sicherheitsteams, mit den KI-Innovationen Schritt zu halten, und der Wunsch des Unternehmens nach einer schnellen Einführung problematisch sind. „Indem es die Transformation verlangsamt, behindert dies nicht nur die Agenda des Unternehmens“,so der KI-Experte. „Es verhindert auch den Erfolg der Sicherheitsabteilung, da das Unternehmen oft die Security komplett umgeht, anstatt seine KI-Entwicklung zu verlangsamen oder zu stoppen.“
Infolgedessen sähen sich CISOs und ihre Unternehmen letztendlich mit Schatten-KI, unkontrollierten Agenten und undurchsichtigen Datenflüssen konfrontiert, die zu einem schlecht gesicherten, erweiterten Angriff führen, fügt Lee hinzu.
Natürlich besteht nach wie vor die Notwendigkeit, KI-Implementierungen angemessen zu bewerten und zu sichern, betont er und ergänzt, dass Unternehmen nicht einfach die Zusicherungen der Anbieter akzeptieren sollten, dass ihre KI-Komponenten sicher sind.
Nach Ansicht von Lee verfolgen CISOs, die mit der KI-Strategie ihrer Organisation Schritt halten, einen ganzheitlichen Ansatz, anstatt von Einsatz zu Einsatz zu arbeiten. Sie erstellen ein Risikoprofil für bestimmte Daten, sodass die Sicherheitsabteilung nicht viel Zeit mit der Bewertung von KI-Implementierungen verbringen muss und sich stattdessen auf KI-Anwendungsfälle konzentrieren kann, die Daten mit mittlerem oder hohem Risiko erfordern.
Außerdem würden sie einzelnen Abteilungen Sicherheitsmitarbeiter zuweisen, um den KI-Bedarf im Blick zu behalten. Zudem würden Sicherheitsteams in den Fähigkeiten geschult, die zur Bewertung und Sicherung von KI-Initiativen erforderlich sind.
3. Begrenzte Einführung von KI für Sicherheitsmaßnahmen
Wie ihre Kollegen aus dem Business setzen auch einige CISOs auf KI, um ihre Abläufe zu transformieren – doch trotz der Vorteile, die diese Technologie für die Cybersicherheit mit sich bringt, scheinen sie bei weitem nicht die Mehrheit zu bilden.
Die 2025 ISC2 Cybersecurity Workforce Study zeigt, dass nur 28 Prozent der 16.000 befragten Unternehmensleiter KI-Tools in ihre Sicherheitsabläufe integriert hatten. Die Studie ergab, dass 19 Prozent sie testeten und 22 Prozent sich in der frühen Evaluierungsphase befanden.
„CISOs haben etwas Aufholbedarf, wenn es darum geht, KI mit der gleichen Geschwindigkeit wie das Business einzusetzen“, betont Jon France, CISO von ISC2, einer Organisation für Cybersicherheitsschulungen und -zertifizierungen.
Dieses langsame Tempo bestehe fort, obwohl sich der Einsatz von KI in Sicherheitsabläufen als vorteilhaft erweist, fügt France hinzu und merkt an, dass 63 Prozent derjenigen, die KI-Sicherheitstools einsetzen, von einer deutlichen Steigerung ihrer Produktivität berichten.
In der ISC2-Studie gaben 40 Prozent der CISOs an, dass KI in kürzester Zeit den größten Einfluss auf Cybersicherheitsmaßnahmen haben wird, gefolgt von Sicherheitsmaßnahmen und Sicherheitstests (beide 30 Prozent), Schwachstellenmanagement (29 Prozent), Bedrohungsmodellierung und Endpunktschutz (beide 28 Prozent).
4. Mangel an benötigten Talenten und erforderlichen Fähigkeiten
CISOs berichten zwar schon seit langem von Schwierigkeiten bei der Einstellung ausreichend qualifizierter Sicherheitsmitarbeiter. Inzwischen sehen sie dieses Problem jedoch zunehmend als zentrales Hindernis für die Umsetzung ihrer Sicherheitsagenda.
In der Studie „2025 State of Cybersecurity Resilience” von Accenture identifizierten 83 Prozent der IT-Führungskräfte den Mangel an Cybertalenten „als großes Hindernis für die Erreichung einer starken Sicherheitslage”.
Das Problem ist dabei laut ISC2-Studie zweigeteilt:
Zunächst ist da der Fachkräftemangel: 63 Prozent der Befragten gaben 2025 an, dass sie einen leichten oder erheblichen Mangel an Cybersicherheitskräften haben, immerhin eine leichte Verbesserung gegenüber den 68 Prozent im Vorjahr.
Zweitens wächst die Qualifikationslücke. Dem Bericht zufolge haben 59 Prozent im Jahr 2025 einen kritischen oder erheblichen Bedarf an bestimmten Fähifkeiten (2024: 44 Prozent). 95 Prozent berichten von mindestens einem Skill-Bedarf – 5 Prozent mehr als im Vorjahr. Als dringendste Kompetenz nannten die Befragten KI-Know-how (41 Prozent), gefolgt von Cloud-Sicherheit (36 Prozent), Risikobewertung (29 Prozent), Anwendungssicherheit (28 Prozent), Sicherheitstechnik und Governance (27 Prozent) sowie Risiko und Compliance (ebenfalls 27 Prozent).
„Wir brauchen Menschen, die in der Lage sind, die Aufgaben von modernen Sicherheitsfunktionen zu erfüllen“, so France.
Auch Khawaja nennt den Mangel an „den richtigen Fähigkeiten im Sicherheitsteam“ als Hindernis für den Erfolg von CISOs. Er sieht die Herausforderung jedoch weniger im Fehlen von technischen Fähigkeiten oder sogar Soft Skills, sondern in sogenannten „Middle Skills“, etwa Risikomanagement und Change Management.
Diese Fähigkeiten werden nach Meinung von Khawaja immer wichtiger, um die Sicherheit besser mit dem Business zu verzahnen, die Benutzer zur Akzeptanz von Sicherheitsprotokollen zu bewegen und letztendlich die Sicherheitslage des Unternehmens zu verbessern. „Fehlen diese Fähigkeiten, kann das Sicherheitsteam nur begrenzt etwas ausrichten.”
Obwohl CISOs mit Arbeitsmarktbedingungen zu kämpfen haben, die weit außerhalb ihrer direkten Kontrolle und ihres Einflussbereichs liegen, gibt es laut Khawaja andere Maßnahmen, mit denen sie dem Mangel an Talenten und Fähigkeiten begegnen können. „Eine klare Talentstrategie, die sich auf die Einstellung von Mitarbeitern mit bestimmten Fähigkeiten und Kompetenzen konzentriert, kann CISOs dabei helfen, das zu bekommen, was sie zur Umsetzung ihrer Sicherheitsagenda benötigen.“ (jm)