Unternehmen messen Cybersicherheit häufig an den falschen Kennzahlen
Viele Unternehmen investieren Millionen in Cybersicherheit und moderne Schutzsysteme. Eine aktuelle Studie zeigt jedoch: Häufig wird nur gemessen, wie schnell Prozesse laufen – nicht, ob Angriffe tatsächlich verhindert werden können. Dadurch entsteht oft eine gefährliche Diskrepanz zwischen wahrgenommener Sicherheit und realer Widerstandsfähigkeit gegen Cyberangriffe.
Das Wichtigste auf einen Blick
- 93 Prozent der Sicherheitsverantwortlichen sehen ausreichende Schutzmaßnahmen als nachgewiesen an
- Nur 30 Prozent testen nach dem Patchen, ob Risiken tatsächlich beseitigt wurden
- Lediglich 12 Prozent überprüften ihre EDR-Lösungen in den vergangenen drei Monaten
Viele Unternehmen verfügen inzwischen über umfangreiche Sicherheitsprogramme, automatisierte Prozesse und moderne Schutzlösungen. Dennoch zeigt eine internationale Umfrage von Horizon3.ai, dass zwischen wahrgenommener Sicherheit und tatsächlicher Widerstandsfähigkeit gegen Angriffe häufig eine deutliche Lücke besteht. Für die Studie wurden 750 IT-Sicherheitsexperten aus Europa und den USA befragt – darunter sowohl Führungskräfte als auch operative Fachkräfte.
Die Ergebnisse verdeutlichen, dass zahlreiche Organisationen vor allem messen, wie schnell Prozesse abgearbeitet werden, nicht jedoch, ob Sicherheitsmaßnahmen unter realen Bedingungen tatsächlich funktionieren. Besonders für mittelständische Unternehmen ist das relevant, da knappe Ressourcen häufig in Tools und Automatisierung fließen, während die praktische Überprüfung der Wirksamkeit zu kurz kommt.
„Viele Unternehmen haben in den vergangenen Jahren stark in Tools, Prozesse und Automatisierung investiert. Das ist wichtig – reicht aber allein nicht aus. Entscheidend ist, regelmäßig zu überprüfen, ob Sicherheitsmaßnahmen einem realen Angriff tatsächlich standhalten. Genau hier zeigt die Studie eine gefährliche Lücke zwischen wahrgenommener Sicherheit und tatsächlicher Widerstandsfähigkeit“, sagt James Lee, Regional Director DACH bei Horizon3.ai.
Hohe Zuversicht im Management – begrenzte Validierung in der Praxis
Die Studie zeigt zunächst ein hohes Maß an Vertrauen in bestehende Sicherheitsmaßnahmen. So geben 93 Prozent der IT-Sicherheitsverantwortlichen an, nachweisen zu können, dass ihr Unternehmen angemessene und überprüfte Maßnahmen zur Verhinderung von Sicherheitsvorfällen umgesetzt hat. Zudem sind 97 Prozent überzeugt, dass ihre Endpoint-Sicherheitslösungen seitliche Bewegungen oder Privilegieneskalationen erkennen würden. Weitere 96 Prozent glauben, dass ihr Security Operations Center Angreifer innerhalb der eigenen IT-Umgebung identifizieren könnte.
In der operativen Praxis zeigt sich jedoch ein anderes Bild. Nur 30 Prozent der Befragten überprüfen nach dem Patchen von Schwachstellen auch, ob das Risiko tatsächlich beseitigt wurde. Fast die Hälfte beschränkt sich darauf, nach dem Einspielen von Patches erneut einen allgemeinen Schwachstellenscan durchzuführen. Gleichzeitig haben lediglich 12 Prozent die Wirksamkeit ihrer EDR-Lösungen in den vergangenen drei Monaten getestet.
Red-Teaming und Penetrationstests bleiben selten
Auch realitätsnahe Sicherheitstests kommen vergleichsweise selten zum Einsatz. Lediglich 26 Prozent nutzen Red-Teaming-Übungen oder Penetrationstests, um die Erkennungsfähigkeit ihres Security Operations Centers zu bewerten. Unter den operativen Fachkräften verlässt sich zudem ein Drittel auf die Ergebnisse automatisierter Scanner, ohne diese weiter zu validieren. Weitere 17 Prozent prüfen die Resultate überhaupt nicht.
Gerade im Mittelstand kann dies problematisch werden. Viele Unternehmen verfügen zwar über moderne Sicherheitswerkzeuge, gleichzeitig fehlen jedoch oft Zeit, Personal oder etablierte Prozesse, um Sicherheitsmaßnahmen regelmäßig unter realistischen Bedingungen zu testen.
Bekannte Schwachstellen werden oft zu spät geprüft
Ein weiteres Risiko zeigt sich beim Umgang mit aktiv ausgenutzten Sicherheitslücken. Nur elf Prozent der Befragten geben an, innerhalb von 24 Stunden nach einer Warnung durch CISA oder ENISA zu überprüfen oder zu patchen. Viele Unternehmen benötigen hingegen eine Woche oder länger, um zunächst festzustellen, ob sie überhaupt betroffen sind.
Damit entsteht laut Studie ein strukturelles Problem: Sicherheitsprogramme orientieren sich häufig an klar definierten Abläufen wie Scannen, Patchen und erneuten Scans. Ob Angriffe anschließend tatsächlich verhindert werden können, bleibt dagegen vielfach ungeprüft.
Automatisierung und KI ersetzen keine Wirksamkeitskontrolle
Der zunehmende Einsatz von Künstlicher Intelligenz beschleunigt viele Prozesse in der Cybersicherheit. Automatisierte Systeme helfen dabei, Schwachstellen schneller zu priorisieren, Tickets zu bearbeiten oder Gegenmaßnahmen einzuleiten. Gleichzeitig macht die Studie deutlich, dass höhere Geschwindigkeit nicht automatisch zu höherer Sicherheit führt.
Ohne unabhängige Validierung bleibt oft unklar, ob automatisierte Entscheidungen tatsächlich Risiken reduzieren oder lediglich bestehende Prozesse beschleunigen. Viele Unternehmen messen daher vor allem Bearbeitungszeiten oder die Anzahl geschlossener Vorgänge. Die eigentliche Frage – ob ein Angriff erfolgreich verhindert werden kann – wird dagegen deutlich seltener systematisch überprüft.
Für mittelständische Unternehmen bedeutet das vor allem eines: Sicherheitsstrategien sollten nicht nur auf Compliance und Prozessgeschwindigkeit ausgerichtet sein, sondern stärker auf überprüfbare Widerstandsfähigkeit gegenüber realen Angriffsszenarien.
Die vollständige Studie können Sie hier herunterladen
Bildnachweis: Depositphotos.com/titima157@gmail.com
Kommentare