Eine internationale Studie eines Cybersecurity-Unternehmens unter 750 IT-Sicherheitsexperten aus Europa und den USA zeigt eine deutliche Diskrepanz zwischen wahrgenommener und tatsächlicher Cybersicherheit. Viele Organisationen investieren massiv in Tools, Automatisierung und Sicherheitsprozesse, überprüfen jedoch selten, ob Schwachstellen nach dem Patchen wirklich beseitigt wurden. Führungskräfte vertrauen auf EDR-Systeme und Security Operations Center, operative Fachkräfte kritisieren fehlende Validierungen und seltene Praxistests. Zudem werden bekannte Schwachstellen oft erst Tage nach Warnmeldungen geprüft. Kennzahlen messen meist Geschwindigkeit statt tatsächlicher Widerstandsfähigkeit gegen reale Angriffe.
Unternehmen investieren massiv in Cybersicherheit, messen ihren Erfolg jedoch häufig an den falschen Kriterien. Das zeigt eine aktuelle internationale Studie der Cybersecurityfirma Horizon3.ai. Diese basiert auf einer Umfrage unter 750 IT-Sicherheitsexperten aus Europa und den USA. Hierbei wurden sowohl Sicherheitsverantwortliche als auch operative Fachkräfte adressiert. Ziel war es, Unterschiede zwischen strategischer Einschätzung und operativer Realität sichtbar zu machen.
Die Umfrage hat einen grundlegenden Befund zutage gefördert: Viele Organisationen verwechseln operative Aktivität mit tatsächlicher Widerstandsfähigkeit gegenüber Angreifern. Sicherheitsprogramme sind hochgradig ausgelastet, Prozesse etabliert und Kennzahlen umfassend vorhanden. Gleichzeitig fehlt es häufig an systematischer Überprüfung, ob erkannte Schwachstellen wirklich beseitigt wurden oder ob Angriffe weiterhin möglich sind.
«Viele Unternehmen haben in den vergangenen Jahren stark in Tools, Prozesse und Automatisierung investiert. Das ist wichtig – reicht aber allein nicht aus»
sagt James Lee, Regional Director DACH bei Horizon3.ai. «Entscheidend ist, regelmäßig zu überprüfen, ob Sicherheitsmaßnahmen einem realen Angriff tatsächlich standhalten. Genau hier zeigt die Studie eine gefährliche Lücke zwischen wahrgenommener Sicherheit und tatsächlicher Widerstandsfähigkeit.»
Hohe Sicherheit im Management, nicht bei den Systemen
So gaben in der Umfrage 93 Prozent der IT-Sicherheitsverantwortlichen an, nachweisen zu können, dass ihr Unternehmen angemessene und überprüfte Maßnahmen ergriffen hat, um einen Sicherheitsvorfall zu verhindern. 97 Prozent sind überzeugt, dass ihre Endpoint-Sicherheitslösungen seitliche Bewegungen oder Privilegieneskalationen erkennen würden. 96 Prozent glauben, dass ihr Security Operations Center einen Angreifer innerhalb der eigenen IT-Umgebung identifizieren könnte.
Aber: Nicht einmal ein Drittel (30 Prozent) sagen, dass ihre Unternehmen nach dem Patchen von Sicherheitslücken auch testen, ob das Risiko tatsächlich beseitigt wurde. Fast die Hälfte spielt zwar Patches ein, überprüft anschließend aber lediglich erneut mit einem Schwachstellenscanner allgemein die Sicherheit. Nur 12 Prozent haben eigenen Angaben zufolge die Wirksamkeit ihrer EDR-Lösungen (Endpoint Detection & Response) in den letzten drei Monaten überprüft. Lediglich 26 Prozent nutzen Red-Teaming-Übungen oder Penetrationstests, um die Erkennungsfähigkeit ihres Security Operations Centers (SOC) zu bewerten. Unter den Fachkräften geht ein Drittel davon aus, dass die Ergebnisse von Scannern korrekt sind, ohne sie weiter zu prüfen, und 17 Prozent validieren die Ergebnisse überhaupt nicht.
Verzögerungen bei aktiv ausgenutzten Schwachstellen
Auch bei bekannten, aktiv ausgenutzten Schwachstellen zeigt sich eine ähnliche Verzögerung. Nur elf Prozent der Befragten berichten, dass sie innerhalb von 24 Stunden nach einer Warnung von CISA (Cybersecurity and Infrastructure Security Agency) oder ENISA (European Union Agency for Cybersecurity) überprüfen oder patchen. Viele benötigen eine Woche oder länger, um festzustellen, ob sie betroffen sind.
Das Muster ist eindeutig, heißt es im Report von Horizon3ai: Sicherheitsprogramme sind auf das Abarbeiten von Prozessen ausgerichtet – scannen, patchen, erneut scannen, abschließen. Erkennungssysteme werden eingesetzt und überwacht, und durch Automatisierung steigt die Geschwindigkeit. Was jedoch überwiegend fehlt, ist die tatsächliche Überprüfung der Wirksamkeit.
Hohe Zuversicht – geringe Überprüfung
Besonders auffällig ist laut Umfrage die Diskrepanz zwischen Wahrnehmung und Realität. Führungskräfte zeigen sich überwiegend überzeugt von der Leistungsfähigkeit ihrer Sicherheitsmaßnahmen. In der operativen Praxis hingegen sehen viele Fachkräfte weiterhin erhebliche Risiken. Diese unterschiedliche Einschätzung beeinflusst Entscheidungen über Budgets, Prioritäten und Reaktionsgeschwindigkeit – und führt häufig dazu, dass reale Gefahren unterschätzt werden.
Patchen ersetzt keine Sicherheit
Ein zentrales Problem liegt im Umgang mit Schwachstellen, schreibt Horizon3.ai in dem Report. In vielen Unternehmen gilt ein Problem als gelöst, sobald ein Patch eingespielt und ein Ticket geschlossen wurde. Ob die zugrunde liegende Sicherheitslücke tatsächlich nicht mehr ausnutzbar ist, wird hingegen deutlich seltener überprüft. Damit entsteht eine trügerische Sicherheit: Prozesse werden korrekt abgearbeitet, während potenzielle Angriffspfade bestehen bleiben können.
Erkennungssysteme werden selten unter Realbedingungen getestet
Auch bei der Angriffserkennung zeigt sich laut Umfrage ein ähnliches Muster. Moderne Sicherheitslösungen sind weit verbreitet und werden kontinuierlich überwacht. Dennoch fehlt häufig die systematische Überprüfung unter realistischen Bedingungen. Ohne gezielte Tests bleibt unklar, ob Angriffe tatsächlich rechtzeitig erkannt und gestoppt werden – oder erst dann sichtbar werden, wenn der Schaden bereits entstanden ist.
KI beschleunigt Prozesse – ersetzt aber keine Kontrolle
Der Einsatz von Künstlicher Intelligenz nimmt in der Cybersicherheit deutlich zu. Automatisierte Systeme helfen dabei, Schwachstellen schneller zu priorisieren, Tickets zu bearbeiten und Maßnahmen umzusetzen. Doch auch hier zeigt sich im Report: Geschwindigkeit ersetzt keine Wirksamkeit. Ohne unabhängige Validierung bleibt offen, ob automatisierte Entscheidungen tatsächlich zu einer Reduktion des Risikos führen.
Kennzahlen messen Tempo, nicht Wirkung
Viele IT-Organisationen orientieren sich an klassischen Leistungskennzahlen wie Bearbeitungszeiten oder Anzahl geschlossener Vorgänge. Diese Werte zeigen, wie schnell gearbeitet wird – nicht jedoch, ob ein Angriff verhindert werden kann. Der eigentliche Erfolgsmaßstab, nämlich die tatsächliche Widerstandsfähigkeit gegenüber Angreifern, wird deutlich seltener erfasst.
Neue Priorität: Nachweis statt Annahme
Horizon3.ai spricht in der Studie von einem Paradigmenwechsel bei der Cybersicherheit. Entscheidend ist künftig nicht mehr, wie viele Maßnahmen umgesetzt werden, sondern ob diese nachweislich wirken. Unternehmen stehen vor der Aufgabe, ihre Sicherheitsstrategien stärker an realen Angriffsszenarien auszurichten und regelmäßig zu überprüfen, ob ihre Systeme diesen standhalten.
Hierzu heißt es im Report: Cybersicherheit befindet sich an einem Wendepunkt. Organisationen haben ihre Prozesse professionalisiert und ihre Systeme ausgebaut. Doch der entscheidende Schritt steht noch aus: der Übergang von angenommener Sicherheit zu nachweisbarer Widerstandsfähigkeit. In einer Bedrohungslandschaft, in der Angreifer gezielt Schwachstellen kombinieren und bestehende Systeme umgehen, wird genau diese Fähigkeit zum entscheidenden Wettbewerbsvorteil.
