Der 2026 CISO-Report, den Cybersecurity Ventures in Zusammenarbeit mit Sophos veröffentlicht hat, verdeutlicht ein entscheidendes Ungleichgewicht in der globalen Cybersicherheit. Trotz jahrzehntelanger Fortschritte und der fast flächendeckenden Einführung von CISO-Positionen in Fortune-500- und Global-2000-Unternehmen gibt es weltweit nach wie vor nur 35.000 CISOs, die schätzungsweise 359 Millionen Unternehmen betreuen.
„Das sind keine guten Aussichten. Das ist ein Marktversagen. Das Cybersicherheits-Ökosystem hat noch nicht herausgefunden, wie diese Lücke geschlossen werden kann. Wir haben jetzt das Potenzial, dies zu tun“, sagt Joe Levy, CEO von Sophos.
Die Rolle des Chief Information Security Officer (CISO) beschreibt die oberste Instanz für Informationssicherheit in einem Unternehmen. Sie umfasst die Entwicklung der Risikostrategie, die Priorisierung von Sicherheitsinvestitionen sowie die Vorbereitung auf Bedrohungen wie Ransomware, Angriffe auf die Lieferkette oder KI-gestützte Attacken. Genau diese Ebene fehlt jedoch vielen Organisationen.
Cybersecurity – Eine Lücke mit Folgen
Ein Blick in die Daten des Reports zeigt, wie sich dieses Ungleichgewicht konkret ausprägt: Rund 35.000 CISOs stehen weltweit 359 Millionen Unternehmen gegenüber. Gleichzeitig erwägen 75 Prozent der Sicherheitsverantwortlichen einen Jobwechsel. Parallel gewinnen MSPs und MSSPs an Bedeutung, um fehlende Kapazitäten auszugleichen. Dahinter wird ein strukturelles Problem sichtbar, das über den reinen Fachkräftemangel hinausgeht.
Steigende Risiken, begrenzte Ressourcen
Die Bedrohungslage verschärft sich weiter. Gleichzeitig steigen die wirtschaftlichen Schäden durch Cyberangriffe deutlich an. Prognosen gehen davon aus, dass die globalen Kosten bis 2031 auf mehr als 11 Billionen Euro jährlich anwachsen – das entspricht einer Verdopplung gegenüber 2021.
Allein Ransomware entwickelt sich zu einem massiven Kostenfaktor: Für 2026 werden weltweit Schäden in zweistelliger Milliardenhöhe erwartet, mit weiter stark steigender Tendenz in den Folgejahren.
Unternehmen ohne entsprechende Expertise auf Führungsebene sind dadurch besonders anfällig für Betriebsstörungen, wirtschaftliche Verluste und Reputationsschäden.
KMU besonders betroffen
Kleine und mittlere Unternehmen stehen unter besonderem Druck. Sie stellen den Großteil der globalen Wirtschaft, verfügen jedoch selten über eigene Sicherheitsverantwortliche auf CISO-Ebene.
Ein erfahrener CISO kostet häufig zwischen 218.000 und 348.000 Euro pro Jahr. Für viele Unternehmen ist das wirtschaftlich nicht darstellbar. Externe Modelle wie virtuelle CISOS (vCISOs) können unterstützen, sind jedoch nur begrenzt skalierbar.
„Die Herausforderung bei den derzeitigen vCISO-Angeboten besteht darin, dass die personellen Kapazitäten nicht unbegrenzt skalierbar sind“, sagt Raja Patel, President of Product & Marketing bei Sophos.
Die Folgen sind deutlich: Vier von fünf kleinen Unternehmen waren im vergangenen Jahr von Sicherheitsvorfällen betroffen, ein erheblicher Teil mit Schäden in sechsstelliger Höhe.
Auch CISOs stehen unter Druck
Selbst in Unternehmen mit eigener CISO-Funktion zeigt sich eine hohe Belastung. 75 Prozent der Sicherheitsverantwortlichen denken über einen Wechsel nach, nahezu alle leisten regelmäßig Überstunden.
Hinzu kommen steigende rechtliche Risiken und ein Arbeitsmarkt, in dem qualifizierte Fachkräfte weiterhin knapp sind. Die durchschnittliche Verweildauer von 18 bis 26 Monaten zeigt, wie schwer diese Rolle langfristig zu etablieren ist.
Skalierung über Partner
Der Report zeigt eine Entwicklung, die sich bereits in vielen Unternehmen abzeichnet: Managed-Services-Provider (MSPs) und Managed-Security-Service-Provider (MSSPs) übernehmen zunehmend auch strategische Aufgaben.
„Ebenso wie sich bei Managed-Detection and Response gezeigt hat, dass sich Sicherheitsabläufe am besten über Dienste skalieren lassen, lässt sich die Führungsrolle im Sicherheitsbereich am besten über Partner skalieren“, heißt es im Bericht.
Joe Levy beschreibt die Perspektive so: „Es gibt die Chance, durch ein hybrides Modell aus Menschen und Technologie die nächste Generation von MSPs und MSSPs zu schaffen – für Hunderte Millionen von Unternehmen, die sonst keinen Zugang dazu hätten.“
Sophos CISO-Advantage
Mit CISO-Advantage erweitert Sophos diesen Ansatz. Ziel ist es, zentrale Elemente der CISO-Rolle – etwa Governance, Compliance und strategisches Risikomanagement – auch Unternehmen zugänglich zu machen, die keine eigene Sicherheitsleitung haben.
Die Entwicklung ist deutlich: Klassische Modelle stoßen an ihre Grenzen. Der Bedarf an strategischer Sicherheitskompetenz wächst schneller, als er intern gedeckt werden kann. Entscheidend wird sein, wie es gelingt, diese Kompetenz skalierbar verfügbar zu machen.
Info: Zum Report
Der 2026 CISO-Report, steht in englischer Sprache zum Download bereit. Er wurde von Cybersecurity Ventures in Zusammenarbeit mit Sophos erstellt und analysiert globale Entwicklungen sowie verfügbare Daten zur Verbreitung und Rolle von CISOs weltweit.
#Sophos
