Für Unternehmensführungen bleibt Cybersicherheit auch im Jahr 2026 eines der drängendsten Themen. Da so viele Geschäftsaktivitäten von Technologie abhängen, sind laut dem Bericht „Global Cybersecurity Outlook 2026“ des Weltwirtschaftsforums 63 % der Unternehmensleiter besorgt über die Auswirkungen der sich rasch wandelnden Bedrohungslandschaft und der Risiken für neue Technologien auf ihre Resilienz. Dies liegt auch ganz nah an der Realität – 73 % der Befragten gaben an, dass sie oder jemand aus ihrem Umfeld im Laufe des Jahres 2025 persönlich von Cyberbetrug betroffen waren. Dieses Bewusstsein führt zu einer genaueren Prüfung von Sicherheitsentscheidungen.
Für diejenigen, die in Unternehmen für die Sicherheit verantwortlich sind, ist dieses Maß an Aufmerksamkeit potenziell sehr nützlich, wenn es dazu beiträgt, widerstandsfähigere Systeme und geringere Risiken zu erreichen. Es kann jedoch auch zu langsameren Reaktionen, weniger Unterstützung und einem allgemeinen Kontrollverlust führen. Warum ist das so?
Einfach ausgedrückt: CISOs sind nicht Herr ihres eigenen Schicksals. Sie legen nicht die Höhe des Budgets fest, das ihnen für Sicherheitsprozesse, Personal und Technologie zur Verfügung steht. Stattdessen liegt diese ursprüngliche Entscheidung beim CEO und beim CFO. Ein CISO mag zwar ein bestimmtes Budget beantragen, um die richtigen Kontrollen und Prozesse einzuführen, doch gibt es keine Garantie, dass er das bekommt, was er verlangt. Für jeden CISO ist es äußerst frustrierend, die Risiken zu kennen und dennoch nicht in der Lage zu sein, die Diskussion darüber zu beeinflussen, wie viel ausgegeben werden soll oder worauf der Fokus liegen soll.
Cybersicherheit – Budgets und Aufmerksamkeit
Für CISOs ist das Thema Budgets heikel. Schaut man sich beliebige Analystenberichte an, so steigen die prognostizierten Ausgaben für Cybersicherheit immer weiter an. Gartner schätzt, dass die weltweiten Ausgaben für IT-Sicherheit im Jahr 2025 213 Milliarden US-Dollar erreichen werden. Auch geopolitische Herausforderungen haben Unternehmen getroffen. Laut dem Bericht des Weltwirtschaftsforums haben diese Instabilitäten bei 30 % der Unternehmen zu einer Aufstockung der Cybersicherheitsbudgets geführt, um dem wahrgenommenen Anstieg des Risikos Rechnung zu tragen. Doch dieselbe Instabilität hat sich auf die Märkte ausgewirkt, was wiederum zu Budgetkürzungen geführt hat – 13 % der Unternehmen haben ihre Ausgaben reduziert.
Als Sicherheitsverantwortliche wollen wir sicherstellen, dass unsere Organisationen geschützt sind und dass wir alles in unserer Macht Stehende tun, um den Betrieb aufrechtzuerhalten und widerstandsfähig und sicher zu gestalten. Gleichzeitig birgt die Forderung nach mehr Budget Jahr für Jahr das Risiko, dass der Rest des Führungsteams gegenüber Ratschlägen, wie viel benötigt wird und wo die Mittel eingesetzt werden sollten, taub wird.
Unser erster Impuls könnte hier sein, noch hartnäckiger zu kämpfen, um sicherzustellen, dass jede verfügbare Ressource ausgeschöpft wird. Doch Budgets sind nicht unbegrenzt. Das Ausmaß der Risiken, denen wir heute ausgesetzt sind, ist angesichts der Vielzahl potenzieller Schwachstellen, die ausgenutzt werden können, praktisch unbegrenzt. Budgets werden immer begrenzter sein, als wir es uns wünschen, daher ist es unerlässlich, Prioritäten zu setzen. Der Rückgriff auf Angst, Unsicherheit und Zweifel mag zwar zu einer zusätzlichen Aufstockung führen … doch dieser Ansatz ist weder nachhaltig noch langfristig ratsam. Stattdessen müssen wir ein realistisches Bild der Welt zeichnen, wie sie ist, und nicht, wie wir sie gerne hätten. Paradoxerweise ist es gerade das Abgeben eines Teils dieser Verantwortung für die Sicherheit, das tatsächlich zu besseren Entscheidungen in Bezug auf Risiken führen kann.
Das bedeutet nicht, dass wir unsere Modelle aufgeben und uns mit dem begnügen sollten, was uns gegeben wird. Vielmehr geht es darum, die Verantwortlichkeiten im Zusammenhang mit Risiken, die potenziellen Folgen und die Ergebnisse des aktuellen Ansatzes darzulegen. Dies ermöglicht es Vorständen, fundierte Entscheidungen hinsichtlich ihres übergeordneten Risikomanagementansatzes zu treffen. Indem sie die Verantwortung für die Budgetverteilung und die Investitionsentscheidungen teilen, können CISOs CEOs und CFOs direkt in die Verbesserung des gesamten Risikomanagements einbeziehen.
Über traditionelle Kennzahlen hinausgehen
Man könnte versucht sein, diese geteilte Verantwortung als Kontrollverlust zu betrachten. Das ist jedoch keineswegs der Fall. CEOs und CFOs sind es normalerweise gewohnt, Geschäftsentscheidungen auf der Grundlage unvollständiger Daten zu treffen. Und Vorstände sind mit Risiken bestens vertraut! Doch anstatt die neuesten Bedrohungsinformationen zu betrachten, treffen sie ihre Investitionsentscheidungen auf der Grundlage finanzieller Auswirkungen, potenzieller Verluste und der erwarteten Kapitalrendite. Für CISOs ermöglicht die Übersetzung von Cybersicherheitsrisiken in finanzielle und zeitliche Begriffe, dass der Vorstand in den Entscheidungsprozess einbezogen wird und gemeinsam Verantwortung für die Konsequenzen übernimmt.
Dies erfordert, dass man sich von veralteten Kennzahlen löst. Traditionell stützen sich Sicherheitsteams auf statische Indikatoren wie die reine Anzahl von Schwachstellen oder CVSS-Werte. Um jedoch die Bedrohungslage, mit der Unternehmen heute konfrontiert sind, wirklich zu verstehen, müssen wir zeitbasierte Risiken betrachten.
Die erste Kennzahl ist das „Window of Weaponisation“ (WoW). Diese misst genau, wie schnell eine neu entdeckte Schwachstelle von Angreifern in der Praxis aktiv ausgenutzt wird. Wir erleben derzeit, wie künstliche Intelligenz (KI) den Zeit- und Arbeitsaufwand für das Aufspüren und die „Operationalisierung“ von Schwachstellen drastisch reduziert. Da die Anzahl der Bedrohungen exponentiell zunimmt, schrumpft dieses „ “-Fenster daher rapide. Die zweite Kennzahl ist das „Average Window of Exposure“ (AWE). Dies ist die Zeit, in der eine Schwachstelle in einer bestimmten Umgebung offen und ungepatcht bleibt.
Angesichts des bevorstehenden Anstiegs neuer Bedrohungen wird sich das AWE eines Unternehmens in den kommenden Wochen und Monaten höchstwahrscheinlich dramatisch verschlechtern. Die Rechnung ist einfach, aber unerbittlich. Wenn Ihr AWE länger ist als das WoW des Angreifers, agieren Sie in einem Zustand kontinuierlichen, inakzeptablen Risikos.
Dieser Ansatz befasst sich direkt mit der Risikotoleranz. Die Risikotoleranz ist eine quantifizierbare Kennzahl, die darauf basiert, wie viel Geschäft ein Unternehmen aufgrund eines Ausfalls oder eines Sicherheitsproblems verlieren kann, bevor dies wesentliche Auswirkungen auf die Barreserven hat. Indem Risiken mit konkreten Zahlen und Zeitrahmen versehen werden, lässt sich leichter aufzeigen, wo bestehende Sicherheitskontrollen versagen.
Angesichts eines schrumpfenden WoW und eines wachsenden AWE stehen Führungsteams und Vorstände vor einer schwierigen Entscheidung. Sie müssen entweder ausdrücklich zustimmen, diesen massiven Zustrom zusätzlicher Risiken zu akzeptieren – was höchst unwahrscheinlich ist – oder beschließen, sofortige Maßnahmen zu ergreifen, um die Behebung zu beschleunigen.
Um diese Entscheidung zu treffen, benötigen sie die richtigen Informationen im richtigen Format. In einem E-Commerce-Beispiel könnte dies bedeuten, vor den Vorstand zu treten und zu erklären: „In unserem zentralen ERP-System liegt ein kritisches Problem vor. Sein Window of Weaponisation wird voraussichtlich unter 48 Stunden liegen. Unser aktuelles Average Window of Exposure für diese Art von System beträgt jedoch 30 Tage. Diese Lücke garantiert eine hohe Wahrscheinlichkeit einer Sicherheitsverletzung, die zu mindestens 24 Stunden Ausfallzeit führt. Dies würde einen erwarteten Verlust von 80.000 £ bedeuten, aber es besteht eine 5-prozentige Wahrscheinlichkeit, dass der Verlust 750.000 £ übersteigt. Ich möchte unsere Migration vorziehen und in Automatisierung investieren, um unser AWE künftig auf unter 7 Tage zu senken. Sind Sie damit einverstanden?“
In diesem Fall liegt die Entscheidung eindeutig beim Vorstand. Er muss sich entweder darauf einigen, das finanzielle Risiko in Kauf zu nehmen, oder die erforderlichen Mittel bereitstellen, um die Lücke zu schließen.
Zentralisierung von Risikomanagement und Entscheidungen
Damit dies in der Praxis funktioniert, müssen Sie alle Ihre Daten an einem Ort zusammenführen. Genauso wie das Security-Operations-Center (SOC) Vorfalldaten und Warnmeldungen aggregiert, damit das IT-Sicherheitsteam einheitlich reagieren kann, müssen proaktive Risikodaten für das Unternehmen gesammelt und interpretiert werden. Dies ermöglicht es, Schwachstellen genaue monetäre Werte zuzuweisen. Während Continuous-Threat-Exposure-Management (CTEM) dem Sicherheitsteam ein hervorragendes Rahmenwerk und wichtige proaktive Einblicke bietet, liefert es von sich aus nicht die Quantifizierung von Cyberrisiken und die Daten zu den finanziellen Auswirkungen, die der Vorstand benötigt.
Der Aufbau eines Risk-Operations-Center (ROC) als Ergänzung zu einem SOC schließt diese kritische Lücke. Während sich das SOC mit der reaktiven Reaktion auf Vorfälle befasst, versetzt das ROC das Unternehmen in die Lage, proaktiv und vorausschauend auf potenzielle Risiken zu reagieren, bevor diese ausgenutzt werden können. Durch die Nutzung von ROC-Daten kann der Vorstand darüber informiert werden, wie AWE im Vergleich zum globalen WoW abschneidet, welche Prioritäten im Vordergrund stehen und wie sich die finanziellen Risikowerte im Laufe der Zeit verändern.
CEOs und CFOs sind sich der potenziellen Bedrohungen im Bereich der Cybersicherheit klar bewusst. Neben den abstrakten Geschäftskosten durch Malware wächst auch die persönliche Verantwortung, was durch die von der SEC in den USA eingeführten Vorschriften zur Meldung wesentlicher Sicherheitsprobleme belegt wird. CEOs und CFOs müssen diese Verantwortung gemeinsam mit dem CISO tragen. Für Sicherheitsverantwortliche ist dies eine hervorragende Gelegenheit, die Last der Entscheidung zu teilen, wo der Schwerpunkt liegen soll und wie Kapital am besten eingesetzt wird, um die bevorstehende Welle von Bedrohungen zu überstehen. In der Praxis erfordert dies ein pragmatisches Verständnis von Risiken, genaue Betriebsdaten und eine echte Bereitschaft zur Zusammenarbeit.
Von Ivan Milenkovic, Vice President Risk Technology EMEA, Qualys
