logo lineofbiz

Studie zu den Cyber-Risiken im Jahr 2025Mehr Investitionen, aber fehlender Geschäftskontext bremst Risikomanagement

23. Juli 2025
High tech security operations dashboard displaying potential intrusion alerts with automated response protocols activating, designed for advanced threat monitoring and cybersecurity defense
Quelle: Laongdaow Duangkaew, Adobe Stockphoto

Trotz wachsender Ausgaben und zunehmender Relevanz in Vorstandsetagen bleibt das Cyber-Risikomanagement vieler Unternehmen unausgereift. Der Grund: Der geschäftliche Kontext fehlt.

Zu den zentralen Erkenntnissen der Umfrage unter mehr als 100 IT- und Security-Verantwortlichen gehören die folgenden Aspekte:

  • Cyber-Risiken nehmen zu: 71 Prozent der Befragten sehen steigende oder gleichbleibende Risiken – trotz steigender Budgets.
  • Formelle Programme – ohne Reife: Zwar verfügen 49 Prozent über ein Cyber-Risikoprogramm, doch nur 30 Prozent priorisieren Risiken auf Basis von Geschäftszielen.
  • ROI bleibt aus: Die meisten Sicherheitsinvestitionen zahlen sich nicht aus – fehlende Transparenz und Priorisierung bremsen die Wirkung.
  • Mangelnde Asset Intelligence: Nur 13 Prozent können Assets kontinuierlich inventarisieren, 47 Prozent arbeiten noch mit manuellen Prozessen.
  • Kommunikationslücke zum Management: Nur 14 Prozent verknüpfen Cyber-Risikoberichte mit finanziellen Kennzahlen – nur 22 Prozent binden Finanzteams ein.
  • Wunsch nach Kontext statt CVSS: Führungskräfte fordern Entscheidungen basierend auf geschäftlichen Risiken – nicht technischen Scores.

Cyber-Sicherheit wird mehr und mehr als strategisches Thema wahrgenommen, doch in der praktischen Umsetzung klaffen Lücken. Zwar verfügen fast die Hälfte der befragten Organisationen über formelle Risikoprogramme, doch nur ein Drittel davon priorisiert Risiken anhand geschäftlicher Ziele. Die Studie fordert deshalb eine stärkere Orientierung an geschäftlichen Auswirkungen – beispielsweise an potenziellen Umsatzverlusten oder der Gefährdung sensibler Kundendaten.

Trotz wachsender Budgets steigt das Cyber-Risiko bei vielen Unternehmen weiter. Das liegt vor allem daran, dass Tools isoliert arbeiten, die Asset-Transparenz lückenhaft ist und Priorisierungen oft an klaren strategischen Zielen vorbeigehen. Die Risikobewertung erfolgt häufig noch auf Basis starrer Scores wie CVSS, ohne den geschäftlichen Kontext zu berücksichtigen.

Führungskräfte verlangen jedoch keine technischen Dashboards mehr, sondern verständliche Antworten auf zentrale Fragen: Wo liegen die größten Risiken? Wie hoch ist die mögliche Auswirkung? Welche Maßnahmen bringen den größten Nutzen?

Hier soll das von Qualys vorgestellte Konzept eines Risk Operations Center (ROC) ansetzen, vereint es doch die kontinuierliche Erkennung, Bewertung und Steuerung von Risiken auf Basis kontextualisierter Echtzeitdaten. Das dazugehörige Enterprise TruRisk Management (ETM) konsolidiert technische Informationen und übersetzt sie in geschäftsrelevante Kennzahlen, um Entscheidungen fundiert treffen zu können.
Deshalb müssen Unternehmen ihr Risikomanagement strategisch neu ausrichten – weg vom Technikfokus, hin zur geschäftsrelevanten Risikobetrachtung. Das ROC-Modell (Risk Operations Center) bietet hier eine strukturierte, unternehmensweite Lösung. (rhh)

Qualys

Lesen Sie auch

Digital security concept with warning notifications on virtual screens

Ohne Privileged Access Management drohen Risiken

Cyber warfare attack in progress with glowing data streams in a digital landscape at nighttime

Cyber-Angriffe häufen sich massiv

Refined Imagery Showcasing Integrated Cybersecurity Practices and AI Ethical Standards in Innovative Tech R&D Labs Photo Stock Concept with Left Space

Strategien für ein sicheres Netzwerk