CISO-Mangel zwingt Unternehmen zum Umdenken

(Source: alphaspirit / Fotolia.com)

(Source: alphaspirit / Fotolia.com)

Der "2026 CISO-Report" von Cybersecurity Ventures und Sophos analysiert ein starkes Ungleichgewicht in der globalen Cybersicherheitslandschaft. Demnach kommen auf schätzungsweise 359 Millionen Unternehmen weltweit nur rund 35'000 Chief Information Security Officers (CISOs). 

"Das ist ein Marktversagen. Das Cybersicherheits-Ökosystem hat noch nicht herausgefunden, wie diese Lücke geschlossen werden kann. Wir haben jetzt das Potenzial, dies zu tun", sagt Joe Levy, CEO von Sophos. Trotz der Etablierung von CISO-Positionen in Fortune-500- und Global-2000-Unternehmen fehle diese strategische Ebene in vielen Organisationen.

Besonders betroffen seien KMUs, die den Grossteil der globalen Wirtschaft ausmachen. Ein erfahrener CISO kostet laut Report oft zwischen 218'000 und 348'000 Euro pro Jahr, was für viele KMUs wirtschaftlich nicht darstellbar sei. Wie es heisst, waren als Folge im vergangenen Jahr vier von fünf kleinen Unternehmen von Sicherheitsvorfällen betroffen - ein signifikanter Teil davon mit sechsstelligen Schadenssummen.

Die Bedrohungslage verschärfe sich unterdessen weiter. Prognosen aus dem Report zufolge könnten die globalen Kosten durch Cyberangriffe bis 2031 auf mehr als 11 Billionen Euro jährlich ansteigen, was einer Verdopplung gegenüber 2021 entspräche. Allein für Ransomware werden für das Jahr 2026 weltweit Schäden in zweistelliger Milliardenhöhe erwartet.

Unternehmen ohne entsprechende Führungsebene seien damit besonders anfällig für Betriebsstörungen, wirtschaftliche Verluste sowie Reputationsschäden. Externe Modelle wie virtuelle CISOs (V-CISOs) könnten dem Problem zwar entgegenwirken, die personellen Kapazitäten seien aber nur begrenzt skalierbar. 

Hoher Druck auf Sicherheitspersonal

Auch in Unternehmen mit etablierter CISO-Funktion zeigen sich Belastungserscheinungen. Unter Berufung auf Umfragen heisst es im Report, 75 Prozent der CISOs würden einen Jobwechsel erwägen, und fast alle leisteten regelmässig Überstunden. Die durchschnittliche Verweildauer in der Position liege bei nur 18 bis 26 Monaten, was die Schwierigkeit unterstreiche, die Rolle langfristig zu besetzen.

Steigende rechtliche Risiken und ein angespannter Fachkräftemarkt verschärfen die Situation zusätzlich, wie Sophos schreibt. Vor diesem Hintergrund würden Managed Services Provider (MSPs) und Managed Security Service Provider (MSSPs) an Bedeutung gewinnen, um fehlende interne Kapazitäten auszugleichen und auch strategische Aufgaben zu übernehmen.

Der Bericht hält fest: "Ebenso wie sich bei Managed Detection and Response gezeigt hat, dass sich Sicherheitsabläufe am besten über Dienste skalieren lassen, lässt sich die Führungsrolle im Sicherheitsbereich am besten über Partner skalieren."

Der Sophos-CEO beschreibt diese Perspektive folgendermassen: "Es gibt die Chance, durch ein hybrides Modell aus Menschen und Technologie die nächste Generation von MSPs und MSSPs zu schaffen - für Hunderte Millionen von Unternehmen, die sonst keinen Zugang dazu hätten."

Lesen Sie auch: Andy Schneider von Palo Alto Networks sagt im Interview, wie sich die Anforderungen an CISOs durch KI und digitale Souveränität ändern und wie sie damit umgehen sollten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.