CISO-Know-how: Ein exklusives Gut?
Security-Services auf Enterprise Level

24. November 2025, 09:39 Uhr · Quelle: Pressebox

Foto: Pressebox

Ein Artikel von Michael Veit, Sicherheitsexperte, bei Sophos Technology GmbH

Der Fachkräftemangel für CISOs lässt viele Unternehmen risikoreich handeln. Managed Security Services ermöglichen eine smarte, virtuelle Lösung für bessere Cybersicherheit.

Otterfing, 24.11.2025 (PresseBox) - Schätzungsweise haben nur 0,009 Prozent der Millionen Unternehmen weltweit einen Chief Information Security Officer (CISO) – meist große Unternehmen und Konzerne. Doch den Bedarf, Cybersecurity strategisch zu betreiben, haben alle Unternehmen.

Besonders der Mittelstand und kleinere Unternehmen stehen vor der Herausforderung, die Aufgaben zentraler Rollen wie die des CISO zu erfüllen. Managed Security Services können hier entscheidende Entlastung bringen und einen für Unternehmen jeder Größe realisierbaren, virtueller CISO an Bord holen.

Die Rolle des CISO bzw. Cybersicherheitsverantwortlichen hat sich in den vergangenen Jahren von einer optionalen Position vielfach zu einer regulatorisch geforderten Schlüsselfunktion entwickelt.

Sowohl die NIS2-Richtlinie der EU als auch der Digital Operational Resilience Act (DORA) sowie der IT-Grundschutz des BSI und die DSGVO fordern eine klare Zuordnung von Verantwortlichkeiten in der Cybersicherheit. Unternehmen müssen nachweisen können, dass Sicherheitsstrategien von einer qualifizierten Instanz definiert, umgesetzt und überwacht werden. Der Sicherheitsverantwortliche fungiert dabei als zentrale Steuerungsstelle für alle Sicherheitsaktivitäten: Er entwickelt Sicherheitsstrategien, priorisiert Risiken, koordiniert die operative Umsetzung und berichtet an die Geschäftsführung.

Gleichzeitig kämpfen Unternehmen mit einem strukturellen Problem: Es fehlt an Fachpersonal und damit auch an CISOs. Der Branchenverband Bitkom rechnet mit einem IT-Fachkräftemangel von über 650.000 Expertinnen und Experten bis 2040. Im Mittelstand ist die Lage besonders angespannt. Viele Unternehmen verfügen weder über das Budget noch über die Attraktivität großer Konzerne, um erfahrene Sicherheitsexperten zu gewinnen und langfristig zu halten. Hinzu kommt, dass Marktforscher prognostizieren, dass rund die Hälfte der CISOs bis 2025 ihre aktuelle Position verlassen wird. Sobald ein erfahrener Sicherheitsexperte ein mittelständisches Unternehmen verlässt, ist Ersatz meist schwer zu finden – die Rekrutierungsprozesse dauern oft viele Monate und verschlingen erhebliche Ressourcen.

Fehlende Expertise erhöht das Risiko

Die Folgen dieses Fachkräftemangels sind bereits deutlich messbar. Der „Sophos State of Ransomware Report 2025“ zeigt, dass Unternehmen mit weniger als 500 Mitarbeitenden fehlendes Fachpersonal im Bereich Cybersecurity als zweitgrößtes Sicherheitsrisiko bewerten. In Deutschland führen 44 Prozent der befragten Organisationen erfolgreiche Cyberangriffe – insbesondere Ransomware-Attacken – direkt auf fehlende Kenntnisse und Fähigkeiten zurück, um Bedrohungen rechtzeitig zu erkennen und zu stoppen.

Fehlt eine zentrale strategische Instanz wie der CISO, fehlt häufig auch die langfristige Sicherheitsplanung. Sicherheitsmaßnahmen werden dann eher reaktiv umgesetzt – etwa nach einem Vorfall – anstatt proaktiv auf Basis einer klaren Risikoanalyse.

Bewusst Risiken eingehen

Wie groß der Handlungsdruck tatsächlich ist, zeigen auch die Ergebnisse der Sophos-Managementstudie. Demnach gaben über zehn Prozent der befragten mittelständischen Unternehmen an, bewusst Cybersicherheitsrisiken eingegangen zu sein – eine Situation, die ein erfahrener CISO in der Regel unterbinden würde. Zudem sind sich die Verantwortlichen über ihre schwächere Position am Arbeitsmarkt durchaus im Klaren: Rund 50 Prozent der Manager von Unternehmen mit einer Mitarbeiteranzahl von 50 bis 199 Mitarbeitern sehen größere Organisationen als attraktivere Arbeitgeber für IT-Security-Fachkräfte.

Den vollständigen Artikel lesen Sie auf it-daily.net

Lesen Sie auch:

Chef, wie hältst du es mit der Cybersicherheit?

Sophos hat mit seiner aktuellen Management-Studie „Chef, wie hältst du es mit der Cybersicherheit?“ zum zweiten Mal beleuchtet, wie das C-Level-Management in Deutschland, Österreich und der Schweiz die Cybersicherheit bewertet – in diesem Jahr mit einem Schwerpunkt auf den Einfluss der Cybersicherheit auf Geschäftsbeziehungen.

Zum Artikel

Cybercrime: Vom Kriminellen zum Kaufmann

Auf Basis einschlägiger Forendiskussionen, Dienstleistungsangebote und realwirtschaftlicher Spuren hat das Team von Sophos X-Ops verfolgt, wie die Bedrohungsakteure von der Monetarisierung über die Geldwäsche bis zur Reinvestition wirtschaftlich agieren. Die digitalen Täter beweisen dabei eine hohe kaufmännische Raffinesse.

Zum Artikel

Sicherheit / CISO / Cybersecurity / Mittelstand / Fachkräftemangel
[pressebox.de] · 24.11.2025 · 09:39 Uhr
[0 Kommentare]