CISO-Know-how: Ein exklusives Gut?

By Firma IT Verlag für Informationstechnik | 24. November 2025

Schätzungsweise haben nur 0,009 Prozent der Millionen Unternehmen weltweit einen Chief Information Security Officer (CISO) – meist große Unternehmen und Konzerne. Doch den Bedarf, Cybersecurity strategisch zu betreiben, haben alle Unternehmen.

Besonders der Mittelstand und kleinere Unternehmen stehen vor der Herausforderung, die Aufgaben zentraler Rollen wie die des CISO zu erfüllen. Managed Security Services können hier entscheidende Entlastung bringen und einen für Unternehmen jeder Größe realisierbaren, virtueller CISO an Bord holen.

Die Rolle des CISO bzw. Cybersicherheitsverantwortlichen hat sich in den vergangenen Jahren von einer optionalen Position vielfach zu einer regulatorisch geforderten Schlüsselfunktion entwickelt.

Sowohl die NIS2-Richtlinie der EU als auch der Digital Operational Resilience Act (DORA) sowie der IT-Grundschutz des BSI und die DSGVO fordern eine klare Zuordnung von Verantwortlichkeiten in der Cybersicherheit. Unternehmen müssen nachweisen können, dass Sicherheitsstrategien von einer qualifizierten Instanz definiert, umgesetzt und überwacht werden. Der Sicherheitsverantwortliche fungiert dabei als zentrale Steuerungsstelle für alle Sicherheitsaktivitäten: Er entwickelt Sicherheitsstrategien, priorisiert Risiken, koordiniert die operative Umsetzung und berichtet an die Geschäftsführung.

Gleichzeitig kämpfen Unternehmen mit einem strukturellen Problem: Es fehlt an Fachpersonal und damit auch an CISOs. Der Branchenverband Bitkom rechnet mit einem IT-Fachkräftemangel von über 650.000 Expertinnen und Experten bis 2040. Im Mittelstand ist die Lage besonders angespannt. Viele Unternehmen verfügen weder über das Budget noch über die Attraktivität großer Konzerne, um erfahrene Sicherheitsexperten zu gewinnen und langfristig zu halten. Hinzu kommt, dass Marktforscher prognostizieren, dass rund die Hälfte der CISOs bis 2025 ihre aktuelle Position verlassen wird. Sobald ein erfahrener Sicherheitsexperte ein mittelständisches Unternehmen verlässt, ist Ersatz meist schwer zu finden – die Rekrutierungsprozesse dauern oft viele Monate und verschlingen erhebliche Ressourcen.

Fehlende Expertise erhöht das Risiko

Die Folgen dieses Fachkräftemangels sind bereits deutlich messbar. Der „Sophos State of Ransomware Report 2025“ zeigt, dass Unternehmen mit weniger als 500 Mitarbeitenden fehlendes Fachpersonal im Bereich Cybersecurity als zweitgrößtes Sicherheitsrisiko bewerten. In Deutschland führen 44 Prozent der befragten Organisationen erfolgreiche Cyberangriffe – insbesondere Ransomware-Attacken – direkt auf fehlende Kenntnisse und Fähigkeiten zurück, um Bedrohungen rechtzeitig zu erkennen und zu stoppen.

Fehlt eine zentrale strategische Instanz wie der CISO, fehlt häufig auch die langfristige Sicherheitsplanung. Sicherheitsmaßnahmen werden dann eher reaktiv umgesetzt – etwa nach einem Vorfall – anstatt proaktiv auf Basis einer klaren Risikoanalyse.

Bewusst Risiken eingehen

Wie groß der Handlungsdruck tatsächlich ist, zeigen auch die Ergebnisse der Sophos-Managementstudie. Demnach gaben über zehn Prozent der befragten mittelständischen Unternehmen an, bewusst Cybersicherheitsrisiken eingegangen zu sein – eine Situation, die ein erfahrener CISO in der Regel unterbinden würde. Zudem sind sich die Verantwortlichen über ihre schwächere Position am Arbeitsmarkt durchaus im Klaren: Rund 50 Prozent der Manager von Unternehmen mit einer Mitarbeiteranzahl von 50 bis 199 Mitarbeitern sehen größere Organisationen als attraktivere Arbeitgeber für IT-Security-Fachkräfte.

Den vollständigen Artikel lesen Sie auf it-daily.net

Lesen Sie auch:

Chef, wie hältst du es mit der Cybersicherheit?

Sophos hat mit seiner aktuellen Management-Studie „Chef, wie hältst du es mit der Cybersicherheit?“ zum zweiten Mal beleuchtet, wie das C-Level-Management in Deutschland, Österreich und der Schweiz die Cybersicherheit bewertet – in diesem Jahr mit einem Schwerpunkt auf den Einfluss der Cybersicherheit auf Geschäftsbeziehungen.

Zum Artikel

Cybercrime: Vom Kriminellen zum Kaufmann

Auf Basis einschlägiger Forendiskussionen, Dienstleistungsangebote und realwirtschaftlicher Spuren hat das Team von Sophos X-Ops verfolgt, wie die Bedrohungsakteure von der Monetarisierung über die Geldwäsche bis zur Reinvestition wirtschaftlich agieren. Die digitalen Täter beweisen dabei eine hohe kaufmännische Raffinesse.

Zum Artikel

Über die IT Verlag für Informationstechnik GmbH

Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der News-Portal www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks, Whitepapern und Konferenzen zu Themen der Enterprise IT rundet der Verlag sein Angebot zu News aus der IT-Welt ab.

www.it-daily.net

Firmenkontakt und Herausgeber der Meldung:

IT Verlag für Informationstechnik GmbH
Ludwig-Ganghofer-Str. 51
83624 Otterfing
Telefon: +49 (8104) 649426
Telefax: +49 (8104) 6494-22
https://www.it-daily.net

Ansprechpartner:

Lars Becker
Redaktion it-daily.net
E-Mail: becker@it-verlag.de

Weiterführende Links

Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.