Direkt zum Inhalt

Klassische Schutzkonzepte stoßen an Grenzen

Im Zeitalter von KI und wachsender geopolitischer Risiken reichen herkömmliche Security-Konzepte nicht mehr aus. Governance wird zum entscheidenden Faktor.

Wer Cybersecurity nur als technische Disziplin begreift, wird die zunehmenden Bedrohungen nicht in den Griff bekommen. IT-Security hat sich zu einer strategischen Aufgabe entwickelt, die sowohl IT- und Security-Verantwortliche als auch das Topmanagement betrifft. Nicht nur Marktforscher und Beratungshäuser wie Gartner weisen darauf hin. Auch das World Economic Forum (WEF) zeichnet in seinem Global Cybersecurity Outlook 2026 ein düsteres Bild und fordert umfassendere Ansätze für mehr Resilienz.

emgegenüber geben nur 49 Prozent der amerikanischen Teilnehmer hybriden Szenarien den Vorrang, vier Prozent entscheiden sich für die Public Cloud.

KI: Treiber und Risiko zugleich

Zusammen mit Accenture hat das WEF 2025 mehrere hundert Entscheider weltweit aus IT- und Business-Bereichen befragt. Ähnlich wie in diversen Gartner-Erhebungen zum Thema spielt künstliche Intelligenz dabei eine zentrale Rolle. So nehmen 94 Prozent der Befragten KI als wichtigsten Veränderungstreiber in der Cybersecurity wahr. Gleichzeitig bezeichnen 87 Prozent KI-bezogene Schwachstellen als das am schnellsten wachsende Risiko.

Immerhin 77 Prozent der Unternehmen nutzen KI bereits in der Cyberabwehr – primär für Phishing-Erkennung (52 Prozent), Anomalie- und Intrusion Detection (46 Prozent) sowie User Behaviour Analytics (40 Prozent). Andererseits ermöglichen KI-basierte Systeme jedoch auch präzisere und weitgehend automatisierte Attacken.

Gartner sieht insbesondere im Bereich Agentic AI Handlungsbedarf. KI-Agenten, die von Mitarbeitern und Entwicklern immer öfter auch unkontrolliert eingesetzt werden, schafften neue Angriffsflächen. No-Code- und Low-Code-Plattformen beschleunigten diese Entwicklung.

Defizite in der KI-Governance

Die WEF-Erhebung offenbart dabei insbesondere Defizite in Sachen Governance. Zwar prüften 64 Prozent der Unternehmen KI-Systeme vor dem Einsatz auf Sicherheitsrisiken. Doch rund ein Drittel habe dafür keinen strukturierten Prüfprozess definiert. Wie so häufig bei jungen Technologien hinken Governance-Prozesse den rasanten Entwicklungsfortschritten hinterher. Das hat Konsequenzen für das Risikoprofil der Organisationen. Für CIOs und CISO wird AI-Governance damit zu einem drängenden Problem.

Geopolitische Risiken verschärfen die Lage für CISOs

Hinzu kommen geopolitische Risiken und wachsende regulatorische Anforderungen. Laut dem WEF prägen geopolitische Spannungen inzwischen auch die Cyber-Security-Strategien vieler Unternehmen. 64 Prozent der Organisationen berücksichtigten geopolitisch motivierte Cyberangriffe in ihren Security-Plänen. Mehr als 90 Prozent der Großunternehmen haben demnach bereits ihre Strategien angepasst, beispielsweise durch Maßnahmen zur Threat Intelligence, eine engere Zusammenarbeit mit Behörden sowie Anpassungen im Lieferantenportfolio.

Fraud wird zum Massenphänomen

Wie ernst die Lage ist, zeigen auch die wachsenden Bedrohungen durch Fraud-Attacken. 73 Prozent der Befragten waren bereits direkt oder indirekt von Cyberbetrug betroffen, 77 Prozent berichten von steigenden Fraud-Raten. Am häufigsten nennen sie Phishing, Zahlungsbetrug und Identitätsdiebstahl. Generative KI beschleunigt diese Entwicklung. Deepfakes, automatisierte Social-Engineering-Angriffe und lokal angepasste, täuschend echte Betrugsversuche gehören vielerorts zum Alltag von Sicherheitsverantwortlichen.

Gartner hebt in diesem Kontext das Identitäts- und Zugriffsmanagement (IAM) als Risikobereich hervor. Mit dem wachsenden Einsatz autonomer KI-Agenten gerieten IAM-Strategien, die auf menschliche Nutzer zugeschnitten sind, unter Druck. Maschinelle Akteure erforderten neue Ansätze etwa bei der Identitätsregistrierung und der richtliniengesteuerten Autorisierung.

Darüber hinaus warnen die Gartner-Experten vor dem „Post-Quantum-Risiko“. Fortschritte im Quantencomputing machten die herkömmliche asymmetrische Kryptografie bis 2030 angreifbar. Dabei gelte das Prinzip „jetzt sammeln, später entschlüsseln": Heute abgegriffene verschlüsselte Daten könnten künftig entschlüsselbar werden. Unternehmen sollten sich deshalb schon jetzt mit Post-Quantum-Kryptografie beschäftigen.

Cyber-Resilienz unterschiedlich ausgeprägt

Geht es um die wachsenden Risiken für den Geschäftsbetrieb, fordern Berater und Marktbeobachter generell resilientere Strukturen. Die WEF-Studie zeigt hier ein differenziertes Bild. Immerhin 64 Prozent der Organisationen erfüllen in Sachen Resilienz die Mindestanforderungen, 19 Prozent übertreffen diese. Gegenüber der Erhebung aus dem Vorjahr ist das eine Steigerung. Allerdings berichten Befragte aus dem Public Sector zu 23 Prozent von einer unzureichenden Resilienz ihrer Organisation.

Die Unterschiede in Sachen Resilienz sind den Erhebungen zufolge auch vom Reifegrad abhängig. So kämpfen weniger reife Organisationen vor allem mit dem Fachkräftemangel und knappen Budgets. Reifere Organisationen hingegen sehen Supply-Chain-Risiken und Abhängigkeiten von Anbietern und Partnern als größte Herausforderung. 78 Prozent der als resilient eingestuften Unternehmen bezeichnen Lieferketten sogar als ihr gravierendstes Risiko. Am Ende, so die Empfehlung der Experten, sollte Cyber-Resilienz nicht in Form von IT-Kennzahlen, sondern mithilfe von Business-KPIs messbar gemacht werden. Damit käme das Thema raus aus der IT-Ecke und würde auf Vorstandsebene verankert.

Fotocredit: Bild von Buffik auf Pixabay