GenAI und menschliche Risiken verschärfen die Sorgen von CIOs

Die aktuelle „Voice of the CISO“-Studie von Proofpoint verdeutlicht steigenden Druck auf IT-Sicherheitsverantwortliche weltweit.

88 Prozent der deutschen CISOs rechnen im kommenden Jahr mit einem schwerwiegenden Cyberangriff, doch weniger als die Hälfte hält das eigene Unternehmen für ausreichend vorbereitet. Die fünfte „Voice of the CISO“-Studie von Proofpoint verdeutlicht den wachsenden Druck, dem CISOs rund um den Globus heute ausgesetzt sind. Für die mittlerweile veröffentlichte fünfte Ausgabe der Studie wurden 1.600 CISO in 16 Ländern befragt. Die Befragung für 2025 verdeutlicht gleich zwei Trends: Zum einen wächst die Angst vor schwerwiegenden Angriffen, zum anderen zwingt der rasante Aufstieg von GenAI die Verantwortlichen, Chancen und Risiken gegeneinander abzuwägen.

Patrick Joyce, Global Resident CISO bei Proofpoint, fasst zusammen: „Die diesjährigen Ergebnisse zeigen eine wachsende Diskrepanz zwischen Selbstvertrauen und Fähigkeiten unter CISOs. Während viele Sicherheitsverantwortliche die Cybersicherheit ihrer Organisation zuversichtlich beurteilen, sieht die Realität anders aus: häufigere Datenverluste, Lücken in der Verteidigungsbereitschaft und anhaltende menschliche Risiken untergraben die Resilienz. Weil die Einführung von GenAI sowohl Chancen als auch Risiken verstärkt, müssen CISOs mit weniger mehr erreichen, sich in einer beispiellosen Komplexität zurechtfinden und dennoch die wichtigsten Unternehmensaktiva effektiv schützen. Es ist klar, dass die Rolle des CISOs noch nie so entscheidend – und so unter Druck – war wie heute.“

Wachsende Bedrohungslage und Zweifel an der Verteidigungsfähigkeit

In Deutschland rechnen 88 Prozent der CISOs innerhalb der nächsten zwölf Monate mit einem schwerwiegenden Cyberangriff – ein deutlicher Anstieg gegenüber 2024 (80 Prozent). Gleichzeitig halten nur 48 Prozent ihr Unternehmen für ausreichend vorbereitet. Sechs von zehn Befragten berichten von erheblichen Datenverlusten im vergangenen Jahr. Dabei gilt der Faktor Mensch als größte Schwachstelle: 97 Prozent der CISOs, die einen Datenverlust erlitten haben, führen diesen zumindest teilweise auf ausscheidende Mitarbeiter zurück – ein signifikanter Anstieg gegenüber dem Vorjahr (77 Prozent).

Angriffe treten in vielfältiger Form auf, von E-Mail-Betrug über Ransomware bis zur Übernahme von Cloud-Konten. Gemeinsamer Nenner bleibt jedoch der Datenverlust. Angesichts des Drucks ziehen 64 Prozent der deutschen Sicherheitsverantwortlichen sogar Lösegeldzahlungen in Betracht, um Schäden zu begrenzen.

GenAI ist Risiko- und Governance-Frage zugleich

Die Rolle von GenAI spaltet die CISOs. Weltweit sehen 64 Prozent den Einsatz entsprechender Tools als strategische Priorität in den kommenden zwei Jahren. In Deutschland äußern 49 Prozent Sorge, dass Kundendaten über öffentliche GenAI-Plattformen verloren gehen könnten. Zwar reagieren Unternehmen mit Maßnahmen – 73 Prozent haben Nutzungsrichtlinien aufgestellt und 76 Prozent prüfen AI-gestützte Abwehrlösungen –, doch die Euphorie ist rückläufig: Im Vorjahr hatten noch 86 Prozent von Chancen durch KI gesprochen. Mehr als die Hälfte der deutschen Unternehmen (55 Prozent) schränkt die Nutzung von GenAI-Tools vollständig ein.

Menschliche Risiken bleiben entscheidend

Auch 2025 bleibt der Mensch die größte Schwachstelle der Cybersicherheit. 75 Prozent der CISOs in Deutschland nennen menschliches Versagen als wichtigstes Risiko, obwohl 67 Prozent überzeugt sind, dass ihre Mitarbeiter die gängigen Best Practices kennen. Diese Lücke zwischen Wissen und Verhalten wird durch fehlende Strukturen verstärkt: Fast ein Viertel der Unternehmen verfügt noch über keine speziellen Ressourcen gegen Insider-Risiken.

Nachlassende Unterstützung für CISOs durch Vorstände

Neben technologischen Risiken zeigt die Studie die persönliche Belastung der Sicherheitsverantwortlichen. 69 Prozent der deutschen CISOs sehen sich mit überzogenen Erwartungen konfrontiert, 74 Prozent berichten von Burnout-Erfahrungen im letzten Jahr. Zwar haben 60 Prozent der Unternehmen Schutzmaßnahmen gegen persönliche Haftung eingeführt, doch 31 Prozent der Befragten fühlen sich weiterhin nicht ausreichend ausgestattet, um ihre Sicherheitsziele zu erreichen.

Die Einigkeit zwischen Vorstand und CISO hat zudem deutlich abgenommen: Während 2024 noch 90 Prozent eine gemeinsame Linie sahen, sind es aktuell nur noch 70 Prozent. Gleichzeitig gewinnt das Thema Cyberrisiken für die Unternehmensführung an strategischer Bedeutung – insbesondere mit Blick auf den Schutz sensibler Kundeninformationen.

it&d business Redaktion