Exposure Management:Von subjektiver zuobjektiver Cybersicherheit

Moderne Angriffsflächen umfassen heute ein komplexes, stetig wachsendes Ökosystem von Assets – von Cloud-Infrastruktur und IoT-Geräten bis hin zu Lieferketten, Identitäten und Berechtigungen. Um sich dauerhaft wirksam zu schützen, müssen sich Unternehmen zunächst einen Überblick über diesen Umfang und diese Komplexität verschaffen.

Die Verwaltung des enorm vielschichtigen IT-Ökosystems stellt für IT- und Sicherheitsteams eine wachsende Herausforderung dar. Sie müssen nicht nur mit der zunehmenden Vielfalt an Cyberbedrohungen und Angriffsarten Schritt halten, sondern auch die zunehmende Komplexität und begrenzte Lebensdauer unternehmenseigener Software bewältigen.

Fast die Hälfte (48 %) der Sicherheitsexperten gibt an, dass sie weiterhin Software einsetzen, die bereits das Ende der Lebensdauer (EOL) erreicht hat. Software, die nicht mehr mit Sicherheitsupdates, technischen Support-Leistungen oder Patches versorgt wird, erhöht das Risiko für Cyberangriffe und Datenschutzverletzungen.

Und 43 % der Sicherheitsexperten haben die anfälligsten Systeme/Komponenten von Drittanbietern in ihren Software-Lieferketten noch nicht identifiziert – also genau jene, deren Kompromittierung die gravierendsten Auswirkungen auf das Unternehmen hätte.

Besonders besorgniserregend ist die Situation in stark regulierten Branchen – zum Beispiel im Gesundheitswesen, wo Ausfälle kritischer Systeme besonders schwer wiegen und direkte Auswirkungen auf die Patientenversorgung sowie die Behandlungsergebnisse haben können – 54 % setzen veraltete Software ein, die bereits das Ende der Lebensdauer erreicht hat.

Es ist nicht verwunderlich, dass 40 % der Sicherheitsexperten weltweit angeben, ihre technische Infrastruktur sei so komplex, dass grundlegende Sicherheitsmaßnahmen kaum noch umsetzbar sind.

Unzugängliche Daten mindern den Wert neuer technischer Investitionen, erschweren die Erkennung und Verwaltung von Schwachstellen und beeinträchtigen datenbasierte Entscheidungen.

Unsere Untersuchungen zeigen, dass viele Unternehmen Schwierigkeiten haben, auf ihre umfangreichen Datenbestände zuzugreifen und deren Potenzial gezielt zu nutzen. Sicherheitsexperten berichten von vielen Bereichen mit fehlenden oder unvollständigen Daten und unzureichenden Erkenntnissen – was es beispielsweise erschwert, Schatten-IT zu erkennen (45 %) oder konkrete Schwachstellen zuverlässig anhand vorhandener Daten zu identifizieren (41 %). All diese Lücken vergrößern die sicherheitsrelevanten Blindspots eines Unternehmens.

Zu allem Übel sagt mehr als die Hälfte (%) der IT-Experten, dass Sicherheits- und IT-Daten in ihrem Unternehmen isoliert voneinander liegen. Zwar ist dieser Wert im Vergleich zum Vorjahr um 14 Prozentpunkte gesunken – ein positives Signal –, doch der Handlungsbedarf bleibt weiterhin groß.

Moderne Unternehmen verfügen zwar über eine Fülle an Daten, aber gleichzeitig über einen Mangel an verwertbaren Informationen. Unternehmen sammeln enorme Mengen an Rohdaten, haben jedoch Schwierigkeiten, daraus verwertbare Erkenntnisse zu gewinnen. Selbst wenn bestimmte Daten zugänglich sind, verhindern Datensilos einen ganzheitlichen Ansatz zur Bedrohungserkennung und Incident Response. Zum Beispiel:

• 53 % der Sicherheitsexperten geben an, dass Datensilos die allgemeine Sicherheitslage Ihres Unternehmens schwächen.
• 62 % der IT-Experten berichten, dass Datensilos die Reaktionszeiten des Sicherheitsteams verlangsamen.

Die Lösung des Problems ist komplex. Laut Einschätzung von IT-Experten würde es im Schnitt fünf Jahre dauern, bestehende Datensilos in ihren Unternehmen vollständig aufzulösen – ein kritischer Zeitrahmen für Firmen, die auf datengestützte generative KI- und Automatisierungslösungen setzen, um zentrale Aufgaben wie das automatisierte Schwachstellenmanagement oder vorausschauende Bedrohungserkennung effizient zu bewältigen.

Dennoch ist es für Unternehmen, die Daten in verwertbare Erkenntnisse und konkretes Handeln übersetzen wollen, unerlässlich, die Zugänglichkeit und Sichtbarkeit ihrer Daten zu verbessern. Richtig eingesetzt entwickeln Unternehmensdaten ihr volles Potenzial als strategische Ressource – insbesondere für KI-Anwendungen und automatisierte Workflows, die operative Effizienz und fundierte Entscheidungen fördern.

All die Komplexität, der digitale Wildwuchs und die Blindspots machen unmissverständlich klar: Es ist ein Umdenken im Umgang mit Schwachstellen erforderlich. Der erste Schritt besteht darin, die unternehmensweiten Risiko-Frameworks zu definieren und die vorhandene Gefährdung (Exposure) zu quantifizieren.

Wenn Unternehmen auf einen Exposure Management-Ansatz umstellen, müssen CISOs und CEOs gemeinsam ein Risikotoleranz-Framework entwickeln, das die aktuelle Risikolage mit der unternehmensweiten Risikobereitschaft in Zusammenhang bringt.

Risikolage:

Der aktuelle Stand des Risikomanagements eines Unternehmens, der die tatsächliche Gefährdung (Exposure) und die Abwehrmaßnahmen widerspiegelt.

 

Risikobereitschaft:

Die Risikobereitschaft beschreibt das Maß an Risiko, das ein Unternehmen im Rahmen seiner Zielverfolgung bereit ist einzugehen.

Allzu häufig klaffen Risikoauffassung und Risikobereitschaft auseinander. Sicherheitsverantwortliche tendieren verständlicherweise dazu, Risiken möglichst zu minimieren und im Zweifel zugunsten der Sicherheit zu entscheiden. Entscheidungsträger hingegen sind oftmals bereit, ein gewisses Maß an Sicherheit aufzugeben – sofern sich dadurch Chancen für Wachstum, Innovation oder Marktvorteile ergeben.

Es gibt keine allgemeingültige Lösung – nur das, was CEOs und CISOs bewusst als die richtige Balance definieren.

Die große Mehrheit der Unternehmen (83 %) gibt an, über ein Framework für die Festlegung der Risikotoleranz zu verfügen. Ein guter Anfang. Allerdings hält mehr als die Hälfte der Unternehmen ihr Risikotoleranz-Framework nicht konsequent ein.

Insgesamt geben 51 % der Befragten an, dass sie das bestehende Risikotoleranz-Framework ihres Unternehmens nicht einhalten. Bei Großunternehmen ist die Situation zwar besser, aber noch immer nicht zufriedenstellend. 43 % der Unternehmen mit 10.000 oder mehr Mitarbeitenden berichten, dass sie ihr eigenes Risikotoleranz-Framework nicht konsequent einhalten.

Ein Teil des Problems liegt womöglich darin, dass viele Unternehmen ihre Gefährdung (Exposure) gar nicht zuverlässig messen können.

Sicherheitsexperten berichten von erheblichen Hürden bei der Bewertung und Steuerung von Cyberrisiken. 
49 % der Sicherheitsexperten geben an, nicht auf die richtigen Daten zugreifen zu können, um Risiken effektiv zu messen und zu steuern. Und 51 % sagen, dass ihnen grundsätzlich die nötigen Fachkräfte fehlen, um Risiken angemessen bewerten zu können.

Exposure Management macht Cybersicherheit zu einer strategischen Geschäftsdisziplin, indem es Schwachstellen in ihren geschäftlichen Kontext stellt – und sie nicht länger als rein technische Herausforderung behandelt.

Anstatt Sicherheitsentscheidungen isoliert von Geschäftszielen zu treffen, bietet Exposure Management ein ganzheitliches Framework, in dem Unternehmen geschäftliche Chancen und Sicherheitsanforderungen gemeinsam bewerten können.

Ein klarer, objektiver Überblick über das Risiko – gestützt auf übergreifende Richtlinien und eine umfassende, kontextbasierte Sicht auf die gesamte Angriffsfläche – hilft Unternehmen dabei, das relative Risikoniveau einzelner Komponenten innerhalb der Technologieumgebung besser zu verstehen. So lässt sich auch bewerten, ob diese mit der angestrebten Risikostrategie des Unternehmens im Einklang stehen. Indem Risiken gezielt im Verhältnis zur eigenen Risikobereitschaft bewertet werden, können Unternehmen priorisierte Schwachstellen schneller erkennen und gezielt beheben.

Trotz der vielversprechenden Möglichkeiten des Exposure Managements steckt seine Einführung noch in den Anfängen. Die Umfrage von Ivanti zeigt, dass das Konzept des Exposure Managements weitgehend bekannt ist: 49 % der Sicherheitsfachkräfte geben an, dass ihre Unternehmensleitung über ein hohes Verständnis für Exposure Management verfügt.

Dennoch setzen nur wenige Unternehmen diesen Ansatz aktiv um. Lediglich 22 % der Sicherheitsexperten planen, ihre Investitionen in Exposure Management im Jahr 2025 zu erhöhen.

Aktuell geben 73 % der Sicherheitsexperten an, dass ihre Unternehmen Cyberrisiken quantifizieren, damit die Führungskräfte diese Informationen zur Entscheidungsfindung im Unternehmen nutzen können – ein gutes Zeichen. Unsere Untersuchung zeigt jedoch, dass es zwischen Sicherheitsteams und Unternehmensleitung an Abstimmung darüber fehlt, welche Faktoren bei der Risikobewertung im Vordergrund stehen sollten. Während Sicherheitsexperten dazu tendieren, die betrieblichen Auswirkungen als maßgeblich für die Quantifizierung von Cyberrisiken zu betrachten, legen Unternehmensverantwortliche den Fokus stärker auf die finanziellen Folgen.

Das Problem liegt nicht nur in der fehlenden Abstimmung, sondern auch in einer seit Langem bestehenden Kommunikationsblockade. Die Cybersicherheit in Unternehmen wird nach wie vor in erster Linie von spezialisierten Sicherheitsteams verantwortet, die ihre Anforderungen gegenüber der Unternehmensführung jedoch oft nur schwer vermitteln können. Gleichzeitig sind Führungskräfte sich zwar der hohen Relevanz von Cybersicherheit bewusst, verfügen jedoch nicht über das nötige Fachwissen, um die Wissenslücke zwischen sich und den IT- bzw. Sicherheitsteams zu überbrücken.

Nur 40 % der Sicherheitsexperten geben an, dass ihre Sicherheitsverantwortlichen bei der Kommunikation von Risiken „sehr effektiv“ sind. Exposure Management unterstützt Sicherheitsteams dabei, komplexe Risiken gegenüber Führungskräften außerhalb der IT klar und nachvollziehbar zu kommunizieren.

Dieser Report basiert auf dem Report um Stand der Cybersicherheit 2025: Paradigmenwechsel. Im Rahmen der Studie wurden im Oktober 2024 über 2.400 Führungskräfte und Cybersicherheitsexperten befragt. Diese Studie wurde von Ravn Research durchgeführt. Die Teilnehmenden wurden von MSI Advanced Customer Insights ausgewählt. Die Umfrageergebnisse sind nicht gewichtet.