Viele Unternehmen verschweigen Cyberangriffe, was zu einem Mangel an Bewusstsein und Veränderungsdruck führt. Diese Geheimhaltung verhindert kollektives Lernen und systematische Verbesserungen, wodurch eine gefährliche Sicherheitsillusion entsteht. Um echte Resilienz zu erreichen, müssen Unternehmen offen mit Sicherheitsvorfällen umgehen und kontinuierlich aus ihnen lernen.
Jeder Verkehrsunfall in Deutschland wird genaustens dokumentiert und analysiert. Bei Cyberangriffen ist das anders. Selbst wenn ganze Unternehmen gehackt werden, bleibt der Vorfall oft unter Verschluss. Es wird nicht kommuniziert, nicht transparent gemacht, nicht systematisch aufgearbeitet. Stattdessen wird nach außen geschwiegen und sich nach innen auf Krisenkommunikation beschränkt.
Dieses Schweigen hat Folgen: Es fehlt an Awareness und Veränderungsdruck im betroffenen Unternehmen, und andere Organisationen können nicht aus den Fehlern lernen. Viele Unternehmen scheuen die offene Auseinandersetzung mit Sicherheitsvorfällen aus Angst vor Reputationsverlust, Vertrauensbruch oder rechtlichen Konsequenzen.
So entsteht kein kollektives Sicherheitsbewusstsein, keine geteilte Erfahrung, keine systematische Verbesserung. Der Eindruck, man sei selbst ausreichend geschützt, bleibt bestehen und wird zu einer gefährlichen Sicherheitsillusion.
Warum ist das so? Viele Unternehmen scheuen die offene Auseinandersetzung mit Sicherheitsvorfällen aus nachvollziehbaren Gründen: Scham über eigene Versäumnisse, Angst vor Reputationsverlust, Sorge um das Vertrauen von Kunden, Partnern oder Investoren, und nicht zuletzt: fehlende interne Strukturen, um Vorfälle professionell aufzuarbeiten.
Dabei fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) genau das: Laut der Orientierungshilfe für Systeme zur Angriffserkennung (OH SzA) müssen KRITIS/NIS2-Unternehmen klare Prozesse zur Detektion, Reaktion, Dokumentation und Auswertung von Sicherheitsvorfällen etablieren.
Dazu gehören:
- die Protokollierung sicherheitsrelevanter Ereignisse,
- die Zuweisung von Rollen und Verantwortlichkeiten,
- die Verpflichtung zur Meldung,
- ein Lessons-Learned-Prozess, der dokumentiert und nachweisbar ist.
Technologie: Das Werkzeug, nicht die Lösung. Moderne Lösungen wie SIEM, XDR, EDR bieten Potenziale, bleiben aber wirkungslos, wenn sie isoliert eingesetzt werden. Typische Schwächen sind fehlende Integration, unklare Zuständigkeiten und fehlende Automatisierung.
Empfehlungen für IT-Verantwortliche:
- Verantwortlichkeiten für IT-Sicherheit festlegen,
- Zero Trust Architektur umsetzen,
- Least Privilege durchsetzen,
- SIEM mit SOAR kombinieren,
- Cloud-native Security nutzen.
Prozesse: Struktur statt Reaktion. Technologie entfaltet ihre Wirkung nur im Rahmen klar definierter Abläufe. Typische Schwächen sind unklare Rollen und Eskalationswege sowie Prozesse, die nicht mit Tools verknüpft sind.
Empfehlungen für IT-Verantwortliche:
- Incident Response Playbooks entwickeln,
- Change- und Patch-Management automatisieren,
- Zugriffsprozesse standardisieren,
- Security in DevOps integrieren (DevSecOps),
- regelmäßige Tabletop-Übungen durchführen.
Mensch: Haltung, Wissen, Verantwortung. Der Mensch ist in der IT-Sicherheit nach wie vor ein ungenutztes Potenzial. Eine starke Sicherheitskultur entsteht durch gelebte Verantwortung und kontinuierliche Sensibilisierung. Typische Schwächen sind einmalige und generische Awareness-Trainings sowie Sicherheitsverantwortung, die nur der IT zugeschrieben wird.
Empfehlungen für IT-Verantwortliche:
- rollenbasierte Awareness-Programme etablieren,
- Security Champions aufbauen,
- Phishing-Simulationen regelmäßig durchführen,
- Security KPIs in Zielvereinbarungen integrieren,
- psychologische Sicherheit fördern.
Überlastung bei IT- und Security-Verantwortlichen. IT- und Security-Teams sind zunehmend überfordert. Laut einer Studie von Forrester geben 60 % der Unternehmen an, nicht über genügend Analysten zu verfügen. 82 % befürchten, dass ihnen kritische Bedrohungen entgehen.
Auch die Trend-Micro/BIGS-Studie zeigt: Während 57 % der IT-Teams externe Unterstützung befürworten, lehnen viele Security-Verantwortliche diese ab. Oft fürchten sie, Kontrolle abzugeben oder haben bereits schlechte Erfahrungen mit Dienstleistern gemacht. Doch diese Haltung kann gefährlich sein, wenn interne Ressourcen nicht ausreichen.
Typische Herausforderungen interner Security-Teams:
- Personelle Engpässe durch Urlaub, Krankheit oder Fluktuation.
- Ermüdung und Leichtsinn durch Dauerbelastung.
- Fehlende Spezialisierung bei Generalisten, die Security »nebenher« betreuen.
- Verlust von Know-how, wenn Schlüsselpersonen das Unternehmen verlassen.
- Kostenintensive Weiterbildung, um mit der Bedrohungslage Schritt zu halten.
Outsourcing als strategische Option. Managed Security Service Provider bieten eine skalierbare Ergänzung zur internen IT. Sie ermöglichen 24/7-Monitoring, Zugriff auf aktuelle Threat Intelligence und Entlastung interner Teams.
Empfehlungen für IT-Verantwortliche:
- Rollen und Zuständigkeiten klar definieren,
- hybride Modelle prüfen,
- SOC as a Service evaluieren,
- Mitarbeitende entlasten und befähigen,
- kontinuierliche Weiterbildung sicherstellen oder gezielt auslagern.
Fazit: Resilienz beginnt mit Transparenz. Solange Unternehmen sich nicht ehrlich mit ihren Angriffspunkten auseinandersetzen, bleibt jede Maßnahme Stückwerk. Die gefährlichste Schwachstelle ist nicht ein offener Port oder ein veralteter Patch. Es ist die Illusion, sicher zu sein.
Wer Resilienz ernst meint, muss bereit sein, die Komfortzone zu verlassen. Das bedeutet, Technologie nicht nur einzuführen, sondern zu beherrschen. Prozesse nicht nur zu dokumentieren, sondern zu leben. Menschen nicht nur zu schulen, sondern zu befähigen.
Und es bedeutet: offen mit Vorfällen umzugehen! Nur wenn Sicherheitsvorfälle transparent gemacht, dokumentiert und geteilt werden, kann ein kollektives Lernen einsetzen – innerhalb des Unternehmens und darüber hinaus. So entsteht Klarheit, wo heute noch Unsicherheit herrscht. Und konkrete Erkenntnisse ersetzen das Wissensvakuum aus -Spekulation, Schweigen und Geheimniskrämerei.
Tizian Kohler,
Head of Security des
IT-Beratungsunternehmens Adlon
https://adlon.de/services/managed-security/
https://adlon.de/event-optimierung-mxdr/
Illustration: © John Takai | Dreamstime.com
Managed Services für die IT-Sicherheit versprechen eine bequeme Lösung für überlastete IT-Abteilungen. Bei der Auswahl der Anbieter sollten Unternehmen allerdings Vorsicht walten lassen – der Markt ist groß, die Qualitätsunterschiede beträchtlich. Worauf kommt es bei der Suche nach einem verlässlichen Partner und einer sicheren Lösung an? Unternehmen stehen vor der großen Herausforderung, ihre Systeme…