Jedes Jahr führt Proofpoint für den Voice of the CISO-Bericht eine Befragung unter Cybersicherheitsverantwortlichen in Unternehmen durch. Der Alltag von CISOs wird 2025 bestimmt von persistenten Cyberbedrohungen, komplexen Datenumgebungen, neuen Technologien wie generativer KI (GenAI) sowie von immer größerem persönlichem und beruflichem Druck.
Basierend auf einer Umfrage unter 1.600 CISOs aus 16 Ländern liefert der aktuelle Bericht wichtige Erkenntnisse zu ihren Problemen, Prioritäten und Aufgabenbereichen. Hier stelle ich die wichtigsten Fakten aus sieben Themenkomplexen vor.
1. Zwischen Zuversicht und Besorgnis
Obwohl 67 % der CISOs die Cybersicherheitskultur in ihrem Unternehmen als stark bezeichnen, rechnen 76 % in den nächsten 12 Monaten mit einem Cyberangriff. 2024 waren es noch 70 %. Dieser Widerspruch zeigt deutlich, dass Kompromittierungen zunehmend als unvermeidbar angesehen werden.
Die zunehmende Sorge ist dabei nicht unbegründet: 66 % der CISOs gaben an, innerhalb der letzten 12 Monate einen erheblichen Verlust vertraulicher Informationen erlitten zu haben, während es 2024 noch 46 % waren. Trotz erheblicher Investitionen in Sicherheit und Schulungen fühlt sich mehr als die Hälfte von ihnen 2025 schlecht auf einen Cyberangriff vorbereitet.
2. Angriffe aus allen Richtungen
Angesichts der Vielzahl von Angriffsvektoren sind sich CISOs nicht einig, welche Bedrohung die größte Gefahr darstellt. E-Mail-Betrug und Insider-Bedrohungen teilen sich Platz 1 (je 37 %), dicht gefolgt von Ransomware (36 %), Cloud-Kontoübernahmen (34 %) und Supply-Chain-Angriffen (33 %).
All diese Bedrohungen haben eines gemeinsam: Datenverlust. Unabhängig vom Angriffsvektor haben es Cyberkriminelle vor allem auf vertrauliche Informationen abgesehen. Wenig überraschend würden daher 66 % der Unternehmen wahrscheinlich ein Lösegeld zahlen, um Systeme wiederherzustellen oder die Veröffentlichung von Daten durch Angreifer zu verhindern.
3. Datensicherheitsrisiko durch wachsende Datenmengen
Daten nehmen nicht nur in ihrer Menge zu, sondern verteilen sich auch zunehmend über Clouds, Geräte und neuerdings auch GenAI-Tools, was ihre Klassifizierung, Governance und Absicherung noch weiter erschwert. Während 98 % der CISOs ein Programm zur Datenverlustprävention (DLP) haben, verfügen nur 6 % über dedizierte Ressourcen.
Das spiegelt sich in den Zahlen wider: 66 % der befragten CISOs verzeichneten in den letzten 12 Monaten einen schwerwiegenden Datenverlust, der in den meisten Fällen durch den Faktor Mensch ausgelöst wurde: fahrlässig oder böswillig handelnde Insider oder kompromittierte Anwender. Phil Ross, CISO bei Air New Zealand fasst es treffend zusammen: „Daten verlieren sich nicht von selbst. Dazu bedarf es des Menschen.“
4. Der Faktor Mensch ist weiterhin ein Problem
Die Mitarbeiter eines Unternehmens sind weiterhin seine wichtigste Ressource – und gleichzeitig die größte Cyberschwachstelle. Ganze 66 % der CISOs sind der Meinung, dass der Faktor Mensch in ihrem Unternehmen die größte Cyberschwachstelle ist – auch wenn 68 % glauben, dass ihre Mitarbeiter mit den Best Practices in Bezug auf Datenschutz vertraut sind.
Trotzdem fehlen in vielen Unternehmen angemessene personenzentrierte Schutzmaßnahmen. Mitarbeiterschulungen haben geringe Priorität und nur 70 % der Unternehmen verfügen über ein dediziertes Programm zur Abwehr von Insider-Risiken. Diese Diskrepanz zwischen wahrgenommener Mitarbeiterkompetenz und tatsächlichem Verhalten ist eine fortwährende Schwachstelle.
5. KI: Freund und Feind
Generative KI ist im geschäftlichen Alltag heute nicht mehr wegzudenken – und spielt auch in der Cybersicherheit eine immer größere Rolle. Für 60 % der CISOs stellt GenAI ein Sicherheitsrisiko dar (gegenüber 54 % im letzten Jahr). Zu den am häufigsten genannten Sorgen gehören Datenlecks durch öffentliche GenAI-Tools, die Nutzung von Collaboration-Plattformen wie Slack und Teams und die einfache Erstellung und Weitergabe vertraulicher Daten außerhalb der üblichen Schutzmaßnahmen.
Dennoch sehen CISOs in generativer KI auch einen Nutzen: Für 64 % hat die sichere Nutzung von KI-Tools in den nächsten zwei Jahren höchste Priorität und 68 % wollen KI-gestützte Funktionen einsetzen, um ihr Unternehmen vor menschlichen Fehlern und hochentwickelten Cyberbedrohungen zu schützen.
6. Die Rolle des CISO im Vorstand
Nach einem Höchstwert im Jahr 2024 gaben in diesem Jahr nur 64% der CISOs an, dass sie sich beim Thema Cybersicherheit mit ihrem Vorstand auf Augenhöhe sehen. Das ist ein dramatischer Rückgang gegenüber den 84 % im letzten Jahr. Gleichzeitig sind nur 66 % der Meinung, dass auf Vorstandsebene Cybersicherheitskenntnisse erforderlich sein sollten. Auch hier waren es im letzten Jahr noch 84 %.
Dennoch gab es einen Fortschritt. Zum ersten Mal wurden die Auswirkungen auf die Unternehmensbewertung als größte Sorge des Vorstands bei einem Cyberangriff genannt. Dies deutet darauf hin, dass Vorstandsmitglieder die strategische Bedeutung von Cyberrisiken besser verstehen.
7. Steigender Druck bei begrenzter Entlastung
Die Anforderungen an CISOs sind weiterhin enorm. 66 % haben das Gefühl, dass an sie übermäßige Erwartungen gestellt werden. Das sind ebenso viele wie im Vorjahr und immer noch mehr als in den Jahren davor. Schlimmer noch: 67 % fühlen sich bei einem Cybersicherheitsvorfall persönlich verantwortlich. Gleichzeitig sind nur 67 % der Meinung, dass ihr Unternehmen ausreichend Budget, Personal und Tools bereitstellt, um die Cybersicherheitsziele erreichen zu können.
Es gibt jedoch Grund zur Hoffnung: 65 % der CISOs gaben an, dass ihr Unternehmen Schritte unternommen hat, um sie vor persönlicher Haftung zu schützen. Dies könnte dazu beitragen, die zunehmende Zahl der gemeldeten Burnout-Fälle zu reduzieren.
Fazit
Der Voice of the CISO-Bericht 2025 zeichnet ein komplexes Bild: Sicherheitsverantwortliche verfügen über mehr Wissen und werden stärker wahrgenommen als zuvor. Dennoch sind sie stärker gefährdet – durch Angriffe, Burnout und potenziell überzogene Erwartungen.
Die Herausforderung besteht darin, die Zuversicht des Unternehmens in echte Resilienz umzuwandeln. Dies erfordert nicht nur intelligentere Technologie, sondern auch stärkere Governance, mehr Investitionen in Mitarbeiterschulungen und echtes Engagement des Vorstands. Da sich die Bedrohungslandschaft permanent verändert, benötigen wir auch einen neuen Ansatz zum Schutz unserer wichtigsten Ressourcen – unserer Mitarbeiter und unserer Daten.
Laden Sie den vollständigen Voice of the CISO-Bericht 2025 hier herunter.
Registrieren Sie sich für unser bevorstehendes Voice of the CISO-Webinar, bei dem Sie mehr über unsere wichtigsten Erkenntnisse erfahren und CISOs ihre Sicht der Dinge vorstellen.
