Studie

Filigran-Studie: Unternehmen kämpfen mit Lücke zwischen Threat Intelligence und operativer Umsetzung

Filigran-Studie: Unternehmen kämpfen mit Lücke zwischen Threat Intelligence und operativer Umsetzung

84 Prozent der Cyberangriffe treffen bekannte, aber ignorierte Schwachstellen

Viele Unternehmen wissen längst, wo ihre größten Cyberrisiken liegen. Trotzdem schaffen es Sicherheitsteams oft nicht, diese Risiken schnell genug zu priorisieren und zu beheben. Genau diese Lücke wird 2026 zum Gamechanger in der Cybersicherheit: Wer Threat Intelligence nicht automatisiert validiert, bleibt trotz voller Datenlage angreifbar.

Der neue „State of Threat Management Report “ von Filigran zeigt, wie groß der Abstand zwischen Wissen und Handeln in der Cybersecurity inzwischen geworden ist. Die weltweite Studie, durchgeführt vom Marktforschungsunternehmen Vanson Bourne unter 550 IT-Sicherheitsverantwortlichen, kommt zu einem klaren Ergebnis: Continuous Threat Exposure Management, kurz CTEM, gewinnt zwar an Bedeutung, doch viele Unternehmen sind operativ noch nicht reif genug, um Cyberrisiken kontinuierlich zu bewerten, zu priorisieren und zu schließen.

Besonders alarmierend: 84 Prozent der Befragten stimmen zu, dass Cyberangriffe bekannte Risiken ausnutzen, die zuvor nicht ausreichend priorisiert wurden. Damit wird deutlich, dass es häufig nicht an Sichtbarkeit mangelt, sondern an Geschwindigkeit, Automatisierung und klarer Risikobewertung.

Die Exposure Gap: Unternehmen sehen Risiken, handeln aber zu langsam

Filigran spricht in seinem Bericht von einer sogenannten „Exposure Gap“. Gemeint ist die Lücke zwischen dem Wissen über vorhandene Bedrohungen und der Fähigkeit, diese Erkenntnisse in wirksame Sicherheitsmaßnahmen umzusetzen.

Viele Unternehmen arbeiten bereits mit zahlreichen Datenquellen. Im Durchschnitt nutzen sie laut Bericht 14 verschiedene Threat-Intelligence-Feeds. Doch mehr Daten bedeuten nicht automatisch mehr Sicherheit. 61 Prozent der Unternehmen geben an, nicht zuverlässig bestimmen zu können, welche Schwachstellen bei realen Angriffen am wahrscheinlichsten ausgenutzt werden.

Das führt zu einem massiven Effizienzproblem in Security Operations. Sicherheitsteams verbringen weltweit im Schnitt 42 Prozent ihrer Zeit mit der Untersuchung von Risiken, die sich später als niedrig priorisiert oder gar nicht ausnutzbar herausstellen. Genau diese Fehlsteuerung bindet Ressourcen, die an anderer Stelle dringend benötigt würden.

Julien Richard, Mitgründer von Filigran , bringt das Problem auf den Punkt: Unternehmen hätten heute nicht zu wenig Transparenz, sondern Schwierigkeiten, diese Transparenz schnell genug in konkrete Maßnahmen zu übersetzen. Ohne kontinuierliche Validierung und intelligente Priorisierung könnten Threat-Intelligence-Daten eher für Unübersichtlichkeit als für Klarheit sorgen.

Deutschland führt bei automatisierter Validierung

Auffällig ist die starke Position deutscher Unternehmen. Während weltweit nur 38 Prozent der Befragten Threat Intelligence in einem kontinuierlichen, vollständig automatisierten Validierungsprozess nutzen, liegt Deutschland deutlich vorn: 58 Prozent der deutschen Unternehmen setzen bereits auf vollständig automatisierte Validierung. Das ist der höchste Wert aller neun untersuchten Länder.

Dieser Reifegrad zeigt Wirkung. Deutsche Sicherheitsteams verbringen laut Studie nur 27 Prozent ihrer Arbeitszeit mit der Analyse risikoarmer oder nicht ausnutzbarer Schwachstellen. Global liegt dieser Wert bei 42 Prozent.

Auch beim konsolidierten Überblick über die Cyber-Risikoexposition steht Deutschland an der Spitze. 54 Prozent der deutschen Befragten verfügen über eine vollständig konsolidierte Risikosicht, knapp vor den USA mit 53 Prozent. Zudem arbeiten alle 50 befragten deutschen Unternehmen aktiv an einem CTEM-Programm.

Doch der Vorsprung bringt neue Herausforderungen mit sich. Deutsche Teams nennen weiterhin Alert Fatigue, manuelle Korrelation fragmentierter Daten und den Fachkräftemangel als zentrale Hindernisse. Mit anderen Worten: Je reifer das Threat Management wird, desto stärker steigen Datenmenge, Alarmaufkommen und operative Komplexität.

Manuelle Prozesse bremsen die Priorisierung aus

Der Bericht zeigt auch, warum viele Unternehmen trotz guter Absichten nicht schnell genug vorankommen. 88 Prozent der Befragten sind überzeugt, dass regelmäßige Bewertungen nicht mehr mit dem Tempo moderner IT-Umgebungen mithalten können. Gleichzeitig verlassen sich viele Organisationen bei Schwachstellenanalyse und Bedrohungsbewertung weiterhin ganz oder überwiegend auf manuelle Prozesse.

Das ist riskant, denn moderne Angriffsflächen verändern sich ständig. Cloud-Infrastrukturen, SaaS-Anwendungen, Identitäten, Schnittstellen und externe Abhängigkeiten erzeugen laufend neue potenzielle Angriffspunkte. Wer diese Risiken nur punktuell bewertet, arbeitet zwangsläufig mit veralteten Prioritäten.

Zu den größten Hürden bei der Validierung von Bedrohungen zählen laut Studie die Sorge vor Systemausfällen, zu hoher manueller Aufwand und eine schlechte Integration in bestehende Sicherheitsprozesse. Hinzu kommt die Alarmflut: 89 Prozent der Befragten sagen, dass weniger irrelevante Alarme helfen würden, echte Geschäftsrisiken besser zu erkennen.

KI und Automatisierung werden zum Schlüssel für CTEM

Die nächste Entwicklungsstufe im Threat Management wird klar von KI und Automatisierung geprägt sein. Bereits heute sind 37 Prozent der CTEM-Prozesse KI-gestützt. Innerhalb von zwei Jahren soll dieser Anteil laut den Befragten auf 59 Prozent steigen.

Der Bedarf ist offensichtlich: 88 Prozent der Sicherheitsteams sagen, dass sie ohne stärkere Automatisierung mit der Menge der zu bewertenden Risiken nicht Schritt halten können. Gleichzeitig haben erst 38 Prozent der Unternehmen eine kontinuierliche, automatisierte Validierung umgesetzt.

Besonders großes Potenzial sehen die Befragten in drei Bereichen: bei der Erkennung von Schwachstellen, Fehlkonfigurationen und Sicherheitslücken, beim Verständnis relevanter Bedrohungen für die eigene Umgebung sowie bei der Überprüfung, ob eine Schwachstelle tatsächlich realistisch ausnutzbar ist.

Damit wird KI nicht nur als Analysewerkzeug relevant, sondern als operativer Beschleuniger. Sie kann helfen, Sicherheitsdaten aus unterschiedlichen Quellen zusammenzuführen, Risiken nach geschäftlicher Relevanz zu bewerten und Security-Teams schneller zu den wirklich kritischen Maßnahmen zu führen.

Proaktive Cybersicherheit entscheidet sich an der Umsetzung

Der Filigran-Bericht macht deutlich: Die Cybersecurity-Branche hat in den vergangenen Jahren massiv in Erkennung, Intelligence und Monitoring investiert. Doch reine Sichtbarkeit reicht nicht mehr aus. Entscheidend ist, ob Unternehmen Bedrohungsinformationen kontinuierlich mit Schwachstellenmanagement, Validierung und Risikominderung verbinden.

In den kommenden 12 bis 24 Monaten planen drei Viertel der befragten Unternehmen Investitionen in Tools zur Quantifizierung von Cyberrisiken und in Funktionen zur Bewertung von Sicherheitslücken. Das zeigt, wie stark sich der Markt in Richtung kontinuierlicher, risikobasierter Sicherheitssteuerung bewegt.

Die Dringlichkeit ist hoch. 93 Prozent der Befragten stimmen zu, dass Verzögerungen beim Cyberrisikomanagement die Wahrscheinlichkeit schwerwiegender Vorfälle erhöhen. 94 Prozent sind zudem überzeugt, dass eine proaktive Cybersicherheitsstrategie im Jahr 2026 von der Integration von Bedrohungsinformationen in das Schwachstellenmanagement abhängen wird.

Fazit: Cybersecurity braucht weniger Datenchaos und mehr Priorisierung

Der „State of Threat Management Report“ zeigt ein zentrales Problem moderner Cybersicherheit: Viele Unternehmen kennen ihre Schwachstellen, können aber nicht schnell genug entscheiden, welche davon wirklich gefährlich sind. Genau dort entsteht die Exposure Gap.

Deutschland zeigt, dass automatisierte Validierung und konsolidierte Risikosicht messbare Vorteile bringen können. Gleichzeitig wird deutlich, dass selbst fortgeschrittene Programme ohne stärkere Automatisierung an Grenzen stoßen.

Für Unternehmen lautet die wichtigste Botschaft: Threat Intelligence allein schützt nicht. Erst wenn Bedrohungsdaten, Schwachstellenmanagement, KI-gestützte Validierung und operative Maßnahmen in einem kontinuierlichen CTEM-Prozess zusammenlaufen, entsteht echte Resilienz gegen moderne Cyberangriffe.

Über die Umfrage

Der „State of Threat Management Report“ basiert auf einer Umfrage unter 550 leitenden Entscheidungsträgern und Fachkräften im Bereich IT-Sicherheit in Unternehmen mit mehr als 1.000 Mitarbeitern aus den Branchen Finanzdienstleistungen, Gesundheitswesen, Energie, öffentlicher Sektor, IT und Technologie sowie Einzelhandel. Die Umfrage wurde von Vanson Bourne zwischen Februar und März 2026 in den Vereinigten Staaten, Kanada, Frankreich, Deutschland, dem Vereinigten Königreich, Australien, Singapur, Japan und den Vereinigten Arabischen Emiraten durchgeführt.