Die neue Studie von Qualys in Kooperation mit Dark Reading zeigt ein klares Bild: Auch wenn Unternehmen heute mehr Geld in Cybersicherheit stecken und das Thema zunehmend auf Vorstandsebene ankommt, bleibt das Risikomanagement oft hinter den Erwartungen zurück. Der Grund ist überraschend einfach – es fehlt der Bezug zum Geschäft.

Was die Studie mit über 100 IT- und Security-Verantwortlichen zeigt:

• Mehr Risiko trotz mehr Budget: 71 % der Befragten berichten von gleichbleibenden oder sogar steigenden Cyberrisiken – trotz wachsender Investitionen.
• Programme ohne Praxisnähe: Zwar haben 49 % der Unternehmen ein formelles Risikoprogramm, doch nur 30 % orientieren sich dabei an konkreten Geschäftszielen.
• Investitionen mit wenig Wirkung: Ohne klare Priorisierung und Transparenz bleibt der Erfolg vieler Sicherheitsmaßnahmen aus.
• Fehlender Überblick über Assets: Nur 13 % der Unternehmen erfassen ihre IT-Ressourcen kontinuierlich – fast die Hälfte arbeitet noch manuell.
• Schwache Anbindung ans Management: Lediglich 14 % verknüpfen Cyberberichte mit finanziellen Kennzahlen. Nur 22 % binden die Finanzabteilung ein.
• Wunsch nach Business-Relevanz: Statt technischer Score-Werte (wie CVSS) wünschen sich Führungskräfte Entscheidungen auf Basis konkreter Geschäftsrisiken.

Sicherheit ja – aber ohne Verbindung zum Kerngeschäft

Cybersicherheit wird zunehmend als strategisches Thema anerkannt. Doch bei der Umsetzung hapert es: Fast jedes zweite Unternehmen hat ein formelles Risikoprogramm, aber nur ein Drittel davon nutzt es, um geschäftsrelevante Prioritäten zu setzen. Die Studie macht deutlich: Es braucht einen stärkeren Fokus auf die konkreten Auswirkungen von Risiken – etwa potenzielle Umsatzverluste oder Bedrohungen für sensible Kundendaten.

Woran scheitert es?

Oft fehlt ein Gesamtbild: Tools arbeiten isoliert, wichtige Informationen über Assets bleiben im Verborgenen und die Bewertung von Risiken orientiert sich häufig an technischen Standards – statt an strategischen Zielen. Führungskräfte wollen aber keine technischen Dashboards mehr. Sie wollen klare Antworten auf Fragen wie: Wo liegen die größten Risiken? Wie teuer kann es werden? Welche Maßnahmen bringen den größten Schutz fürs Geschäft?

Ein neuer Ansatz: Das Risk Operations Center (ROC)

Genau hier setzt das von Qualys entwickelte Risk Operations Center (ROC) an. Es bringt Risikobewertung, -überwachung und -steuerung unter ein Dach – auf Basis von Echtzeitdaten mit Geschäftskontext. Unterstützt wird das Konzept vom Enterprise TruRisk Management (ETM), das technische Informationen übersetzt und in geschäftsrelevante Kennzahlen überführt. So lassen sich fundierte Entscheidungen treffen – nicht aus dem Bauch, sondern aus dem Business.

Fazit: Weg von der Technik, hin zum echten Risikoverständnis

Wer Cybersicherheit heute wirklich wirksam gestalten will, muss umdenken: Weg vom reinen Technikfokus, hin zu einem Risikomanagement, das das Geschäft in den Mittelpunkt stellt. Das ROC-Modell liefert hierfür einen strukturierten, unternehmensweiten Ansatz.

Den vollständigen Bericht „State of Cyber Risk 2025“ finden Sie unter: Transform Cybersecurity from a Cost Center to a Business Driver | Qualys, Inc