Ein CISO für 10.000 Unternehmen

Die Zahl wirkt fast absurd: Weltweit stehen rund 35.000 Chief Information Security Officers (CISOs) mehr als 359 Millionen Unternehmen gegenüber. Anders gesagt: Ein einziger CISO wäre rechnerisch für über 10.000 Organisationen verantwortlich. Der aktuelle CISO Report 2026 macht damit eine Schieflage sichtbar, die längst nicht mehr zu übersehen ist – und die grundlegende Fragen zur Zukunft der Cybersicherheit aufwirft.

Ein System im Ungleichgewicht

Über Jahre hinweg galt die Einführung von CISO-Positionen als Meilenstein moderner Unternehmensführung. In großen Konzernen ist die Rolle heute fest etabliert. Doch jenseits der Fortune-500- und Global-2000-Welt zeigt sich ein anderes Bild: Die Mehrheit der Unternehmen agiert weiterhin ohne strategische Sicherheitsführung.

„Das sind keine guten Aussichten. Das ist ein Marktversagen“, sagt Joe Levy, CEO von Sophos. „Das Cybersicherheits-Ökosystem hat noch nicht herausgefunden, wie diese Lücke geschlossen werden kann – aber wir haben jetzt das Potenzial, es zu tun.“ Die Aufgabe eines CISOs geht weit über technische Schutzmaßnahmen hinaus. Es geht um Risikostrategien, Priorisierung von Investitionen und die Vorbereitung auf komplexe Bedrohungsszenarien – von Ransomware über Lieferkettenangriffe bis hin zu KI-gestützten Attacken. Genau diese strategische Ebene fehlt jedoch Millionen von Unternehmen.

Die wachsende Lücke – und ihre Folgen

Die Zahlen des Reports sprechen eine deutliche Sprache: Während die Bedrohungslage weltweit eskaliert, bleibt die personelle Ausstattung weit hinter dem Bedarf zurück. Gleichzeitig denken rund 75 Prozent der CISOs über einen Jobwechsel nach – ein Alarmsignal für eine ohnehin angespannte Situation. Was entsteht, ist mehr als nur ein Fachkräftemangel. Es ist ein strukturelles Problem. Denn ohne ausreichende Sicherheitsführung steigt die Anfälligkeit für Angriffe massiv – mit direkten Auswirkungen auf Geschäftsbetrieb, Finanzen und Reputation.

Cyberkriminalität als Milliardenrisiko

Parallel verschärft sich die wirtschaftliche Dimension der Bedrohung. Prognosen zufolge könnten die globalen Schäden durch Cyberangriffe bis 2031 auf über 11 Billionen Euro pro Jahr anwachsen – eine Verdopplung innerhalb eines Jahrzehnts. Besonders Ransomware entwickelt sich zum Kostentreiber. Bereits 2026 werden weltweit Schäden in zweistelliger Milliardenhöhe erwartet – Tendenz weiter steigend. Für Unternehmen ohne strategische Sicherheitskompetenz wird das Risiko damit existenziell.

Mittelstand unter Druck

Am härtesten trifft diese Entwicklung kleine und mittlere Unternehmen. Sie bilden das Rückgrat der globalen Wirtschaft, verfügen jedoch selten über eigene CISOs. Die Gründe sind pragmatisch: Ein erfahrener Sicherheitschef kostet schnell zwischen 218.000 und 348.000 Euro jährlich – für viele schlicht nicht finanzierbar. Zwar gewinnen Modelle wie virtuelle CISOs (vCISOs) an Bedeutung, doch auch sie stoßen an Grenzen. „Die Herausforderung bei den derzeitigen vCISO-Angeboten besteht darin, dass die personellen Kapazitäten nicht unbegrenzt skalierbar sind“, erklärt Raja Patel, President of Product & Marketing bei Sophos. Die Konsequenzen sind bereits sichtbar: Vier von fünf kleinen Unternehmen waren im vergangenen Jahr von Sicherheitsvorfällen betroffen – oft mit erheblichen finanziellen Schäden.

Auch CISOs am Limit

Selbst dort, wo Unternehmen über eigene Sicherheitsverantwortliche verfügen, ist die Lage angespannt. Hohe Arbeitsbelastung, zunehmende regulatorische Anforderungen und ein leergefegter Arbeitsmarkt setzen die Rolle unter Druck. Die durchschnittliche Verweildauer von CISOs liegt inzwischen bei gerade einmal 18 bis 26 Monaten – ein Zeichen dafür, wie schwierig es ist, diese Schlüsselposition langfristig zu besetzen.

Der Aufstieg der Sicherheitsdienstleister

Vor diesem Hintergrund rücken Managed Services Provider (MSPs) und Managed Security Service Provider (MSSPs) zunehmend ins Zentrum. Was einst als operative Unterstützung begann, entwickelt sich mehr und mehr zu einer strategischen Partnerschaft. Der Report bringt es auf den Punkt: Sicherheitsprozesse lassen sich am effektivsten über Dienstleistungen skalieren – und zunehmend gilt das auch für Führungsaufgaben im Sicherheitsbereich. Joe Levy sieht darin eine klare Perspektive: „Es gibt die Chance, durch ein hybrides Modell aus Menschen und Technologie die nächste Generation von MSPs und MSSPs zu schaffen – für Hunderte Millionen von Unternehmen, die sonst keinen Zugang dazu hätten.“

Neue Modelle für eine neue Realität

Mit Angeboten wie „CISO Advantage“ versucht Sophos, genau diese Lücke zu schließen. Ziel ist es, zentrale Elemente der CISO-Rolle – von Governance über Compliance bis hin zum strategischen Risikomanagement – auch Unternehmen zugänglich zu machen, die keine eigene Sicherheitsleitung aufbauen können. Die Richtung ist klar: Klassische Modelle stoßen an ihre Grenzen. Der Bedarf an strategischer Cybersicherheitskompetenz wächst schneller, als Unternehmen ihn intern decken können. Die entscheidende Frage wird sein, wie sich diese Kompetenz künftig skalieren lässt – und wer sie bereitstellt.

Fazit

Der CISO Report 2026 zeigt nicht nur Zahlen, sondern eine Zäsur. Cybersicherheit ist längst keine rein technische Disziplin mehr, sondern eine strategische Kernaufgabe – für die jedoch die notwendigen Ressourcen fehlen. Die Zukunft wird davon abhängen, ob es gelingt, Sicherheit neu zu denken: vernetzter, skalierbarer und zugänglicher. Denn eines ist klar – ein CISO für 10.000 Unternehmen ist kein Modell, das auf Dauer funktionieren kann.