Navigieren durch die Cyber-Komplexität in einer risikoreichen Welt: Lehren aus dem WEF

Von Phil Muncaster • 13 Februar 2025

Die Zahl der Cyberbedrohungen ist möglicherweise leicht zurückgegangen Liste globaler Risiken in den nächsten 2-10 Jahren zu beobachten. Doch laut dem Weltwirtschaftsforum (WEF) bleiben sie ein wichtiges Anliegen der Wirtschaftsführer. Wie die jüngste Globaler Cybersicherheitsausblick warntAngesichts der zunehmenden Komplexität wird es immer schwieriger, eine wirksame Widerstandsfähigkeit gegen derartige Bedrohungen aufzubauen.

Für Sicherheits- und Compliance-Experten besteht der Schlüssel in Zukunft darin, das Rad nicht neu zu erfinden. Die beste Vorgehensweise besteht darin, die Bedrohungslandschaft und die größten Risiken innerhalb der Organisation zu verstehen und Best-Practice-Maßnahmen zu ergreifen, um dieses Risiko kontinuierlich und nachweislich zu mindern.

Was sagt das WEF?

Das WEF Globaler Risikobericht 2025 basiert auf den Meinungen von 11,000 Unternehmensführern und Risikoexperten aus Wissenschaft, Wirtschaft, Regierung, internationalen Organisationen und der Zivilgesellschaft. Sie stufen „Cyber-Spionage und -Kriegsführung“ (verwirrenderweise umfasst dies auch Angriffe nichtstaatlicher Akteure) auf Platz fünf der Liste der kurzfristigen Risiken ein. Das ist ein Rückgang gegenüber dem vierten Platz im letzten Jahr, als die Kategorie noch „Cyber-Unsicherheit“ hieß. Und in Bezug auf das langfristige Risiko im nächsten Jahrzehnt liegt sie auf Platz neun, nach dem vorherigen achten Platz.

Wir sollten jedoch nicht zu viel in diese leichte Herabstufung hineininterpretieren. Es ist auch bemerkenswert, dass „negative Folgen von KI-Technologien“ auf der Liste der langfristigen Risiken an sechster Stelle stehen. Diese „Folgen“ könnten durchaus durch böswillige Cyberaktivitäten wie Daten-/Modellvergiftung beeinflusst werden.

Interessanter ist der Cybersicherheitsbericht, den das WEF in derselben Woche letzten Monats veröffentlichte. Er warnt vor einer zunehmend komplexen Cybersicherheitslandschaft, die durch folgende Faktoren bedingt ist:

Eskalierende geopolitische Spannungen

Diese Bedenken betreffen nahezu 60 % der Organisationen, die auf die Umfrage geantwortet haben, und ein Drittel der CEOs gibt an, dass Cyber-Spionage und der Verlust vertraulicher Informationen/geistigen Eigentums erhebliche Bedenken hervorrufen.

Stärkere Integration und Abhängigkeit von komplexeren Lieferketten

Über die Hälfte (54 %) der Organisationen nennen dies als größtes Hindernis auf dem Weg zur Resilienz.

Schnelle Einführung neuer Technologien, Vergrößerung der Angriffsfläche

Zwei Drittel (66 %) der Befragten geben an, dass KI in den nächsten zwölf Monaten Auswirkungen auf die Cybersicherheit haben wird, doch nur 12 % verfügen über Prozesse, um die Sicherheit von KI-Tools vor deren Einsatz zu beurteilen.

Eine wachsende Belastung durch die Einhaltung gesetzlicher Vorschriften

Etwa 78 Prozent der Führungskräfte im privaten Sektor sagen, dass Cyber- und Datenschutzvorschriften das Risiko wirksam senken, zwei Drittel der Befragten geben jedoch zu, dass die Komplexität und die schiere Anzahl der Anforderungen eine Herausforderung darstellen.

Diese Herausforderungen werden noch verschärft durch eine wachsende Cyber-Kompetenzlücke, was das Risikomanagement erschwert, neben ausgefeilteren Cyberbedrohungen. Etwa 72 % der Befragten geben an, dass die Cyberrisiken im vergangenen Jahr zugenommen haben, wobei Ransomware-Angriffe, Bedrohungen der Lieferkette und Cyberbetrug die ersten drei Plätze belegen.

Das Problem mit der Cyber-Resilienz

Es wird oft (zu Recht) gesagt, dass selbst die sicherste Organisation irgendwann einmal unter einer Art Sicherheitslücke leiden wird. Daher liegt der Fokus für CISOs heute auf der Cyber-Resilienz: die Fähigkeit Diese Ereignisse „vorwegzunehmen, ihnen standzuhalten, sich davon zu erholen und sich an sie anzupassen“, damit der Geschäftsbetrieb auch nach einem schwerwiegenden Angriff weitergeführt werden kann. Daher ist es besorgniserregend, dass die Cyber-Resilienz in kleineren Organisationen immer schlechter wird.

Laut WEF ist der Anteil der befragten KMU, die mangelnde Widerstandsfähigkeit beklagen, von 5 % im Jahr 2022 auf 35 % im Jahr 2025 gestiegen. Bei großen Organisationen hingegen hat sich die Zahl im gleichen Zeitraum von 13 % auf 7 % praktisch halbiert. Dem Bericht zufolge gaben 71 % der Cyber-Führungskräfte beim WEF-Jahrestagung zur Cybersicherheit 2024 an, dass kleine Organisationen einen „kritischen Wendepunkt“ erreicht hätten, an dem sie sich nicht mehr wirksam gegen die zunehmende Komplexität der Cyber-Risiken schützen könnten.

Dies ist für Organisationen jeder Größe von Bedeutung, da selbst das größte Unternehmen in seiner Lieferkette eine Vielzahl kleiner Geschäftspartner haben kann. Der WEF-Bericht hebt einen „Mangel an Transparenz und Übersicht“ der Sicherheitslage der Lieferanten als Hauptrisiko hervor. Lieferanten können in diesem Zusammenhang alles sein, vom Open-Source-Mitwirkenden bis hin zu einem professionellen Dienstleistungspartner oder MSP.

Obwohl 63 % der Befragten des Berichts „eine komplexe und sich entwickelnde Bedrohungslandschaft“ als größte Herausforderung für ihre Cyberresilienz angaben, besteht die erste – oft unüberwindbare – Hürde für CISOs und ihre Vorstände darin, wirtschaftliche Argumente für mehr Investitionen in Cybersicherheit zu finden. Oder wie es das WEF ausdrückt: „Führungskräfte müssen Cyberrisiken und ihre wirtschaftlichen Auswirkungen quantifizieren, um Investitionen mit den Kerngeschäftszielen in Einklang zu bringen.“

Erste Schritte

Regulierung ist hier das große Problem. Obwohl gut konzipierte Gesetze den Sicherheitsteams bei ihren Bemühungen zur Risikobewältigung einen wertvollen Schwerpunkt bieten können, ist es äußerst schwierig geworden, sich in der aktuellen Regulierungslandschaft zurechtzufinden. Drei Viertel (76 %) der CISOs bei der zuvor erwähnten WEF-Jahresversammlung berichteten offenbar, dass „die Fragmentierung der Vorschriften über verschiedene Rechtsräume hinweg die Fähigkeit ihrer Organisationen, die Einhaltung der Vorschriften aufrechtzuerhalten, stark beeinträchtigt“. Dies steht im Einklang mit der Aussage von ISMS.online Bericht zum Stand der Informationssicherheit 2024, aus der hervorgeht, dass 65 % der Befragten der Meinung sind, dass die schnelle Geschwindigkeit der regulatorischen Änderungen die Einhaltung der Best Practices für die Informationssicherheit erschwert.

Hier können Standards und Zertifizierungen helfen, indem sie die Grundlage für die Entwicklung von Programmen zur Einhaltung gesetzlicher Vorschriften bilden. Da viele dieser Vorschriften die Anwendung derselben zugrunde liegenden Best Practices erfordern, können dadurch auch Zeit, Geld und Aufwand gespart werden. Aus diesem Grund gaben 59 % der Teilnehmer der ISMS.online-Studie an, dass sie im kommenden Jahr mehr für diese Programme ausgeben wollen.

Malachi Walker, Sicherheitsberater bei DomainTools, argumentiert, dass dieser Ansatz nicht nur die Einhaltung gesetzlicher Vorschriften unterstützen werde, sondern auch Wettbewerbsvorteile in Form der Berechtigung für mehr Verträge, der Effizienz des Sicherheitsteams und eines erhöhten Kundenvertrauens mit sich bringen könne.

„Best-Practice-Standards wie NIST CSF, SOC 2 und ISO 27001 schließen diese Lücke, indem sie umsetzbare und konkrete Schritte vorgeben, mit denen Organisationen ihre Cyber-Resilienz erhöhen können“, sagt er gegenüber ISMS.online.

„Jede Organisation, unabhängig von ihrer Größe, kann die Zugriffskontrollen auf vertrauliche Daten einschränken, einen Notfallreaktionsplan entwickeln und umsetzen und darlegen, welche Bereiche innerhalb ihrer Organisation am anfälligsten sind. Wenn sie die Einhaltung dieser drei Schritte im Hinterkopf angehen, werden Compliance und Cybersicherheitsresilienz leichter erreichbar.“

Wie das WEF in seinem Bericht feststellt: „Jetzt ist es an der Zeit zu handeln.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster