Verizons DBIR 2025 im Vergleich zu Ihrem Vorstand: Was ihnen entgeht

Von Phil Muncaster • 24 Juni 2025

CISOs werden zunehmend zu Vorstandssitzungen eingeladen. Splunk-Umfrage Eine Studie vom Januar ergab, dass 83 % eher häufig oder meistens teilnehmen, während ein ähnlicher Anteil direkt mit dem CEO interagiert. Allerdings gibt weniger als ein Drittel der Befragten an, dass der Vorstand ein oder mehrere Mitglieder mit Cyber-Expertise hat. Das bedeutet, dass CISOs möglicherweise sprechen, ohne wirklich gehört zu werden.

Der Verizon Data Breach Investigations Report (DBIR) bietet eine hervorragende Gelegenheit, die Fakten richtigzustellen. Er bietet wertvolle Einblicke in die Bedrohungslandschaft und kann als Ausgangspunkt für strategische Gespräche dienen. CISOs, die diese Datenschutzverletzungstrends in Führungsmeetings nicht ansprechen, setzen ihr Unternehmen möglicherweise einem Risiko aus.

Ein Kommunikationszusammenbruch?

Untersuchungen zeigen, dass CISOs in vielen Unternehmen entweder nicht die Sprache des Vorstands/Unternehmens sprechen oder der Vorstand nicht zuhören möchte – oder beides. FTI Consulting Forschung Die Studie zeigt, dass fast ein Drittel (31 %) der Führungskräfte die technischen Konzepte des CISO nicht vollständig versteht und dass über die Hälfte (58 %) der CISOs Schwierigkeiten hat, diese Sprache so zu vermitteln, dass die Führungsebene sie versteht. Ein weiteres Drittel der Führungskräfte gibt an, dass ihre CISOs zögern, sie auf potenzielle Sicherheitsprobleme aufmerksam zu machen.

Doch das Problem ist zweiseitig. Trend Micro Studie Eine Studie aus dem Jahr 2024 besagt, dass vier Fünftel (79 %) der globalen CISOs sich von der Führungsebene unter Druck gesetzt fühlten, die Schwere der Cyberrisiken herunterzuspielen – oft, weil sie als „quälend“ oder „übermäßig negativ“ wahrgenommen wurden. Ein Drittel gab an, kurzerhand entlassen worden zu sein. Dies lässt sich mit einem häufigen Vorwurf in Verbindung bringen: Vorstände betrachten Cybersicherheit immer noch als Angelegenheit der IT-Abteilung und nicht des Unternehmens. Nur die Hälfte (54 %) der von Trend befragten CISOs gab an, zuversichtlich zu sein, dass ihr Vorstand die Cyberrisiken des Unternehmens vollständig versteht – ein Wert, der sich in drei Jahren kaum verändert hat.

„Der Vorstand hört zu, wenn Cyberrisiken nach Geschäftsrisiken klingen – so gelangt man vom Serverraum in den Sitzungssaal. CISOs müssen technische Komplexität in geschäftliche Relevanz übersetzen“, rät Mick Baccio, globaler Sicherheitsberater bei Splunk SURGe.

Um Gehör zu finden, müssen sie diese Lücke schließen und Cybersicherheit als geschäftsfördernden Faktor etablieren: Sie müssen Sicherheitskennzahlen mit Umsatzschutz, Einhaltung gesetzlicher Vorschriften und Kundenvertrauen in Einklang bringen. Ebenso wichtig ist der Aufbau informeller Beziehungen zu Vorstandsmitgliedern, um ein vertrauenswürdiger Berater zu werden, nicht nur ein Compliance-Botschafter.

Zu beobachtende Trends bei DBIR-Datenlecks

Angenommen, CISOs können sich bei ihrem Vorstand Gehör verschaffen, worüber sollten sie sich Sorgen machen? Verizons neueste DBIR Die Studie basiert auf der Analyse von über 22,000 Sicherheitsvorfällen, darunter 12,195 bestätigte Datenschutzverletzungen. Sie zeigt mehrere besorgniserregende Trends auf, darunter:

Jährlicher Anstieg der Fälle von „Systemintrusionen“ von 36 % auf 53 % der Datenpannen. Dabei handelt es sich um komplexere Angriffe, die durch Malware und Hacking gekennzeichnet sind.
Dieses Ergebnis ist auf einen Anstieg der Ransomware-Angriffe zurückzuführen. Deren Anzahl hat seit letztem Jahr um 37 % zugenommen und ist nun bei 44 % der Sicherheitsverletzungen präsent, obwohl die durchschnittlich gezahlten Lösegeldsummen gesunken sind. KMU sind überproportional betroffen.
Bei 40 % der Opfer von Ransomware wurden Unternehmens-E-Mail-Adressen von Infostealern gestohlen.
Missbrauch von Anmeldeinformationen (22 %), Ausnutzung von Schwachstellen (20 %) und Phishing (19 %) waren die wichtigsten Angriffsmethoden für Datenschutzverletzungen.
Generative KI stellt in zweierlei Hinsicht ein wachsendes Risiko dar: Synthetisch generierter Text in bösartigen E-Mails (z. B. Phishing) hat sich in den letzten zwei Jahren verdoppelt, und 14 % der Mitarbeiter greifen regelmäßig über ihre Unternehmensgeräte auf GenAI-Systeme zu. Eine Mehrheit (72 %) verwendete eine private E-Mail-Adresse als Kontokennung, was auf den Einsatz von Schatten-KI hindeutet.
Der menschliche Anteil an Sicherheitsverletzungen ist mit rund 60 % nach wie vor hoch, insbesondere beim Missbrauch von Anmeldeinformationen und Social Engineering.
Die Ausnutzung von Schwachstellen als Angriffsvektor nahm um 34 % zu, insbesondere Zero-Day-Exploits, die auf Perimetergeräte und VPNs abzielten. Nur die Hälfte (54 %) der Schwachstellen auf Perimetergeräten wurde vollständig behoben, und dies dauerte im Durchschnitt 32 Tage.
Der Anteil der Verstöße, an denen Dritte beteiligt waren, verdoppelte sich auf 30 %.
BYOD bleibt eine Bedrohung: 46 % der von Infostealern mit gestohlenen Unternehmensanmeldedaten kompromittierten Systeme waren private Geräte.

Auf der Grundlage dieser Erkenntnisse sollten CISOs mit ihren Vorständen Gespräche über einen realistischen Umgang mit Risiken führen, sagt Baccio.

„Wenn Ihr Krisenplan an Ihrer eigenen Firewall endet, haben Sie keinen Krisenplan. Der Bericht von Verizon ist eindeutig: Die Angriffsfläche hat sich erweitert, und Angreifer nutzen gleichzeitig die menschliche, technische und Lieferkettenebene aus. Führungskräfte müssen über das bloße Abhaken von Kästchen hinausgehen und sich fragen: „Wo sind wir wirklich am verwundbarsten?“, sagt er gegenüber ISMS.online.

Risiken durch Drittanbieter und die Gefährdung von Edge-Geräten müssen als Bedrohungen der Geschäftskontinuität behandelt werden, nicht nur als IT-Probleme. Der Vorstand sollte regelmäßige Szenarioplanungen zu Anmeldedatenmissbrauch, Ransomware-Erpressung und von Insidern verursachten Datenlecks fordern.

Jonathan Lee, Direktor für Cyber-Strategie bei Trend Micro, argumentiert, der Bericht solle ein weiterer „Weckruf“ für Vorstände sein, die darauf aufmerksam machen, dass die Sicherheitsstrategie mit der operativen Belastbarkeit in Einklang gebracht werden müsse.

„Wir müssen uns nur die jüngsten spektakulären Vorfälle im britischen Einzelhandel ansehen, um die Umsatz-, Gewinn- und Reputationsverluste zu erkennen, die ein Angriff nach sich ziehen kann. In manchen Fällen kann ein Angriff eine existenzielle Bedrohung für ein Unternehmen darstellen. Im öffentlichen Dienst kann dies auch reale physische Auswirkungen haben, wie beispielsweise die klinischen Schäden, die nach dem Angriff auf Synnovis in der Lieferkette des NHS entstanden sind“, erklärt er gegenüber ISMS.online.

Es reicht nicht aus, diese Risiken einfach nur anzuerkennen und in ein Risikoregister einzutragen. Warum warten, bis ein Sicherheitsverstoß Ihr Unternehmen trifft? Ist es nicht besser, proaktiv und vorbereitet zu sein, als reaktiv und unvorbereitet auf den Ernstfall zu reagieren?

Mit Compliance-Programmen die Lücke schließen

Best-Practice-Standards wie ISO 27001 können hier Abhilfe schaffen, indem sie Vorständen und Sicherheitsverantwortlichen eine gemeinsame Sprache und einen risikobasierten Ansatz zur Verbesserung der Cyber-Resilienz bieten.

„Compliance-Frameworks stoppen zwar nicht jeden Angreifer, verhindern aber Chaos in Ihrer Reaktion. Frameworks wie ISO 27001 und SOC 2 bieten eine gemeinsame Sprache und Struktur, um Cybersicherheitskontrollen an Geschäftszielen auszurichten“, sagt Baccio von Splunk.

Sie bieten wiederholbare, überprüfbare Nachweise für das Risikomanagement, ohne dabei so präskriptiv oder langsam zu sein wie Regulierungssysteme wie NIS2. Der Wert liegt nicht nur in der Zertifizierung, sondern auch in der Disziplin und Klarheit, die sie in die Cybersicherheitsstrategie und -berichterstattung bringt.

Laut Lee von Trend Micro können diese Standards sogar einen praktischen Einstieg in die Einhaltung von Vorschriften wie NIS2 und dem bevorstehenden britischen Cyber Security & Resilience Bill bieten.

„Ein solcher Ansatz stärkt nicht nur die Abwehr von Angreifern, sondern zeigt auch, dass Sie sich dazu verpflichten, hohe Sicherheitsstandards in Ihrer Lieferkette und bei digital vernetzten Partnern einzuhalten“, so sein Fazit.

„Durch die Nutzung dieser Compliance-Programme können CISOs die Lücke zwischen der Cybersicherheit und ihren Organisationen schließen und sicherstellen, dass Sicherheitsmaßnahmen als zentraler Bestandteil des Erfolgs und der Widerstandsfähigkeit ihrer Organisation angesehen werden.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Internet-Sicherheit 3 December 2025

Was das Gesetz zur Cybersicherheit und Resilienz für kritische Infrastrukturen bedeutet

Es hat lange gedauert. Bereits in der Thronrede 2024 wurde das Gesetz zur Cybersicherheit und Resilienz (CSRB) angekündigt und ist nun endlich verabschiedet…

Phil Muncaster

Verizons DBIR 2025 im Vergleich zu Ihrem Vorstand: Was ihnen entgeht

Ein Kommunikationszusammenbruch?

Zu beobachtende Trends bei DBIR-Datenlecks

Mit Compliance-Programmen die Lücke schließen

Phil Muncaster

In Verbindung stehende Artikel

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die IT- und MSP-Branche

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Finanzbranche

Lesen Sie mehr von Phil Muncaster

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Was das Gesetz zur Cybersicherheit und Resilienz für kritische Infrastrukturen bedeutet