IOs neueste Bericht zum Stand der Informationssicherheit Die Studie beleuchtet eine Branche, die für die digitale Wirtschaft unverzichtbar und gleichzeitig einem besonders hohen Risiko ausgesetzt ist. IT-Dienstleister und Managed Service Provider (MSPs) stehen im Zentrum vernetzter Lieferketten, managen komplexe Kundenumgebungen und implementieren neue Technologien in rasantem Tempo. Die diesjährigen Ergebnisse zeigen, wie diese Herausforderungen ihre Sicherheitsprioritäten verändern und warum viele ihre Governance-, Compliance- und Resilienzstrukturen überdenken.

Zu unseren Befragten gehörten hochrangige Cybersicherheitsexperten aus Großbritannien und den USA. Ihre Erkenntnisse zeigen die drängendsten Bedrohungen für den Sektor, die operativen Herausforderungen im täglichen Sicherheitsalltag und die strategischen Ansätze von Unternehmen zur Stärkung ihrer Resilienz auf.

Im Folgenden erläutern wir 11 wichtige Statistiken, die jeder IT- und MSP-Leiter aus dem diesjährigen Bericht kennen sollte.

Wichtige Statistiken zur Informationssicherheit im IT- und MSP-Sektor

Governance und Strategie

  1. 50 % geben an, dass die oberste Führungsebene die Einhaltung der Informationssicherheitsbestimmungen immer noch als Nebensache behandelt.
  2. 67 % geben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen es zunehmend schwieriger machen, die Vorschriften einzuhalten.

Fähigkeiten, Kapazität und Betriebsdruck

  1. 42 % nennen den Mangel an IT-Sicherheitsfachkräften als größte Herausforderung.
  2. 34 % berichten von Burnout in ihren IT-Sicherheits- und Compliance-Teams aufgrund der zunehmenden Arbeitsbelastung.
  3. 41 % geben an, dass Aufgaben durch KI ersetzt werden, ohne dass die notwendige menschliche Aufsicht zur Sicherstellung der Einhaltung der Vorschriften gewährleistet ist.

Fragmentierung und Prozessherausforderungen

  1. 38 % haben mit der unkontrollierten Ausbreitung von Technologien zu kämpfen, und 24 % geben an, dass isolierte Sicherheitsmaßnahmen ein zentrales Problem darstellen.
  2. 44 % geben an, dass Schatten-IT mittlerweile der häufigste Sicherheitsfehler von Mitarbeitern ist.

Umsetzung und Ergebnisse der Compliance

  1. Lediglich 35 % fühlen sich ausreichend gerüstet, um die Einhaltung von DSGVO, NIS 2 und DORA intern zu gewährleisten.
  2. 74 % der Organisationen erhielten in den letzten 12 Monaten mindestens eine behördliche Geldbuße.
  3. Eine verbesserte Qualität der Geschäftsentscheidungen (46%) und eine höhere Kundenbindung (44%) sind die wichtigsten ROIs aus der Einhaltung der Informationssicherheitsbestimmungen.

Geschäftsrisiko und Auswirkungen

  1. 66 % waren von Vorfällen Dritter betroffen, mit Folgen, die von finanziellen Verlusten (36 %) über Betriebsstörungen (34 %) bis hin zu behördlichen Prüfungen (33 %) reichten.

Sicherheit von Drittanbietern und der Lieferkette

Kaum ein Sektor spürt die Folgen von Lieferkettenproblemen so deutlich wie IT- und Managed Service Provider (MSPs), insbesondere jene, die direkt in die Infrastruktur ihrer Kunden eingebunden sind. Die Erkenntnis, dass 66 % der Befragten einen Sicherheitsvorfall durch einen Drittanbieter oder Lieferanten erlebt haben, unterstreicht die zunehmende Interdependenz des Ökosystems. Solche Vorfälle bleiben selten unkontrolliert: Befragte berichteten von finanziellen Verlusten, behördlichen Kontrollen, Betriebsunterbrechungen und Ausfällen, die Kunden direkt betreffen, infolge von Lieferantenfehlern.

Diese zunehmende Abhängigkeit erklärt, warum 80 % der Unternehmen ihr Drittparteienrisikomanagement im vergangenen Jahr verstärkt haben. Viele vollziehen dabei einen Wandel von reaktiver Sorgfaltspflicht hin zu einem kontinuierlichen, evidenzbasierten Ansatz: die fortlaufende Überwachung, Validierung und Dokumentation der Kontrollmechanismen ihrer Partner. Besonders gefährdet sind Unternehmen, die auf fragmentierte Prozesse oder inkonsistente Governance setzen – gerade hier machen strukturierte, wiederholbare Compliance-Praktiken einen messbaren Unterschied.

Die sich verändernde Bedrohungslandschaft

Während bekannte Bedrohungen weiterhin die Sicherheitsarbeitslast dominieren, verzeichnet der Sektor einen starken Anstieg KI-gestützter und KI-gerichteter Angriffe. Besonders auffällig ist, dass 41 % der Befragten berichten, dass KI Aufgaben ohne ausreichende menschliche Aufsicht ersetzt. Zusammen mit den 27 %, die Datenmanipulationen erleben, verdeutlicht dies, wie schnell Unternehmen die Transparenz der Prozessintegrität verlieren können, wenn neue Technologien die Governance überholen.

Gleichzeitig bleiben die Vorfallzahlen durchweg hartnäckig hoch:

  • 32 % waren von Datenschutzverletzungen betroffen.
  • 29 % waren von Cloud-Sicherheitslücken betroffen.
  • 31 % meldeten Malware-Infektionen
  • 22 % waren von Bedrohungen durch Insider betroffen.

Hinzu kommt der anhaltende Anstieg von Social Engineering, der Manipulation von Authentifizierungssystemen und mehrstufigen Angriffen, die technische und menschliche Täuschung kombinieren. In IT- und MSP-Umgebungen, wo ein einziger Satz von Zugangsdaten den Zugriff auf mehrere Kundennetzwerke ermöglicht, können selbst kleine Fehler weitreichende Folgen haben – ein Risiko, das sich noch verstärkt, wenn Schatten-IT (von 44 % der Befragten angegeben) Teil des alltäglichen Arbeitsablaufs wird.

Kompetenzen, Burnout und operative Überlastung

Der Bericht zeigt zudem einen Sektor auf, der mit Ressourcenengpässen und strukturellen Kapazitätsproblemen zu kämpfen hat. Die 42 %, die den Fachkräftemangel im Bereich Cybersicherheit beklagen, repräsentieren eine Branche, in der die Nachfrage nach Experten das Angebot übersteigt, insbesondere in Bereichen wie Cloud-Sicherheit, KI-Sicherheit und Compliance.

Doch es geht nicht nur um Kompetenzen. Die 34 % der Befragten, die von Burnout in ihren IT-Sicherheits- und Compliance-Teams berichten, spiegeln steigende Erwartungen wider, ohne dass dies mit einer entsprechenden Erhöhung der Mitarbeiterzahl, der Tools oder des Budgets einhergeht. Viele Befragte beschrieben ein gestiegenes Arbeitspensum parallel zu neuen Technologien, neuen Vorschriften und stärkeren Abhängigkeiten zwischen vor- und nachgelagerten Prozessen.

Dieser Druck wird durch die zunehmende Verbreitung von Technologien, die von 38 % als große Herausforderung genannt wird, und durch isolierte Teams (24 %) verstärkt. Dies führt zu Doppelarbeit, inkonsistenten Prozessen und einer stärkeren Abhängigkeit von Einzelleistungen. Da Sicherheitsteams mit einer Vielzahl von Tools, sich überschneidenden Dashboards und unverbundenen Arbeitsabläufen jonglieren müssen, wird es immer schwieriger, eine zentrale Datenquelle zu gewährleisten, konsistente Nachweise zu sichern und die Governance-Praktiken aufeinander abzustimmen.

Regulatorischer Druck und Komplexität der Compliance

Die Regulierung entwickelt sich schneller, als viele Organisationen sich anpassen können. In diesem Jahr gaben 67 % an, dass die Geschwindigkeit und der Umfang der regulatorischen Änderungen die Einhaltung der Vorschriften erschweren – ein deutlicher Indikator dafür, wie rasant die Anforderungen in den Bereichen Datenschutz, KI-Governance, operative Resilienz und Lieferkettensicherheit zunehmen.

Die Daten zeigen auch, dass Organisationen nicht gleich gut vorbereitet sind. Nur 35 % fühlen sich vollumfänglich in der Lage, die Organisation zu bewältigen. Datenschutz, NIS 2 und DORA Die Einhaltung der Vorschriften muss intern geregelt werden. Die meisten Unternehmen benötigen externe Unterstützung, haben mit begrenzten Fachkenntnissen zu kämpfen oder verfügen nicht über die notwendige Zeit und die Unterstützung des Vorstands, um ihren Verpflichtungen stets nachzukommen.

Diese Fähigkeitslücke spiegelt sich in den Ergebnissen wider: 74 % der Organisationen erhielten in den letzten 12 Monaten mindestens eine behördliche Geldbuße, darunter erhebliche Strafen für Verstöße, Datenverlust und unzureichende Kontrollen.

Aus den Daten ergibt sich das Bild von Organisationen, die versuchen, die Vorschriften einzuhalten, dies aber häufig mit manuellen, uneinheitlichen oder isolierten Ansätzen tun, die schwer skalierbar sind.

Die Daten zeigen jedoch auch, dass Unternehmen erhebliche Vorteile erzielen, wenn sie die Compliance-Vorgaben korrekt umsetzen. Befragte nannten eine verbesserte Qualität der Geschäftsentscheidungen (46 %) und eine höhere Kundenbindung (44 %) als die wichtigsten Vorteile einer konsequenten Umsetzung der Informationssicherheits-Compliance. Dies unterstreicht einen Wandel in der Sichtweise von IT- und MSP-Verantwortlichen auf Governance: nicht mehr als Pflicht, sondern als strategischer Vorteil bei konsequenter Umsetzung.

Mitarbeiterverhalten und interne Risiken

Die Sicherheitskultur bleibt eine große Herausforderung. Schatten-IT ist der am häufigsten gemeldete Fehler von Mitarbeitern (44 %), dicht gefolgt von … nicht genehmigte Verwendung von generativen KI-Werkzeugen (38%) und unsichere Geräte- oder Netzwerkpraktiken.

Diese Verhaltensweisen deuten auf ein tieferliegendes Problem hin: Sind Prozesse unklar, uneinheitlich oder nicht in die alltäglichen Arbeitsabläufe integriert, füllen Mitarbeiter die Lücken mit Werkzeugen und Methoden, die neue Risiken bergen. Dies ist besonders riskant in IT- und MSP-Umgebungen, wo Mitarbeiter häufig privilegierten Zugriff auf Kundensysteme oder sensible Daten haben.

Die Herausforderung besteht also nicht einfach nur in der Schulung, sondern darin, Teams mit reibungslosen, gut strukturierten Prozessen auszustatten, die den sicheren Weg zum einfachen Weg machen.

Führung und strategische Ausrichtung

Eine der erfreulichsten Erkenntnisse des Berichts ist, dass 87 % der Befragten angeben, ihr Unternehmen verfüge über eine klare und gut kommunizierte Sicherheitsstrategie, und 88 % der Ansicht sind, dass jedes Unternehmen eine Person auf Vorstandsebene für Informationssicherheit verantwortlich haben sollte. Diese stärkere Einbindung der Führungsebene deutet auf ein wachsendes Verständnis von Cyberrisiken als strategisches und nicht nur technisches Thema hin.

Dieser Fortschritt steht jedoch im Widerspruch zu der Erkenntnis, dass 50 % der Befragten immer noch der Ansicht sind, dass die oberste Führungsebene die Einhaltung von Vorschriften als Nebensache betrachtet. Dies offenbart eine bemerkenswerte Diskrepanz zwischen strategischer Absicht und der Priorisierung im Tagesgeschäft.

Für Organisationen, die bereits unter Fachkräftemangel, operativen Risiken und regulatorischen Anforderungen leiden, kann diese Diskrepanz gravierende Folgen haben. Die Führungsebene gibt vor, was „gut“ bedeutet, und ohne einheitliche Vorgaben müssen die Teams die Lücken selbst füllen.

Durch strukturierte Resilienz die Nase vorn behalten

Die IT- und MSP-Branche bewegt sich in einem Umfeld zunehmender Risiken, steigender Erwartungen und begrenzter interner Kapazitäten. Dennoch ist die Richtung klar: Unternehmen investieren in Resilienz, stärken die Lieferkettenüberwachung und legen mehr Wert auf strategische Governance und eine abgestimmte Führung.

Die im Bericht hervorgehobenen Herausforderungen – von der unkontrollierten Ausbreitung von Technologien bis zum Fachkräftemangel, von Schatten-IT bis zu Bußgeldern – sind keine Einzelfälle. Sie deuten vielmehr auf ein Ökosystem hin, das manuelle Prozesse und fragmentierte Tools längst hinter sich gelassen hat. Die Organisationen, die für die nächsten zwölf Monate am besten aufgestellt sind, werden diejenigen sein, die integrierte, wiederholbare und unternehmensweite Systeme einführen, welche die Konsistenz zwischen Mitarbeitern, Prozessen und Technologie gewährleisten.

Durch die Verankerung starker, unternehmensweiter Ansätze für Informationssicherheit und Compliance können Unternehmen Risiken reduzieren, das Kundenvertrauen stärken und eine stabilere Grundlage für Innovationen in einem zunehmend unvorhersehbaren Umfeld schaffen.

Den vollständigen Bericht zum Stand der Informationssicherheit finden Sie hier.