CISO Resilience

Der Wandel scheint durch die betriebliche Realität vorangetrieben zu werden. Den Ergebnissen zufolge hatten 55 % der befragten Sicherheitsverantwortlichen im vergangenen Jahr Vorfälle erlebt, die Endgeräte unbrauchbar machten, sei es durch Cyberangriffe, Ransomware-Infektionen oder Datenverletzungen. Keiner der Befragten gab an, innerhalb von 24 Stunden nach solchen Störungen eine vollständige Wiederherstellung erreicht zu haben.

Die finanziellen Auswirkungen sind nach wie vor erheblich. Während die konkreten Kostenangaben je nach Unternehmen variieren, zeigt die Untersuchung, dass die Behebung schwerwiegender Vorfälle erhebliche Ressourcen erfordert. Die Wiederherstellungszeiten gehen in allen untersuchten Fällen über einen Tag hinaus, was zu längeren Betriebsausfällen führt, die sich auf die Einnahmequellen und die Erbringung von Dienstleistungen auswirken.

Die Daten spiegeln allgemeine Bedenken hinsichtlich der Bedrohungslage wider. Auf die Frage nach den zu erwartenden Vorfällen in den nächsten 12 bis 18 Monaten rechnen 57 % mit Ransomware-Angriffen, 56 % mit Kompromittierungen der Lieferkette und 55 % mit Insider-Bedrohungen oder Compliance-Verstößen. Gleichzeitig äußern 53 % Bedenken hinsichtlich potenzieller Ausfälle der Sicherheitssoftwarekontrollen selbst, eine Sorge, die nach den vielbeachteten Softwarevorfällen im Jahr 2024 noch verstärkt wurde.

Diese Erwartungen gehen einher mit Anforderungen an die Unternehmen, die viele als unrealistisch ansehen. Die Umfrage ergab, dass 61 % der CISOs berichten, dass die Unternehmensleitung von Sicherheitsinvestitionen erwartet, dass sie null Sicherheitsverletzungen oder Ransomware-Vorfälle garantieren. Dieser Null-Toleranz-Ansatz steht im Widerspruch zur praktischen Realität, dass sich raffinierte Angriffe weiterentwickeln und eine vollständige Prävention nach wie vor unerreichbar ist.

Die Rolle selbst hat sich gewandelt. 72 % der Befragten geben an, dass ihre Aufgaben nun über das Sicherheits- und Risikomanagement hinausgehen und auch die Leitung der Wiederherstellung der Geschäftskontinuität nach verschiedenen Störungen umfassen. Darüber hinaus sehen sich 67 % als die Hauptverantwortlichen für die Gewährleistung der Cyber-Resilienz in ihren Unternehmen.

Entsprechend sind auch die persönlichen Risiken gestiegen. Auf die Frage nach Bedenken hinsichtlich des Verlusts des Arbeitsplatzes, der persönlichen Haftung oder rechtlicher Sanktionen aufgrund von Sicherheitsvorfällen, die zu erheblichen Ausfallzeiten führen, stimmten 59 % der CISOs zu. Dies spiegelt die zunehmende Verantwortung wider, die mit Führungspositionen im Sicherheitsbereich einhergeht.

Die Studie deckt sich mit den Beobachtungen von Branchenanalysten. Das National Institute of Standards and Technology definiert Cyber-Resilienz als „die Fähigkeit, widrige Umstände, Belastungen, Angriffe oder Kompromittierungen von Systemen, die Cyber-Ressourcen nutzen oder durch diese ermöglicht werden, zu antizipieren, zu widerstehen, sich davon zu erholen und sich daran anzupassen”.

Die aktuellen Akzeptanzraten deuten darauf hin, dass Unternehmen beginnen, dieses Rahmenwerk in die Praxis umzusetzen. 67 % der befragten CISOs geben an, dass ihre Unternehmen derzeit über eine Strategie zur Cyber-Resilienz verfügen, was einen Übergang von der konzeptionellen Planung zur Umsetzung signalisiert.

Die Umfrage wurde im November 2025 als unabhängige Studie durchgeführt und erfasst die Perspektiven von Führungskräften aus den Bereichen Gesundheitswesen, Finanzdienstleistungen, Bildung, Regierung, Einzelhandel, professionelle Dienstleistungen und Energie. Die Teilnehmer waren im Durchschnitt seit mehreren Jahren in ihrer aktuellen CISO-Funktion tätig und leiteten Sicherheitsorganisationen unterschiedlicher Größe innerhalb ihrer Unternehmen.

Branchendaten aus verschiedenen Quellen stützen die Ergebnisse hinsichtlich der operativen Auswirkungen. Untersuchungen des ITIC zeigen, dass 91 % der kleinen bis mittleren und großen Unternehmen stündliche Ausfallkosten von über 300.000 US-Dollar haben, wobei 44 % potenzielle Verluste von über 1 Million US-Dollar pro Stunde während Ausfällen melden.

Diese wirtschaftlichen Faktoren scheinen in Verbindung mit sich weiterentwickelnden Bedrohungsakteuren und zunehmend verteilten Belegschaften die Sicherheitsprioritäten in Unternehmen neu zu gestalten. Die Betonung der Resilienz spiegelt die Erkenntnis wider, dass es nach wie vor unmöglich ist, alle Vorfälle zu verhindern, sodass schnelle Wiederherstellungsfähigkeiten für die Aufrechterhaltung des Geschäftsbetriebs unerlässlich sind.

The shift appears driven by operational realities. According to the findings, 55% of surveyed security leaders experienced incidents in the past year that rendered endpoint devices inoperable, whether from cyberattacks, ransomware infections, or data breaches. No respondent reported achieving full recovery within 24 hours of such disruptions.

Financial implications remain substantial. While specific cost figures vary by organization, the research indicates remediation efforts following major incidents require significant resources. Recovery timelines extend beyond single-day periods across all cases examined, creating extended operational downtime that affects revenue streams and service delivery.

The data reflects broader concerns about threat landscapes. When asked about anticipated incidents over the next 12 to 18 months, 57% expect ransomware attacks, 56% anticipate supply chain compromises, and 55% foresee insider threats or compliance violations. Meanwhile, 53% express concern about potential failures in security software controls themselves, a worry intensified following high-profile software incidents in 2024.

These expectations exist alongside what many view as unrealistic organizational demands. The survey found 61% of CISOs report that executive leadership expects security investments to guarantee zero breaches or ransomware incidents. This zero-tolerance approach conflicts with the practical reality that sophisticated attacks continue to evolve and that complete prevention remains unattainable.

The role itself has transformed. Seventy-two percent of respondents indicate their responsibilities now extend beyond security and risk management to include leading business continuity recovery following various disruptions. Additionally, 67% identify themselves as the primary executive responsible for ensuring cyber resilience within their organizations.

Personal stakes have risen accordingly. When asked about concerns regarding job loss, personal liability, or legal penalties stemming from security incidents causing significant downtime, 59% of CISOs expressed agreement. This reflects the increasing accountability placed on security leadership positions.

The research aligns with observations from industry analysts. The National Institute of Standards and Technology defines cyber resiliency as „the ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.“

Current adoption rates suggest organizations are beginning to operationalize this framework. Sixty-seven percent of surveyed CISOs report their organizations currently maintain a cyber resilience strategy, indicating movement from conceptual planning to implementation.

The survey methodology involved independent research conducted in November 2025, capturing perspectives from leaders across healthcare, financial services, education, government, retail, professional services, and energy sectors. Participants averaged multiple years in their current CISO roles and managed security organizations of varying sizes within their enterprises.

Industry data from separate sources supports the operational impact findings. Research from ITIC indicates 91% of small-to-medium and large enterprises face hourly downtime costs exceeding $300,000, with 44% reporting potential losses over $1 million per hour during disruptions.

These economic factors, combined with evolving threat actors and increasingly distributed workforces, appear to be reshaping security priorities across enterprises. The emphasis on resilience reflects acknowledgment that preventing all incidents remains impractical, making rapid recovery capabilities essential for maintaining business operations.