Cybersecurity Workforce Study 2025

Das ist jedoch nicht dasselbe wie eine Genesung. So sank der Anteil der Organisationen, die über Kürzungen bei den Cybersicherheitsbudgets berichteten, nur um einen Prozentpunkt – von 37 % im Jahr 2024 auf 36 % im Jahr 2025 –, während Einstellungsstopps nahezu unverändert blieben und um einen Punkt auf 39 % stiegen. Entlassungen sanken leicht auf 24 %. Die Daten deuten eher auf ein Plateau als auf eine Wende hin. So rechnen 31 % der Befragten in den kommenden zwölf Monaten mit weiteren Kürzungen und 26 % mit weiteren Entlassungen – eine Zahl, die den Vorjahreswert von 22 % übersteigt.

Das Muster ist nicht branchenübergreifend oder bei Unternehmen unterschiedlicher Größe einheitlich. Technologiegetriebene Sektoren tragen die schwerste Last: Cloud-Dienste meldeten Entlassungen im Bereich Cybersicherheit bei 33 %, Hardware- und Softwareentwicklung bei 31 % und Luft- und Raumfahrt bei 31 %. Am anderen Ende des Spektrums meldete das Bildungswesen 11 % und der Rechtssektor 12 %.

Große Unternehmen – solche mit 10.000 oder mehr Mitarbeitern – setzen fast doppelt so häufig Einstellungsstopps um wie die kleinsten Organisationen (49 % gegenüber 28 %), was zum Teil daran liegt, dass sie größere Teams abbauen und höhere Fixkosten verwalten müssen. Kleinere Unternehmen, die historisch gesehen Schwierigkeiten hatten, um Cybersicherheitsfachkräfte zu konkurrieren, haben einfach weniger Spielraum für Einsparungen.

Die menschlichen Kosten dieser Belastungen sind messbar. Unter den Befragten stimmten 72 % zu, dass die Reduzierung des Personals für Cybersicherheit das Risiko eines Datenverstoßes für ein Unternehmen erheblich erhöht. Weitere 76 % gaben an, dass Organisationen zur Rechenschaft gezogen werden sollten, wenn sie nach dem Abbau von Sicherheitspersonal eine Sicherheitsverletzung erleiden. Nur 55 % der Befragten glauben, dass ihre Organisationen derzeit über die Ressourcen verfügen, um Sicherheitsvorfälle in den nächsten zwei bis drei Jahren zu bewältigen – und weniger als ein Viertel vertritt diese Ansicht nachdrücklich.

Fähigkeiten sind zum zentralen Problem geworden

Jahrelang konzentrierte sich das vorherrschende Narrativ in der Forschung zur Cybersicherheitsbelegschaft auf den Mangel an Fachkräften. Dies verschiebt sich. In der Studie von 2025 gaben 59 % der Befragten an, dass sie kritische oder erhebliche Fähigkeiten benötigen – ein Anstieg von 44 % im Jahr 2024. Fast alle Befragten, 95 %, gaben an, mindestens einen Kompetenzbedarf zu haben, was einem Anstieg von fünf Prozentpunkten gegenüber dem Vorjahr entspricht. Nur 5 % gaben an, dass ihre Teams keine aktuellen Lücken hätten.

ISC2 traf die folgenschwere Entscheidung, seine jährliche Schätzung der globalen Fachkräftelücke – der Anzahl zusätzlicher Fachkräfte, die Unternehmen ihrer Meinung nach benötigen – fallen zu lassen, und merkte an, dass die Teilnehmer selbst den Mangel an Fähigkeiten zunehmend als dringenderes und messbareres Problem betrachten als die reine Mitarbeiterzahl. Mehr Befragte (34 %) gaben 2025 an, dass ihre Personalstärke angemessen sei, der höchste Anteil seit 2023. Aber ausreichendes Personal ohne die richtigen Kompetenzen setzt Teams aus.

Künstliche Intelligenz steht ganz oben auf der Liste der wichtigsten Fähigkeiten, genannt von 41 % der Befragten, gefolgt von Cloud-Sicherheit mit 36 %. Risikobewertung, Anwendungssicherheit und Sicherheitsarchitektur erscheinen jeweils in der oberen Ebene. Die Bedeutung der Cloud-Sicherheit spiegelt wider, wie zentral sie für die Integrität der Lieferkette geworden ist: Die Hälfte der auf Cloud-Fähigkeiten ausgerichteten Personen hob Architektur und sicheres Design als dringendsten Bedarf hervor, während 35 % auf Identitäts- und Zugriffsmanagement verwiesen – ein aktuelles Anliegen angesichts mehrerer hochkarätiger Authentifizierungsfehler in den letzten Jahren. Sichere Cloud-Bereitstellung und Konfigurationsmanagement wurden von 38 % hervorgehoben, im Zusammenhang mit einer Reihe von Vorfällen durch Fehlkonfigurationen, die 2025 globale Aufmerksamkeit erregten.

Die Hauptursachen für diese Qualifikationslücken lassen sich auf bekannte Einschränkungen zurückführen. Dreißig Prozent der Befragten gaben an, keine Mitarbeiter mit den benötigten Fähigkeiten finden zu können; 29 % sagten, ihnen fehle das Budget, um diese Mitarbeiter einzustellen; und weitere 10 % gaben an, geeignete Kandidaten identifizieren zu können, sich diese aber nicht leisten zu können. Neben der Einstellung von Mitarbeitern nannten 23 % Schwierigkeiten bei der Bindung von Mitarbeitern mit gefragten Kompetenzen, und 21 % verwiesen auf die IT-gesteuerte Einführung von Technologien, die die Fähigkeit der Organisation zur Schulung übersteigt.

Die praktischen Konsequenzen sind dokumentiert und schwerwiegend. Sechsundzwanzig Prozent der Befragten berichteten über Aufsichtsfehler bei Cybersicherheitsprozessen, die auf Qualifikationslücken zurückzuführen sind; ein Viertel gab an, unqualifiziertes Personal in Positionen eingesetzt zu haben, für die es nicht vorbereitet war; und 24 % wiesen auf falsch konfigurierte Systeme hin – eine Ursache für einige der öffentlichkeitswirksamsten Vorfälle des Jahres. Insgesamt hatten 88 % der Befragten mindestens eine erhebliche Cybersicherheitsfolge erlebt, die direkt auf einen Mangel an Fähigkeiten zurückzuführen war.

Organisationen reagieren mit einer Mischung aus internen Investitionen und externer Unterstützung. 28 % erlauben ihren Mitarbeitern während der Arbeitszeit Fortbildungsmaßnahmen. Ein Viertel der Organisationen greift auf KI- und Automatisierungstools als Abhilfestrategie für den Fachkräftemangel zurück, während 22 % Mitarbeiter aus anderen etablierten Sicherheitsteams umqualifizieren. Externe Optionen wie Outsourcing, Drittanbieter und Zeitarbeitskräfte spielen eine kleinere, aber bedeutsame Rolle.

Es herrscht Uneinigkeit darüber, welche Fähigkeiten wichtig sind

Die Studie zeigt eine Diskrepanz zwischen den Einschätzungen von Personalverantwortlichen und den Ansichten praktizierender Fachkräfte. Bei der Bewertung kombinierter technischer und nichttechnischer Anforderungen setzten Einstellungsmanager Problemlösungsfähigkeiten an erste Stelle (29 %), gefolgt von Zusammenarbeit (24 %) und Kommunikation (22 %). Technische Fähigkeiten tauchten nicht in ihren Top Fünf auf. Praktiker sind sich einig, dass Problemlösung und Kommunikation entscheidend sind. Sie setzen jedoch KI und Cloud-Sicherheit gleichwertig dazu und betrachten die Implementierung von GRC und Zero Trust als hohe Prioritäten, die von Einstellungsmanagern unterschätzt werden.

Diese Lücke ist wichtig, da sie den Aufbau von Teams in Organisationen beeinflusst. Wenn Manager vor allem nach Soft Skills suchen und Praktiker technische Tiefe entwickeln, kann eine Diskrepanz bei den Einstellungskriterien dazu führen, dass echte Fähigkeitslücken unberücksichtigt bleiben.

Die Einstiegswege in den Beruf werden weiterhin von IT-Hintergründen dominiert: 56 % der Befragten kamen aus IT-Rollen, wobei dieser Anteil bei jüngeren Kohorten abnimmt. So traten unter den 21- bis 29-Jährigen nur 38 % über einen IT-Pfad ein, verglichen mit 65 % der über 45-Jährigen.

Jüngere Fachkräfte haben eher formale Cybersecurity-Studiengänge abgeschlossen oder sind über Ausbildungen und Zertifizierungen eingestiegen. Dies sind Wege, die tendenziell die höchsten Empfehlungsraten hervorbringen. Die Alumni von Praktika und Ausbildungen gaben mit 69 % die höchste Wahrscheinlichkeit an, ihren Einstiegsweg anderen zu empfehlen, dicht gefolgt von den Zertifikatsinhabern mit 67 %.

Wenn es einen Bereich gibt, in dem die Daten den vorherrschenden Pessimismus infrage stellen, dann ist es die künstliche Intelligenz. Die Studie zeigt eine Branche, die bei der Einführung vorsichtig vorgeht, aber insgesamt optimistisch hinsichtlich des Ergebnisses ist.

28 % der Befragten hatten bereits KI-Sicherheitstools in den täglichen Betrieb integriert, 19 % testeten sie aktiv und 22 % befanden sich in der frühen Evaluierung. Insgesamt befinden sich somit 69 % auf dem Weg zur regelmäßigen Nutzung von KI-Sicherheitstools. Unter den aktiven Nutzern gaben 63 % einen deutlichen Produktivitätsschub an. Die Bereiche, von denen erwartet wird, dass sie am meisten und in kürzester Zeit profitieren, sind Netzwerküberwachung (40 %), Sicherheitsbetrieb und Sicherheitstests (jeweils 30 %) sowie Schwachstellenmanagement (29 %).

Entgegen der Angst vor Verdrängung gaben 73 % der Befragten an, dass KI die Nachfrage nach spezialisierteren Cybersicherheitsfähigkeiten steigern werde, und 72 % sagten, dass sie strategischeres Denken in der gesamten Belegschaft erfordern werde. 66 % erwarten, dass KI die Nachfrage nach breiteren Fähigkeiten generieren wird, und 65 % gehen davon aus, dass die Einführung von KI einen Bedarf an mehr kommunikationsorientierten Rollen schaffen wird. Lediglich 18 % gaben an, dass der technologische Fortschritt sie dazu veranlasse, aktiv über einen Ausstieg aus dem Beruf nachzudenken.

Die Befragten sind nicht passiv. 48 Prozent entwickeln bereits allgemeine KI-Kenntnisse und -Fähigkeiten. 26 % positionieren sich innerhalb ihrer Organisationen als Early Adopters, 17 % haben bereits KI-spezifische Qualifikationen erworben und 53 % planen dies zu tun.

Parallel dazu entwickelt sich die Bedrohungslandschaft weiter. 40 % der Befragten erlebten im letzten Jahr KI-optimierte Social-Engineering-Angriffe. 25 % berichteten über Datenverlustvorfälle, 23 % vermuteten KI-gestützte Cyberangriffe und weitere 23 % erlebten KI-bezogene Datenschutzverletzungen. Datenvergiftungs- und Modellklauangriffe traten ebenfalls als dokumentierte Bedrohungskategorien auf und betrafen 11 % bzw. 9 % der Befragten. Kleine Organisationen meldeten unverhältnismäßig hohe Raten an KI-bezogenen Sicherheitsvorfällen: 70 % von ihnen erlebten mindestens einen Vorfall, verglichen mit 52 % der Unternehmen.

Die Arbeitszufriedenheit erholt sich, aber es bleiben Warnzeichen

Die allgemeine Arbeitszufriedenheit stieg im Jahr 2025 um zwei Prozentpunkte auf 68 Prozent und kehrte damit die vierprozentige Abnahme des Vorjahres um. Der Anteil derjenigen, die angaben, „sehr zufrieden“ zu sein, stieg von 27 auf 30 Prozent. Achtzig Prozent der Befragten beschrieben sich als leidenschaftlich in Bezug auf ihre Arbeit.

Die Zahlen verschlechtern sich jedoch, wenn die Frage von der täglichen Arbeitserfahrung zur organisatorischen Führung wechselt. Die Zufriedenheit mit den direkten Vorgesetzten lag bei 73 %. Die Zufriedenheit mit der Organisationsführung sank hingegen auf 63 %. Nur 32 % der Befragten gaben an, dass ihre Organisation Cybersicherheit als kritische Geschäftsfunktion behandelt – ein Ergebnis, das direkte Auswirkungen auf die Budgetzuweisung und strategische Priorisierung hat.

Bedenken hinsichtlich Arbeitsbelastung und Vergütung sind vorherrschend. Fast die Hälfte der Befragten (48 %) gab an, sich erschöpft zu fühlen, da sie versuchen, mit der Bedrohungslandschaft und neuen Technologien Schritt zu halten. 47 % gaben an, sich häufig von der Menge der von ihnen erwarteten Arbeit überfordert zu fühlen. 32 % nannten mangelnde Karrierechancen als Quelle der Unzufriedenheit und 31 % bemängelten die unzureichende Bezahlung. 20 % erhielten im letzten Jahr keine Gehaltserhöhung, nur 20 % erhielten eine Erhöhung von über 10 %.

Flexible Arbeitsregelungen erwiesen sich als das am meisten geschätzte Unternehmensangebot und wurden von 42 % der Befragten genannt. Die Kluft zwischen den bevorzugten und den tatsächlichen Arbeitsregelungen ist groß: 31 % bevorzugen vollständig remote Arbeit, aber nur 23 % haben diese Möglichkeit. 28 % müssen im Büro Vollzeit arbeiten, während nur 10 % diese Anordnung wählen würden. Unter denen, die verpflichtet sind, Vollzeit im Büro zu arbeiten, obwohl sie lieber vollständig remote arbeiten würden, sinkt die Arbeitszufriedenheit auf 43 %.

Dreiviertel der Befragten (75 %) erwarten, in den nächsten zwölf Monaten in ihren derzeitigen Positionen zu bleiben. Diese Zahl sinkt auf 66 %, wenn der Horizont auf zwei Jahre ausgedehnt wird. Der Beruf genießt eine starke Loyalität – 87 % glauben, dass es immer Bedarf an Cybersicherheitsexperten geben wird –, aber die Organisationsloyalität ist fragiler. Wenn sich der Arbeitsmarkt verbessert, könnten Arbeitgeber, die nicht in ihre Mitarbeiter investieren, Probleme bekommen.

That is not the same as recovery. The share of organizations reporting cybersecurity budget cuts fell by only one percentage point, from 37% in 2024 to 36% in 2025. Hiring freezes held almost flat, rising by one point to 39%. Layoffs edged down to 24%. The data suggests a plateau rather than a turnaround, with 31% of respondents expecting further cutbacks in the coming twelve months and 26% anticipating more layoffs — a figure that exceeds last year’s forecast of 22%.

The pattern is not uniform across industries or company sizes. Technology-driven sectors carry the heaviest burden: cloud services reported cybersecurity layoffs at 33%, hardware and software development at 31%, aerospace at 31%. At the other end of the spectrum, education reported 11% and the legal sector 12%. Large enterprises — those with 10,000 or more employees — are implementing hiring freezes at nearly double the rate of the smallest organizations (49% versus 28%), partly because they have larger teams to cut and higher fixed costs to manage. Smaller firms, which have historically struggled to compete for cybersecurity talent, simply have less margin to reduce.

The human cost of these pressures is measurable. Among respondents, 72% agreed that reducing cybersecurity personnel significantly increases an organization’s risk of a breach. A further 76% said organizations should be held accountable when they suffer a breach after having cut security staff. Only 55% of respondents believe their organizations currently have the resources needed to address security incidents over the next two to three years — and fewer than a quarter hold that view strongly.

Skills, Not Headcount, Have Become the Central Problem

For years, the dominant narrative in cybersecurity workforce research focused on the shortage of people. That framing is shifting. In the 2025 study, 59% of respondents cited critical or significant skills needs — up from 44% in 2024. Nearly all respondents, 95%, reported at least one skills need, up five percentage points year-on-year. Only 5% said their teams had no current gaps.

ISC2 made the consequential decision to drop its annual estimate of the global workforce gap — the number of additional professionals organizations believe they need — noting that participants themselves are increasingly treating skills deficiency as a more pressing and measurable problem than headcount alone. More respondents in 2025 (34%) said their staffing levels were adequate, the highest proportion since 2023. But adequate staffing without the right competencies leaves teams exposed.

Artificial intelligence tops the skills priority list, cited by 41% of respondents, followed by cloud security at 36%. Risk assessment, application security, and security engineering each appear in the upper tier. Cloud security’s prominence reflects how central it has become to supply chain integrity: half of those focused on cloud skills highlighted architecture and secure design as their most pressing need, while 35% pointed to identity and access management — a topical concern given several high-profile authentication failures in recent years. Secure cloud deployment and configuration management were flagged by 38%, in the context of a string of misconfiguration-related incidents that drew global attention in 2025.

The dominant causes of these skills gaps trace back to familiar constraints. Thirty percent of respondents said they cannot find people with the skills they need; 29% said they lack the budget to hire those people; and a further 10% said they can identify suitable candidates but cannot afford them. Beyond hiring, 23% cited difficulty retaining staff with sought-after competencies, and 21% pointed to IT-driven technology adoption that outpaces the organization’s ability to train for it.

The practical consequences are documented and serious. Twenty-six percent of respondents reported cybersecurity process oversights resulting from skills gaps; a quarter said they had placed underqualified staff into roles they were not prepared to fill; and 24% flagged misconfigured systems — a cause of some of the year’s most publicized incidents. Overall, 88% of respondents had experienced at least one significant cybersecurity consequence directly attributable to skills deficiency.

Organizations are responding with a mix of internal investment and external support. Twenty-eight percent allow staff time during working hours for professional development. Twenty-five percent are turning to AI and automation tools as a mitigation strategy for skills shortfalls, while 22% are cross-training personnel from outside established security teams. External options — outsourcing, third-party service providers, temporary contractors — account for a smaller but meaningful share of responses.

A Workforce Divided on What Skills Matter Most

The study surfaces a persistent disconnect between what hiring managers value and what practicing professionals believe is in demand. Hiring managers, when ranking combined technical and nontechnical requirements, placed problem-solving first (29%), followed by collaboration (24%) and communications (22%). Technical skills did not appear in their top five. Practitioners agree that problem-solving and communication are critical, but they rank AI and cloud security alongside them — and view GRC and zero trust implementation as high priorities that hiring managers underweight.

The gap matters because it shapes how organizations build teams. When managers screen primarily for soft skills and practitioners develop technical depth, misalignment in hiring criteria can leave genuine capability gaps unaddressed.

Entry routes into the profession continue to be dominated by IT backgrounds — 56% of respondents came from IT roles — though this share is declining among younger cohorts. Among those aged 21 to 29, only 38% entered through an IT pathway, compared to 65% of those over 45. Younger professionals are more likely to have completed formal cybersecurity degree programs or entered through apprenticeships and certifications, pathways that tend to produce the strongest recommendation rates. Internship and apprenticeship alumni reported the highest likelihood (69%) of recommending their entry route to others, followed by certification holders (67%).

AI: Catalyst Rather Than Threat

If there is a single area where the data challenges prevailing pessimism, it is on artificial intelligence. The study finds an industry that is cautious in its adoption pace but broadly optimistic about the outcome.

Twenty-eight percent of respondents had already integrated AI security tools into daily operations; 19% were actively testing them; and 22% were in early evaluation. In total, 69% are on a trajectory toward regular AI security tool use. Among active users, 63% reported a meaningful productivity boost. The areas expected to benefit most in the shortest timeframe include network monitoring (40%), security operations and security testing (30% each), and vulnerability management (29%).

Contrary to displacement fears, 73% of respondents said AI will create demand for more specialized cybersecurity skills, and 72% said it will require more strategic thinking across the workforce. Sixty-six percent expect it to generate demand for broader skill sets; 65% anticipate that AI adoption will create a need for more communications-oriented roles. Only 18% said the technology’s advance was prompting them to actively consider leaving the profession.

Respondents are not waiting passively. Forty-eight percent are already developing general AI knowledge and skills. Twenty-six percent are positioning themselves as early adopters within their organizations; 17% have already obtained AI-specific qualifications; and 53% plan to do so.

The threat landscape is evolving in parallel. Forty percent of respondents experienced AI-optimized social engineering attacks in the past year. Twenty-five percent reported data leakage incidents, 23% suspected AI-powered cyberattacks, and another 23% experienced AI-related data breaches. Data poisoning and model theft attacks also emerged as documented threat categories, affecting 11% and 9% of respondents respectively. Small organizations reported disproportionately high rates of AI-related security events, with 70% experiencing at least one, compared to 52% at enterprise scale.

Job Satisfaction Recovers, but Warning Signs Persist

Overall job satisfaction rose two percentage points to 68% in 2025, reversing a four-point decline the previous year. The proportion reporting that they are „very satisfied“ climbed from 27% to 30%. Eighty percent of respondents described themselves as passionate about their work.

The numbers deteriorate when the question shifts from daily work experience to organizational leadership. Satisfaction with direct managers stood at 73%. Satisfaction with organizational leadership fell to 63%. Only 32% said their organizations treat cybersecurity as a critical business function — a finding with direct implications for budget allocation and strategic prioritization.

Workload and compensation concerns are prominent. Almost half of respondents (48%) said they feel exhausted from trying to keep pace with the threat landscape and emerging technologies. Forty-seven percent said they frequently feel overwhelmed by the volume of work expected of them. Thirty-two percent cited a lack of career advancement opportunities as a source of dissatisfaction, and 31% flagged insufficient pay. Twenty percent received no salary increase over the past year; only 20% received an increase exceeding 10%.

Flexible working arrangements emerged as the most valued organizational offering, cited by 42% of respondents. The gap between preferred and actual working arrangements is pronounced: 31% prefer fully remote work, but only 23% have it. Twenty-eight percent are required to work full-time in office, while only 10% would choose that arrangement. Among those required to work in office full-time who would prefer fully remote, job satisfaction drops to 43%.

Three-quarters of respondents (75%) expect to remain in their current roles over the next twelve months. That figure drops to 66% when the horizon extends to two years. The profession retains strong loyalty — 87% believe there will always be a need for cybersecurity professionals — but organizational loyalty is more fragile. If the job market improves, employers who have not invested in their staff may face a retention problem they did not anticipate.