Die Diskrepanz zwischen investiertem Kapital und tatsächlichen Sicherheitsergebnissen ist nicht länger zu übersehen. “Jedes Jahr tun wir mehr, und jedes Jahr werden die Ergebnisse schlechter”, fasst Andrew Rubin, CEO von Illumio, das Dilemma zusammen. Die Anzahl der Breaches, deren Größe und die wirtschaftlichen Verluste seigen alle kontinuierlich an.
Das Kernproblem liegt in der Messung von Erfolg. “Cybersicherheit wird in Aktivitäten gemessen statt in der Reduktion der Angriffsfläche”, kritisiert Theresa Payton. Organisationen präsentieren sich auf dem Papier als sicher, während sie in der Praxis verwundbar bleiben. Viele Security-Awareness-Programme sind zur Routine geworden und damit unwirksam. Payton plädiert für ein Umdenken: Statt periodischer Schulungen sollten sichere Verhaltensweisen durch Anreize, Anerkennung und Integration in alltägliche Arbeitsabläufe gefördert werden.
Die zweite falsche Annahme betrifft die Fähigkeit zur Prävention. Wenn diese fehlschlägt, müssen Organisationen in der Lage sein, schnell zu reagieren und sich zu erholen. David Boda von der Nationwide Building Society investiert 50 Prozent seiner Zeit in Response und Recovery — nicht weil sein Unternehmen täglich angegriffen wird, sondern weil es extrem schwierig ist, dies richtig zu tun. Dafür braucht es koordinierte Prozesse über alle Abteilungen hinweg.
Ein weiteres Missverständnis betrifft Threat Modeling. “Viele sprechen über Threat Models, haben aber nichts schriftlich dokumentiert”, beobachtet Sherrod DeGrippo von Microsoft. Die Unterscheidung zwischen verschiedenen Angreifer-Typen verliert an Bedeutung: Ob Cyberkriminelle oder Nation-State-Akteure — einmal im System, sind die Taktiken ähnlich.
Die künstliche Intelligenz verstärkt beide Seiten des Konflikts. Sie automatisiert Detection und Response, aber KI-gestützte Angreifer zeigen auch eine gefährliche Persistenz: “Ein Agent wird nicht müde”, sagt SolarWinds-CEO Brown. Das verändert die Ökonomie von Angriffen fundamental. Auch eine dritte Kategorie von Akteuren ist entstanden — sozial motivierte Angreifer mit KI-Tools, die eine Reichweite erreichen, die früher nur Geheimdienste hatten.
Legacy-Ansätze wie signaturbasierte Erkennung oder traditionelle Datenverlustprävention sind oft nicht ausreichend. Das zentrale Prinzip sollte lauten: “Don’t assume, don’t trust, verify” — kontinuierlich überprüfen statt zu vertrauen. Sicherheit ist kein Zustand, sondern ein permanenter Prozess, der ständig validiert werden muss.