Die Cybersecurity-Branche erlebt einen fundamentalen Paradigmenwechsel. Führende CISOs und Sicherheitsexperten kritisieren seit Jahren das veraltete Modell der Compliance-Audits, das aus der Finanzbranche stammt: Einmal im Jahr wird überprüft, ob ein Unternehmen alle Anforderungen erfüllt – und fertig. Doch diese statische Herangehensweise funktioniert nicht mehr in einer Bedrohungslandschaft, die sich täglich verändert.
Sravish Sridhar, CEO und Gründer von TrustCloud, erklärt die historischen Wurzeln des Problems. Als die Compliance-Industrie entstand, basierten die Bewertungen auf Finanzmodellen. Das war vertretbar, solange Angreifer nicht weltweit vernetzt agierten und die IT-Infrastrukturen sich langsam veränderten. Heute ist das unvorstellbar. Attacken entstehen in Echtzeit, Schwachstellen werden innerhalb von Stunden ausgenutzt, und Supply-Chain-Angriffe nutzen neue Vektoren, die ein statischer Fragenkatalog nicht erfasst.
Lamont Atkins, Partner bei McKinsey & Company, warnt vor einer gefährlichen Sicherheitsgefühl: Ein Anbieter kann auf dem Papier vollständig konform sein und dennoch erhebliche Risiken in das Unternehmen einführen. CISOs reagieren darauf, indem sie sich bewusst von fragebodengesteuerten Checkbox-Modellen abwenden und kontinuierliche, evidenzbasierte Sicherheitsbewertungen fordern.
Moderne TPRM-Plattformen (Third-Party Risk Management) arbeiten deshalb anders: Sie überwachen Anbieter fortlaufend auf Schwachstellen, Fehlkonfigurationen und Breach-Signale – nicht anhand statischer Fragebögen, sondern mit künstlicher Intelligenz. Unternehmen wie Upguard, BitSight und OneTrust führen diesen Ansatz an. Sie kombinieren automatisierte Datenerfassung mit Kontroll-Mapping über verschiedene Compliance-Frameworks hinweg und identifizieren Lücken in Echtzeit.
Für deutsche Organisationen hat das besondere Bedeutung: Die DSGVO fordert eine kontinuierliche Risikobewertung, nicht nur einmal jährlich. Bußgelder können bis zu 4 Prozent des Jahresumsatzes erreichen. Das BSI empfiehlt ebenfalls kontinuierliche Sicherheitsüberwachung. Eine jährliche Compliance-Checklist erfüllt diese Anforderungen nicht.
Rob Gregory, CISO bei Optiv, beobachtet einen weiteren Trend: Szenario-basierte Risikoanalysen, die es Sicherheitsleitern ermöglichen, Prioritäten zu setzen, statt alle Befunde gleich zu gewichten. KI-gestützte Analysen übersetzen technische Risiken zunehmend in boardfähige Narrative – eine Fähigkeit, die Führungskräfte schätzen.
Doch bei aller Technologie bleibt eines zentral: Vertrauen. Sridhar betont, dass Vertrauen nicht bedeutet, fehlerfrei zu sein. Vertrauen bedeutet, Verletzungen zuzugeben, schnell zu reagieren und transparent zu handeln. In einer komplexen Bedrohungslandschaft ist das die einzige Grundlage für echte Sicherheit.