Traditionell war Cybersicherheit eng an den Netzwerkbereich der IT gekoppelt. Im Mittelpunkt stand, Angreifer mithilfe von Technologien aus dem Netzwerk fernzuhalten, die entweder Datenverkehr blockierten oder bestimmten Nutzern Zugang gewährten. Das Netzwerk war flach und meist an einen einzigen Unternehmensstandort gebunden.

„Früher war es so: Wurde ein Endgerät auffällig, hat die IT die Maschine neu aufgesetzt und damit war die Sache erledigt. Sah die Firewall schädlichen Datenverkehr, wurde die IP-Adresse blockiert und gut war", sagt Fernando Montenegro, Vice President und Practice Lead für Cybersicherheit und Resilienz bei The Futurum Group. Mit der zunehmend komplexen Infrastruktur – unterschiedliche Gerätetypen, geografisch verteilt, vielfältige Anwendungen – musste sich das Denken der Verteidiger ändern. „Man kann alle Netzwerksicherheit der Welt haben, aber wenn jeder Domänen-Administratorrechte besitzt, ist das sinnlos."

Die Infrastruktur veränderte sich in den vergangenen zwei Jahrzehnten dramatisch, beginnend mit Cloud und Mobilgeräten über das Internet der Dinge in nahezu allem bis hin zur KI, sagt Richard Stiennon, Gründer der Analystenfirma IT-Harvest und ehemaliger Gartner-Vice-President. Die frühen 2000er brachten Cloud Computing und Software-as-a-Service in den Vordergrund: Salesforce wurde 1999 gegründet, Amazon richtete 2002 Amazon Web Services ein und brachte 2006 sowohl S3 als auch EC2 auf den Markt. Mobil folgte kurz darauf – das erste BlackBerry mit Telefonfunktion erschien 1999, das erste iPhone 2007, das erste Android-Gerät (HTC Dream) 2008.

Mit dem Trend, eigene Geräte mitzubringen, lagen viele Daten nicht mehr hinter Unternehmensmauern. Mit dem Internet der Dinge – die erste Erwähnung bei Dark Reading datiert auf 2013 – wuchs die Angriffsfläche der Organisationen erheblich weiter. Eine zunehmend mobile Belegschaft rückte den Schutz von Identitäten und Daten stärker in den Vordergrund.

Ein Systemeinbruch wirft heute eine ganze Reihe neuer Fragen auf: Welche Identitäten waren beteiligt, welche weiteren Systeme betroffen, auf welche Daten wurde zugegriffen? Sicherheitsteams prüfen zudem, ob ein Vorfall unter die Offenlegungspflichten der US-Börsenaufsicht SEC fällt und ob ihre Datenstrategien mit der Datenschutz-Grundverordnung der EU vereinbar bleiben. Auch Threat Intelligence wandelte sich von kollegialem Austausch zu einem kommerziellen Produkt – mit iSIGHT Partners (2007) und Recorded Future (2009).

Trotz aller Veränderungen blieben die Grundprinzipien gleich: Infrastruktur schützen, Systeme aktualisieren, Menschen zu sicherem Verhalten schulen. „Cybersicherheit sieht heute völlig anders aus als vor 20 Jahren, und sie sieht doch genau gleich aus", sagt Ross Haleliuk, Startup-Berater hinter dem Newsletter Venture in Security. „Schlechte Ideen sind immer noch schlechte Ideen."

Verändert haben sich auch die Werkzeuge selbst. „Marc Andreessen hatte recht, als er sagte: ‚Software frisst die Welt’", sagt Montenegro mit Verweis auf den bekannten Essay des Risikokapitalgebers aus dem Jahr 2011. Viele Sicherheitsfunktionen wanderten von Hardware-Appliances zu Software und Diensten; in Cloud-Umgebungen wurden aus vielen Hardware-Appliances virtuelle Appliances.

Die Zahlen verdeutlichen den Wandel. Gartner prognostizierte weltweite Endnutzerausgaben für Informationssicherheit von 239,8 Milliarden US-Dollar für 2026, aufgeteilt in Netzwerksicherheit (25,8 Mrd.), Sicherheitsdienste (92,8 Mrd.) und Sicherheitssoftware (121,1 Mrd.). Damit entfällt rund die Hälfte der Ausgaben auf Software, etwas mehr als 10 Prozent auf Netzwerksicherheit. Zum Vergleich: 2006 bezifferte Gartner die weltweiten Ausgaben für Sicherheitssoftware auf 8,7 Milliarden US-Dollar bei einem Gesamtmarkt von knapp unter 30 Milliarden – Software machte damals weniger als ein Drittel aus.

Sicherheitssoftware war 2006 enger definiert: Endpunktsoftware wie Antivirus, Anti-Spyware, Webfilter sowie softwarebasierte Firewalls. Heute konzentrieren sich Organisationen zunehmend auf Plattformen statt Einzelwerkzeuge – etwa SASE, Zero Trust Network Access und XDR-Plattformen, die Endpunktsicherheit und SIEM-Funktionen bündeln. Den Verschiebung hin zu Software treibt laut Gartner unter anderem die fortschreitende Verlagerung von lokalen zu cloudbasierten Systemen.