Einer für alle: Warum CISOs seltener sind als Einhörner

Sophos Sophos   |
  • CISO
  • Einsteiger
Einer für alle: Warum CISO seltener sind als Einhörner

Einer für alle: Warum CISO seltener sind als Einhörner.

Der CISO Report 2026 zeigt ein massives Ungleichgewicht in der globalen Sicherheitsverantwortung und warum MSPs und MSSPs an strategischer Bedeutung gewinnen.

Zusammenfassung (TL; DR):

  • Der CISO Report 2026 hebt eine massive Lücke in der Cybersicherheit hervor, bei der 35.000 CISOs weltweit rund 359 Millionen Unternehmen gegenüberstehen.
  • Da qualifiziertes Sicherheitspersonal für viele Unternehmen nicht verfügbar oder unbezahlbar ist, steigen die wirtschaftlichen Risiken durch Cyberkriminalität erheblich.
  • Als Lösung etablieren sich MSPs und MSSPs, die durch hybride Modelle aus Mensch und Technik strategische Sicherheit zugänglich machen.

Der 2026 CISO-Report, den Cybersecurity Ventures in Zusammenarbeit mit Sophos veröffentlicht hat, verdeutlicht ein entscheidendes Ungleichgewicht in der globalen Cybersicherheit. Trotz jahrzehntelanger Fortschritte und der fast flächendeckenden Einführung von CISO-Positionen in Fortune-500- und Global-2000-Unternehmen gibt es weltweit nach wie vor nur 35.000 CISOs, die schätzungsweise 359 Millionen Unternehmen betreuen. „Das sind keine guten Aussichten. Das ist ein Marktversagen. Das Cybersicherheits-Ökosystem hat noch nicht herausgefunden, wie diese Lücke geschlossen werden kann. Wir haben jetzt das Potenzial, dies zu tun“, sagt Joe Levy, CEO von Sophos.

Die Rolle des Chief Information Security Officer (CISO) beschreibt die oberste Instanz für Informationssicherheit in einem Unternehmen. Sie umfasst die Entwicklung der Risikostrategie, die Priorisierung von Sicherheitsinvestitionen sowie die Vorbereitung auf Bedrohungen wie Ransomware, Angriffe auf die Lieferkette oder KI-gestützte Attacken. Genau diese Ebene fehlt jedoch vielen Organisationen.

CISO: Eine Lücke mit Folgen

Ein Blick in die Daten des Reports zeigt, wie sich dieses Ungleichgewicht konkret ausprägt: Rund 35.000 CISOs stehen weltweit 359 Millionen Unternehmen gegenüber. Gleichzeitig erwägen 75 Prozent der Sicherheitsverantwortlichen einen Jobwechsel. Parallel gewinnen MSPs und MSSPs an Bedeutung, um fehlende Kapazitäten auszugleichen. Dahinter wird ein strukturelles Problem sichtbar, das über den reinen Fachkräftemangel hinausgeht.

Steigende Risiken, begrenzte Ressourcen

Die Bedrohungslage verschärft sich weiter. Gleichzeitig steigen die wirtschaftlichen Schäden durch Cyberangriffe deutlich an. Prognosen gehen davon aus, dass die globalen Kosten bis 2031 auf mehr als elf Billionen Euro jährlich anwachsen – das entspricht einer Verdopplung gegenüber 2021.

Allein Ransomware entwickelt sich zu einem massiven Kostenfaktor: Für 2026 werden weltweit Schäden in zweistelliger Milliardenhöhe erwartet, mit weiter stark steigender Tendenz in den Folgejahren.

Unternehmen ohne entsprechende Expertise auf Führungsebene sind dadurch besonders anfällig für Betriebsstörungen, wirtschaftliche Verluste und Reputationsschäden.

KMU besonders betroffen

Kleine und mittlere Unternehmen stehen unter besonderem Druck. Sie stellen den Großteil der globalen Wirtschaft, verfügen jedoch selten über eigene Sicherheitsverantwortliche auf CISO-Ebene. Ein erfahrener CISO kostet häufig zwischen 218.000 und 348.000 Euro pro Jahr. Für viele Unternehmen ist das wirtschaftlich nicht darstellbar. Externe Modelle wie virtuelle CISOS (vCISOs) können unterstützen, sind jedoch nur begrenzt skalierbar.

„Die Herausforderung bei den derzeitigen vCISO-Angeboten besteht darin, dass die personellen Kapazitäten nicht unbegrenzt skalierbar sind“, sagt Raja Patel, President of Product & Marketing bei Sophos. Die Folgen sind deutlich: Vier von fünf kleinen Unternehmen waren im vergangenen Jahr von Sicherheitsvorfällen betroffen, ein erheblicher Teil mit Schäden in sechsstelliger Höhe.

Auch CISO’s stehen unter Druck

Selbst in Unternehmen mit eigener CISO-Funktion zeigt sich eine hohe Belastung. 75 Prozent der Sicherheitsverantwortlichen denken über einen Wechsel nach, nahezu alle leisten regelmäßig Überstunden.  Hinzu kommen steigende rechtliche Risiken und ein Arbeitsmarkt, in dem qualifizierte Fachkräfte weiterhin knapp sind. Die durchschnittliche Verweildauer von 18 bis 26 Monaten zeigt, wie schwer diese Rolle langfristig zu etablieren ist.

Skalierung über Partner

Der Report zeigt eine Entwicklung, die sich bereits in vielen Unternehmen abzeichnet: Managed Services Provider (MSPs) und Managed Security Service Provider (MSSPs) übernehmen zunehmend auch strategische Aufgaben. „Ebenso wie sich bei Managed Detection and Response gezeigt hat, dass sich Sicherheitsabläufe am besten über Dienste skalieren lassen, lässt sich die Führungsrolle im Sicherheitsbereich am besten über Partner skalieren“, heißt es im Bericht.

Joe Levy beschreibt die Perspektive so: „Es gibt die Chance, durch ein hybrides Modell aus Menschen und Technologie die nächste Generation von MSPs und MSSPs zu schaffen – für Hunderte Millionen von Unternehmen, die sonst keinen Zugang dazu hätten.“

Zum Report: Der 2026 CISO-Report, steht in englischer Sprache zum Download bereit. Er wurde von Cybersecurity Ventures in Zusammenarbeit mit Sophos erstellt und analysiert globale Entwicklungen sowie verfügbare Daten zur Verbreitung und Rolle von CISOs weltweit.

Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung