Firmen-PCs versagen bei Sicherheitskontrollen.
Eine neue Studie von Absolute Security offenbart gefährliche Sicherheitslücken bei Firmen-PCs weltweit: Der Absolute Security Resilience Risk Index 2025 hat anonymisierte Telemetriedaten von mehr als 15 Millionen Unternehmens-PCs ausgewertet und dabei festgestellt, dass Unternehmen es zulassen, dass ihre kritischen Endpunkt-Sicherheitskontrollen in 22 Prozent der Fälle nicht mit internen Sicherheits- und Leistungsrichtlinien konform sind.
Diese gefährliche Ausfallrate erhöht das Risiko von Cyberangriffen, untergräbt die Verteidigungsfähigkeit und bedroht damit den Geschäftsbetrieb. Dazu zeigt sich noch eine neue Gefahr: das konzentrierte Risiko.
Sicherheitstools wie führende Endpoint-Protection-Plattformen (EPP), Security-Service Edge (SSE)-Lösungen sowie Schwachstellen- und Patch-Management-Plattformen halten interne Sicherheits- und Leistungsrichtlinien in 22 Prozent der untersuchten Fälle nicht ein. Der aktuelle Absolute Security Resilience Risk Index 2025 zeigt im Vorjahrsvergleich ein neues Problem, mit dem sich die Branche auseinandersetzen muss: dem konzentrierten Risiko. Das entsteht, wenn Unternehmen nicht erkennen, dass selbst Lösungen mit hohen Compliance-Ansprüchen ein erhebliches Risiko darstellen können, wenn sie auf einem erheblichen Prozentsatz der Firmen-PCs eingesetzt werden. Aus diesem Grund muss jede Endgerätekontrolle unabhängig von der Leistungsrate durch Resilienz-Funktionen unterstützt werden, die Unternehmen dabei helfen können, Ausfälle in großem Umfang standzuhalten, und sich davon zu erholen.
Patchen für Firmen-PCs verzögert sich um fast zwei Monate
Eine weitere bedenkliche Erkenntnis aus der breit angelegten Absolute-Studie: Unternehmen aller Branchen benötigen fast zwei Monate, um Schwachstellen auf PCs mit Windows 10 und 11 zu patchen. Die meisten Unternehmen legen ihre eigenen Zeitpläne für Schwachstellen-Scans und Patches fest. Dieser Durchschnittswert steht jedoch im Widerspruch zu den Empfehlungen führender Behörden. Sowohl das deutsche BSI als auch das schweizerische BTI empfehlen, Patches grundsätzlich zeitnah nach Veröffentlichung kontrolliert durchzuführen.
Bei der KI-Nutzung werden Richtlinien missachtet
Besonders auffällig bei den analysierten PCs war eine millionenfache Nutzung beliebter generativer KI-Plattformen. Eine damit einhergehende lückenhafte Kontrollmöglichkeit – etwa durch ein fehlendes Monitoring – macht Unternehmen nicht nur anfällig für Compliance-Verstöße durch eine unerlaubte Abwanderung unternehmensinterner Daten, sondern erhöht auch die Gefahr, dass bösartige Inhalte ins Unternehmensnetzwerk gelangen und sensible Informationen in die Hände von Kriminellen gelangen. Tausende Besuche betrafen beispielsweise den im Analysezeitraum vorgestellten KI-Chatbot Deep Seek. Behörden und Cybersicherheitsfachleute äußerten massive Bedenken gegen die KI-Anwendung aus China – nicht nur hinsichtlich möglicher Datenschutz-Verletzungen, sondern auch wegen einer potenziellen Gefährdung der nationalen Sicherheit.
Sensible Daten auf unverschlüsselten Firmen-PCs
Weitere Endpoint-Sicherheitsprobleme, die in der Studie deutlich wurden:
- 35 Prozent der Unternehmens-PCs sind nicht verschlüsselt
- 26 Prozent sind nicht registriert
- 18 Prozent der Geräte speichern sensible Daten
Diese gefährliche Kombination schafft blinde Flecken, die Daten und PCs schutzlos Cyberkriminellen überlassen. Diese Ausfälle können nicht-autorisierten Benutzern auch über längere Zeiträume Zugriff auf Unternehmensnetzwerke verschaffen. So können sich Bedrohungen lateral über Systeme und Ressourcen ausbreiten.
„Cyber-Resilienz als Kernkompetenz des Unternehmens“
„Die Studie zeigt, dass Unternehmen es versäumen, eine effektive Betriebsleistung für führende Endpunkt-Sicherheitskontrollen aufrechtzuerhalten. Sie zeigt auch, dass sich Unternehmen der riskanten Verhaltensweisen nicht bewusst sind. Und sie sind möglicherweise nicht in der Lage, das Patchen so auf dem neuesten Stand zu halten, wie sie sollten.“, warnt Christy Wyatt, CEO von Absolute Security. All dies seien Faktoren, die letztendlich zu einer größeren Sicherheitsverletzung oder einer längeren und kostspieligen Ausfallzeit führen würden. Um in modernen digitalen Geschäftsumgebungen effektiv geschützt zu bleiben, müssten Führungskräfte über veraltete Präventions- und Erkennungspraktiken hinausdenken, indem sie Resilienz als Kernkompetenz durchsetzen müssen, fordert Wyatt. Nur so könnten sie die Transparenz, Kontrolle und Agilität gewährleisten, die erforderlich seien, um ihre Unternehmen sicher, reaktionsschnell und immer betriebsbereit zu halten.
