Es ist ein bemerkenswerter Widerspruch: Unternehmen geben weltweit Milliardenbeträge für Cybersicherheit aus, die Budgets steigen Jahr für Jahr – und trotzdem klafft zwischen Investition und tatsächlichem Schutzniveau eine Lücke, die sich mit Technik allein nicht schließen lässt. Wer verstehen will, woran das liegt, muss den Blick von den Werkzeugen lösen und auf die Menschen richten, die sie steuern sollen. Denn der eigentliche Engpass in der Cybersicherheit ist längst kein technischer mehr. Er ist ein personeller und organisatorischer.
Die wahre Sicherheitslücke sitzt nicht im System
In meiner täglichen Arbeit als Personalberater für Führungspositionen sehe ich, wie sich das Problem verschiebt. Vor einigen Jahren ging es vor allem um die Frage, welche Sicherheitslösung ein Unternehmen einsetzt. Heute geht es um die Frage, wer die Verantwortung dafür trägt – und ob diese Person überhaupt zu finden ist. Schlüsselrollen wie die des Chief Information Security Officer, von Identity-Spezialisten oder Security-Architekten lassen sich nur schwer besetzen. Und selbst dort, wo sie besetzt sind, bleiben Zuständigkeiten häufig unklar.
Die Datenlage stützt diese Beobachtung. Die jüngste Cybersecurity-Workforce-Studie des internationalen Branchenverbands ISC2, für die 2025 mehr als 16.000 Fachleute befragt wurden, kommt zu einem aufschlussreichen Befund: Erstmals hat der Verband darauf verzichtet, die viel zitierte Zahl der unbesetzten Stellen in den Vordergrund zu stellen. Nicht, weil das Problem gelöst wäre, sondern weil die Befragten etwas anderes für dringlicher halten als zusätzliche Köpfe – nämlich die richtigen Kompetenzen. 95 Prozent der Teams berichten von mindestens einer Kompetenzlücke, knapp 60 Prozent bezeichnen diese als kritisch oder erheblich. Ein Jahr zuvor waren es noch 44 Prozent.
Das ist eine stille, aber folgenreiche Verschiebung. Sie bedeutet, dass die Antwort auf wachsende Bedrohung nicht allein im Einkauf weiterer Systeme liegt, sondern in der Fähigkeit einer Organisation, die richtigen Menschen an die richtigen Stellen zu bringen und ihnen klare Verantwortung zu geben. Das Weltwirtschaftsforum kommt zu einem ähnlichen Schluss: Weniger als 15 Prozent der Unternehmen trauen sich zu, sowohl über die nötigen Leute als auch über die nötigen Fähigkeiten zu verfügen, um ihre Sicherheitsziele zu erreichen.
Sicherheit ist kein Anhängsel der IT
Warum fällt es Unternehmen so schwer, hier nachzusteuern? Ein wesentlicher Grund liegt darin, dass Cybersicherheit organisatorisch noch immer zu oft als Anhängsel der IT behandelt wird. Sie wird in einer Abteilung verortet, mit einem Budget versehen und ansonsten sich selbst überlassen. Doch eine moderne Sicherheitsfunktion ist keine Unterabteilung. Sie berührt das Risikomanagement, die Rechtsabteilung, die Personalpolitik, die Kommunikation und nicht zuletzt die Unternehmensführung selbst. Wer den CISO drei Ebenen unter dem Vorstand ansiedelt, sollte sich nicht wundern, wenn sicherheitsrelevante Entscheidungen zu spät oder gar nicht getroffen werden.
Hinzu kommt eine Eigenheit dieses Arbeitsmarktes, die ihn von anderen unterscheidet. Die gefragten Fähigkeiten verändern sich schneller, als klassische Qualifikationswege sie nachliefern können. Cloud-Sicherheit, der Schutz von KI-Systemen, Identitätsmanagement in verteilten Strukturen – das sind Felder, die vor wenigen Jahren kaum existierten und heute über die Widerstandsfähigkeit eines Unternehmens entscheiden. Eine Sicherheitsführungskraft muss daher nicht nur das Heute beherrschen, sondern antizipieren, welche Kompetenzen das Unternehmen übermorgen braucht. Das ist weniger eine Frage des Lebenslaufs als eine Frage der Haltung und der Lernfähigkeit.
Genau hier entscheidet sich, ob hohe Investitionen ihre Wirkung entfalten. Eine Organisation kann die teuerste Sicherheitsarchitektur betreiben – wenn niemand mit ausreichender Autorität und Übersicht entscheidet, wie sie eingesetzt, gepflegt und im Krisenfall verteidigt wird, bleibt sie Stückwerk. Sicherheit entsteht nicht aus der Summe einzelner Tools, sondern aus dem Zusammenspiel von Technik, Prozessen und Menschen, die dieses Zusammenspiel orchestrieren. Und dieses Orchestrieren ist eine Führungsaufgabe.
Was Unternehmen jetzt ändern sollten
Für Unternehmen folgt daraus ein Umdenken, das über die IT-Abteilung hinausreicht. Erstens gehört Cybersicherheit auf die Ebene, auf der sie strategisch wirken kann – also nah an die Geschäftsführung, mit klarem Mandat und klaren Verantwortlichkeiten. Zweitens muss die Besetzung der Schlüsselrollen Teil einer vorausschauenden Personalplanung werden, nicht eine hektische Suche, die erst beginnt, wenn die Stelle bereits vakant ist. Wer eine Führungsposition in der Sicherheit erst dann besetzt, wenn der Vorgänger das Haus verlässt, hat den Wettlauf meist schon verloren. Und drittens braucht es die Bereitschaft, in die Entwicklung vorhandener Mitarbeiter zu investieren, statt allein auf den überhitzten externen Markt zu setzen.
Das klingt unbequem, weil es Geduld und strategische Konsequenz verlangt – beides knappe Güter in einer Disziplin, die von akuten Bedrohungen geprägt ist. Aber es ist der einzige Weg, der trägt. Die Unternehmen, die in den kommenden Jahren tatsächlich sicherer werden, sind nicht zwangsläufig jene mit den größten Technologiebudgets. Es sind jene, die Cybersicherheit als das verstehen, was sie geworden ist: eine Führungs- und Organisationsfrage, die in die Vorstandsetage gehört.
Die gute Nachricht ist, dass dieser Wandel machbar ist. Er kostet kein zusätzliches Werkzeug, sondern eine Entscheidung – die Entscheidung, Sicherheit als Teil der Unternehmensstrategie zu begreifen und ihr die personelle und organisatorische Aufmerksamkeit zu geben, die ihrer Bedeutung entspricht. Wer diese Entscheidung trifft, schließt die Lücke zwischen Investition und Wirkung dort, wo sie wirklich entsteht: nicht im Rechenzentrum, sondern in der Art, wie ein Unternehmen sich führt.
