Insight

Cyber Benchmark 2025: Gemessene Fortschritte und anhaltende Herausforderungen

Veröffentlicht am 4. Juni 2025

Cyber Security

Angesichts zunehmender Bedrohungen, einschließlich geopolitischer Risiken und regulatorischem Druck (DORA, NIS-2, CRA…), müssen Unternehmen ihre Cybersicherheitsstrategie verstärken. Die Herausforderungen sind dabei vielfältig: ein explosionsartiger Anstieg der Nutzung von Künstlicher Intelligenz, nach wie vor unvollständige Resilienz, Abhängigkeit von internationalen Drittanbietern und erhebliche Unterschiede zwischen den Branchen…

In diesem sich schnell wandelnden Umfeld stellt sich die Frage: Wo stehen die großen europäischen Unternehmen wirklich? Welches Sicherheitsniveau haben sie erreicht? Welche Fortschritte wurden erzielt und wo bestehen weiterhin Schwachstellen? Zur Beantwortung dieser Fragestellungen veröffentlicht Wavestone nun bereits zum sechsten Mal seinen Cyber Benchmark. Die Studie basiert auf einer fundierten Analyse von über 170 Organisationen, die anhand des internationalen NIST Cybersecurity Frameworks v2.0 evaluiert wurden.

Dieser Benchmark bietet einen umfassenden Überblick über den Reifegrad großer Organisationen im Umgang mit Cyberbedrohungen.

Wichtige Kennzahlen

Der durchschnittliche Reifegrad großer Konzerne (≥ 1 Mrd. € Umsatz) steigt leicht auf 54 %. Dies entspricht einem Plus von 1 Punkt gegenüber 2024. Der Wert basiert auf internationalen Standards (NIST CSF v2.0 und ISO 27001).
Der Finanzsektor liegt mit einem durchschnittlichen Wert von 62,5 % (+2,5 % gegenüber 2024) weiterhin an der Spitze. Dies ist auf regulatorischen Druck (DORA) und nachhaltige Investitionen zurückzuführen. Einige Akteure erreichen sogar mehr als 80 % Reife.
Im Durchschnitt machen die Budgets für Cybersicherheit 6,4 % der IT-Budgets aus. Dies stellt einen leichten Rückgang gegenüber 2024 (6,6 %) dar und liegt weiterhin im unteren Bereich der empfohlenen Spanne von 5 bis 10 %.
Im Durchschnitt ist 1 Cyber-Expert:in für 1.016 Mitarbeitende zuständig. Im Vorjahr lag das Verhältnis bei 1 zu 1.086. Die besten Unternehmen im Finanzsektor erreichen ein Verhältnis von 1 zu 80.
Von den 29 Angriffsvektoren, die von den identifizierten Ransomware-Gruppen genutzt werden, beherrschen die meisten großen Organisationen die Grundlagen. Ihr durchschnittliches Schutzniveau liegt bei 56 %, was zur Verringerung schwerwiegender Kompromittierungen beiträgt.
Vier Bereiche zeigen deutliche Verbesserungen: Incident-Response-Fähigkeiten, Erkennungsmaßnahmen (SOC, Security Operations Center), Cloud-Sicherheit sowie Datenschutz als Reaktion auf KI-bedingte Herausforderungen.
Die NIS2-Verordnung zwingt Organisationen zu Compliance-Investitionen, doch bisher ist keines vollständig vorbereitet. Trotz eines durchschnittlichen Reifegrads von 80 % ist kein Unternehmen vollständig konform. Es besteht weiterer Handlungsbedarf, insbesondere in den Bereich Drittanbieterrisiken, Asset-Mapping und Governance.

Moderater Fortschritt bei anhaltenden sektoralen Unterschieden

Im Jahr 2025 erreichen große europäische Unternehmen im Durchschnitt eine Reife von 54 % im Bereich Cybersicherheit, was einem leichten Anstieg von +1 Punkt gegenüber 2024 entspricht. Im Vergleich zu den Vorjahren stellt diese Entwicklung jedoch eine deutliche Verlangsamung dar. Sie deutet darauf hin, dass viele große Unternehmen eine Schwelle erreicht haben, die ohne strukturelle Reformen oder eine neue Investitionswelle nur schwer zu überwinden ist.

Mit einem durchschnittlichen Wert von 62,5 % bestätigt der Finanzsektor seine Führungsposition aus dem Vorjahr und verzeichnet einen Zuwachs von +2,5 Punkten. Diese Leistung ist hauptsächlich auf die kombinierten Effekte der Regulierung, insbesondere der europäischen DORA-Verordnung, sowie auf verstärkte personelle und finanzielle Investitionen zurückzuführen. Im Gegensatz dazu weisen weniger regulierte Sektoren wie bestimmte Industrien und der öffentliche Sektor größere Rückstände auf: Der durchschnittliche Unterschied zwischen regulierten und nicht regulierten Branchen beträgt 6 Punkte.

Rückläufige Budgets, steigende Personalzahlen

Die befragten Unternehmen investieren im Durchschnitt 6,4 % ihres IT-Budgets in Cybersicherheit, was einem Rückgang gegenüber dem Vorjahr entspricht (6,6 % im Jahr 2024). Trotz dieses Rückgangs zeichnet sich ein Wachstum bei den Personalressourcen im Bereich Cybersicherheit ab: So kommt nun 1 Cybersicherheitsexpert:in auf 1.016 Mitarbeitende, verglichen mit 1 zu 1.086 im Vorjahr. Die Spitzenreiter im Finanzsektor weisen mit bis zu 1 zu 80 deutlich höhere Verhältnisse auf. Dieser Zuwachs an Personal verdeutlicht jedoch eine weitere große Herausforderung: den Fachkräftemangel.

Die Nachfrage nach Cybersicherheitsexpert:innen bleibt hoch. Einzelne Branchen könnten in direkte Konkurrenz zueinander treten, um qualifizierte Fachkräfte zu gewinnen. Das könnte die Situation für Unternehmen mit begrenzten Ressourcen deutlich erschweren.

Die größten und reifsten Organisationen greifen zudem zunehmend auf Nearshoring, insbesondere in Südeuropa, oder auf Offshoring in weiter entfernten Ländern zurück.

Angesichts der Bedrohung durch Ransomware sichern große Konzerne die Grundlagen ab, während kleinere Organisationen versuchen aufzuholen

Von den 29 Angriffsvektoren, die von Ransomware-Gruppen verwendet werden und von den Incident-Response-Teams von Wavestone identifiziert wurden, weisen große Unternehmen ein durchschnittliches Schutzniveau von 56 % auf, was zur Verringerung schwerwiegender Kompromittierungen beiträgt.

Unter den kleinen und mittleren Unternehmen (KMU) befinden sich laut den Befragten nach wie vor 36 % in einer kritischen Lage. Das ist ein Anstieg um 18 % gegenüber 2024. Trotz der erzielten Fortschritte sind weitere Anstrengungen erforderlich, um die Grundlagen der Cybersicherheit in einem größeren Teil des Ökosystems zu stärken.

Unter den kleinen und mittleren Unternehmen (KMU) werden 36 % des Panels als kritisch eingestuft. Eine Verbesserung von 18 % gegenüber 2024. Trotz der erzielten Fortschritte sind weitere Anstrengungen erforderlich, um die Grundlagen der Cybersicherheit in einem größeren Teil des Ökosystems zu stärken.

Die Lösungen sind bekannt und klar definiert. Die größte Herausforderung besteht jedoch darin, Unternehmen zu erreichen, die traditionell nur ein geringes Bewusstsein für Cybersicherheitsfragen haben.

NIST CSF 2: Kontinuierliche Fortschritte in allen Säulen spiegeln nachhaltige Anstrengungen wider

Die Mehrheit der Säulen des NIST CSF 2 weisen einen einheitlichen Reifegrad von etwa 50 Prozent auf. Dieser reicht von 48 Prozent bei der Säule „Identify“ bis zu 52 Prozent bei den Säulen „Govern“ und „Protect“. Dies spiegelt eine umfassende Stärkung der Cybersicherheitspraktiken wider. Mit einem Reifegrad von lediglich 41 % hinkt die Säule „Recover“ jedoch hinterher. Dies macht deutlich, dass die Krisenresilienz in vielen Unternehmen nach wie vor ein wichtiger Bereich ist, in dem Verbesserungen erforderlich sind.

Diese Erkenntnisse weisen auf konkrete Entwicklungsmöglichkeiten hin, insbesondere im Bereich Resilienz und Krisenmanagement. In diesem Kontext erhöht die Umsetzung der NIS-2-Richtlinie die regulatorischen Anforderungen und könnte als echter Beschleuniger für die Reife dienen, da sie höhere Standards für eine zunehmende Anzahl von Organisationen vorschreibt.

Deutliche Fortschritte in den Bereichen Erkennung, Response, Cloud und Daten

Von Wavestone untersuchten Bereichen der Cybersicherheit zeigen vier bemerkenswerte Fortschritte.

Die Reaktionsfähigkeit auf Vorfälle (+3 %) hat sich um verbessert. Dies ist insbesondere auf die Professionalisierung des Cyber-Krisenmanagements zurückzuführen. Unternehmen richten dazu spezielle Cyber-Einheiten innerhalb ihrer Strukturen zur Reaktion auf Krisen ein, führen regelmäßig Simulationsübungen durch und verbessern die Koordination mit den Geschäftsbereichen.
Die Erkennung (+4 %), vorangetrieben durch SOCs, wird zunehmend durch KI unterstützt. Security Operations Center gewinnen an Bedeutung und ihre Fähigkeit, frühe Warnsignale zu identifizieren, verbessert sich. Die Aufrechterhaltung der Betriebsbereitschaft stellt jedoch weiterhin eine Herausforderung dar.
Die Cloud-Sicherheit (+3 %) macht Fortschritte. Grund dafür sind eine bessere Integration und Zentralisierung der Governance, einheitliche Sicherheitsrichtlinien sowie die stärkere Einbindung von Cybersicherheitsanforderungen bereits bei der Gestaltung von Cloud-Umgebungen.
Der Datenschutz (+4 %) wird durch neue KI-gestützte Anwendungsfälle gestärkt. Die Einführung neuer Klassifizierungs- und Verschlüsselungsrichtlinien sowie KI-basierter Anwendungsfälle zur Verhinderung von Datenlecks (DLP, Verhaltensüberwachung) festigen diese Säule.

Künstliche Intelligenz: Die Grundlagen sind gelegt, aber der Reifegrad noch niedrig

Derzeit stehen Investitionen in künstliche Intelligenz im Mittelpunkt der Aktivitäten großer Organisationen. Die Sicherheitsteams wurden oft in Eile mobilisiert, um die Absicherung dieser neuen Systeme zu gewährleisten. Unsere Teams waren in diesem Bereich intensiv tätig, sodass wir den aktuellen Reifegrad des Marktes bei 20 großen Organisationen analysieren konnten.

64 % verfügen inzwischen über eine spezielle Sicherheitsrichtlinie für KI.
67 % wenden einen Cyber-Validierungsprozess für Anwendungsfälle an (Go/No-Go).
60 % haben ein Team eingerichtet, das die Compliance von KI-Projekten bewertet.
40 % haben ihre Bewertung von Drittanbietern angepasst, um KI-Anbieter einzubeziehen.

Wenn es jedoch um den tatsächlichen Schutz geht, sind die Zahlen deutlich niedriger:

Nur 7 % der Unternehmen haben Abwehrmechanismen gegen Angriffe wie Prompt Injection oder andere KI-spezifische Bedrohungen implementiert.

NIS-2-Richtlinie: Strategische Priorität, aber nur teilweise Compliance

Die europäische NIS-2-Richtlinie, die derzeit in mehreren europäischen Ländern umgesetzt wird oder bereits umgesetzt ist, verpflichtet Unternehmen dazu, ihre Cybersicherheit zu verstärken. Obwohl der durchschnittliche Reifegrad bei großen Unternehmen bei 80 % liegt, ist bisher kein Unternehmen vollständig konform. Das Hauptproblem ist die Verpflichtung zu einem einheitlichen Sicherheitsniveau im gesamten Informationssystem. Dies weicht von den bisherigen Ansätzen ab, die oft auf kritische Bereiche fokussiert sind.

Zu den wichtigsten Herausforderungen für die Einhaltung der Vorschriften gehören:

Die vollständige Bestandsaufnahme der Assets

Die Richtlinie verlangt eine klare und aktuelle Übersicht über digitale Assets (Infrastrukturen, Anwendungen, Arbeitsplätze), um deren Sicherheitsniveau aufrechterhalten zu können. Insbesondere in hybriden und Cloud-Umgebungen ist diese Bestandsaufnahme jedoch noch lückenhaft. Bislang führen nur 45 % der Unternehmen eine zentrale CMDB.

Das Management von Drittanbieterrisiken

NIS-2 verlangt eine strenge und kontinuierliche Bewertung der Cybersicherheit von Dienstleistern und Partnern. Die Unternehmen müssen diese Kontrollen professionalisieren, da sie noch häufig unvollständig oder manuell durchgeführt werden. Aktuell auditieren nur 37 % der Organisationen ihre kritischen Lieferanten regelmäßig.

Governance administrativer Kontrollen

Die Administration erfordert einen verstärkten Schutz (dedizierte Admin-Konten, dedizierte Arbeitsplätze, dediziertes Administrationsnetzwerk), insbesondere für Verzeichnisdienste, wo eine Sicherheitsverletzung schwerwiegende Folgen haben könnte. Trotz der Einführung von PAM-Lösungen (Privileged Access Management) bleiben die Praktiken nach wie vor fragmentiert. Nur 37 % der Organisationen haben dedizierte Arbeitsplätze für Administratoren eingerichtet.

Ein reifer Markt mit hohem Compliance-Niveau

Die zehn führenden Unternehmen im Benchmark haben einen durchschnittlichen Reifegrad von 71 % erreicht. Diese Organisationen investieren nun in Technologien und Ansätze, die bisher nicht in den internationalen Standards berücksichtigt sind und entsprechend aktualisiert werden müssen. Um mit diesen Innovationen Schritt zu halten, hat Wavestone beschlossen, einen speziellen Reifegrad für Innovatoren zu schaffen.

Dieser 2025 eingeführte neue Indikator wird dabei helfen, die fortschrittlichsten Organisationen zu identifizieren und den Austausch von Erkenntnissen über die Technologien und Ansätze zu erleichtern, die sie derzeit testen.

Dazu gehören primär Herausforderungen im Zusammenhang mit Post-Quanten-Kryptografie, dem Einsatz von KI in der Cybersicherheit, der Plattformisierung und der Rationalisierung von Sicherheitstools, der Schaffung von Security Data Hubs zur Beschleunigung und Vereinfachung von Kontrollprozessen sowie der Einführung von Just-in-Time-Ansätzen für das Zugriffsmanagement.

Methodik der Studie

Die Reifegrade wurden auf der Grundlage internationaler Standards (NIST CSF / ISO 27001/2) im Rahmen von Assessments ermittelt, die von Wavestone-Beraterinnen und Beratern durchgeführt wurden und hauptsächlich in Form von Interviews mit den Sicherheitsverantwortlichen der betreffenden Organisationen stattfanden. Die Stichprobe (Stand: 1. Mai 2025) umfasst mehr als 170 Organisationen (davon über 100 mit einem).

Den vollständigen Benchmark herunterladen

2025 Cyber Benchmark

pdf · 1269KO

Herunterladen

Autoren

Gérôme Billois

Partner – Frankreich, Paris

Wavestone
LinkedIn
Enzo Allain

Senior Consultant

Wavestone
LinkedIn
Théo Serole

Consultant

Wavestone
LinkedIn