Insight

Cyber Benchmark 2026: Wachsende Komplexität bremst den Fortschritt

Veröffentlicht am 2. Juni 2026

  • Cyber Security

Angesichts einer rasant wachsenden Bedrohungslage und eines zunehmenden regulatorischen Drucks (DORA, NIS 2, CRA u. a.) müssen Unternehmen weltweit ihre Cybersicherheit konsequent ausbauen. Dabei gibt es zahlreiche Herausforderungen: der rasante Vormarsch künstlicher Intelligenz, vielerorts noch lückenhafte Resilienz, die Abhängigkeit von internationalen Drittanbietern sowie erhebliche Unterschiede zwischen den einzelnen Branchen.

Doch wo stehen große Organisationen in diesem dynamischen Umfeld tatsächlich? Welches Sicherheitsniveau haben sie erreicht? Wo wurden Fortschritte erzielt und wo bestehen weiterhin Schwachstellen? Um diese Fragen zu beantworten, veröffentlicht Wavestone bereits im siebten Jahr in Folge seinen Cyber Benchmark. Dabei handelt es sich um eine Referenzstudie, die auf der Vor-Ort-Analyse von mehr als 200 Organisationen beruht. Diese wurden in persönlichen Interviews anhand internationaler Standards wie dem NIST Cybersecurity Framework v2.0 und der ISO 27001 bewertet.

Der Benchmark liefert einen umfassenden Überblick darüber, wie gut große Organisationen auf Cyberbedrohungen vorbereitet sind.

Kennzahlen

  • Der durchschnittliche Reifegrad großer Organisationen (Umsatz > 1 Mrd. €) ist leicht auf 55,3 % gestiegen – ein Plus von +1,3 Punkten gegenüber 2025.
  • Der Finanzsektor bleibt mit einem Durchschnittswert von 67,6 % (+5,1 Punkte gegenüber 2025) führend. Dies ist auf regulatorischen Druck (DORA) und kontinuierliche Investitionen zurückzuführen. Einzelne Akteure erreichen Reifegrade von über 89 %.
  • Im Durchschnitt machen die Budgets für Cybersicherheit 6,7 % des Gesamtbudgets aus (6,4 % im Jahr 2025) und liegen damit weiterhin am unteren Ende des empfohlenen Bereichs von 5 bis 10 %.
  • Im Durchschnitt kommt eine Cybersicherheitsfachkraft auf 979 Mitarbeitende – im Vorjahr waren es 1 zu 1.016. Die leistungsstärksten Organisationen im Finanzsektor erreichen ein Verhältnis von rund 1 zu 83.
  • Von den 29 Angriffsvektoren, die von den identifizierten Ransomware-Gruppen genutzt werden, beherrschen die meisten großen Organisationen die Grundlagen souverän. Ihr durchschnittliches Schutzniveau liegt bei 58 % (+2 Punkte gegenüber 2025). Dies trägt zu einem Rückgang schwerwiegender Sicherheitsvorfälle bei. Zudem befinden sich 25 % der mittelständischen Unternehmen in einer kritischen Lage – gegenüber 36 % im Jahr 2025.
  • Fünf zentrale Bereiche verzeichnen deutliche Fortschritte: Governance, Risikomanagement, Erkennungsfähigkeiten (SOC – Security Operations Center), Reaktionsfähigkeiten bei Vorfällen sowie Resilienz. All diese Bereiche werden von den Herausforderungen rund um KI getrieben.
  • Künstliche Intelligenz ist für große Organisationen ein zentrales Anliegen, doch erst allmählich beginnen sie, strukturierte Maßnahmen zur Absicherung ihres Einsatzes umzusetzen. Während Sicherheitsregeln in den meisten Fällen definiert sind (76 %), bleibt die Marktreife insgesamt mit 38 % niedrig – mit erheblichen Lücken beim Schutz der Plattformen und bei der Erkennung von Angriffen auf KI-Systeme (10 %).
  • Die NIS-2-Regulierung veranlasst Organisationen zu Investitionen in die Compliance, auch wenn bislang kein Unternehmen sämtliche Anforderungen vollständig und dauerhaft erfüllen kann. Große Organisationen erreichen hinsichtlich NIS 2 einen Reifegrad von rund 60 %. Diese Analyse stützt sich auf eine Stichprobe von mehr als 15 Organisationen aus verschiedenen Branchen, die anhand unterschiedlicher lokaler NIS-2-Rahmenwerke bewertet wurden – entweder auf Ebene der Gesamtorganisation oder für bestimmte Teilbereiche. Weiterer Handlungsbedarf besteht insbesondere beim Management von Drittanbieter-Risiken, der Asset-Erfassung, der Administration und der Resilienz.

Begrenzte Fortschritte bei anhaltenden Branchenunterschieden

Im Jahr 2026 erreicht der durchschnittliche Cybersicherheits-Reifegrad großer Unternehmen 55,3 % – ein leichter Anstieg um +1,3 Punkte gegenüber 2025. Dieser positive Trend verlangsamt sich jedoch Jahr für Jahr, was darauf hindeutet, dass mehrere große Organisationen ein Plateau erreicht haben, das sich ohne tiefgreifende strukturelle Reformen oder eine neue Welle umfangreicher Investitionen kaum überwinden lässt.

Der Finanzsektor bestätigt mit einem Durchschnittswert von 67,6 % seine Führungsrolle und verzeichnet einen Anstieg um +5,1 Punkte. Diese positive Entwicklung ist vor allem auf das Zusammenspiel der Regulierung – insbesondere der europäischen DORA-Verordnung – sowie auf verstärkte personelle und finanzielle Investitionen zurückzuführen. Umgekehrt hinken weniger stark regulierte Branchen mit einem durchschnittlichen Abstand von 8,8 Punkten zwischen regulierten und nicht regulierten Sektoren deutlich hinterher. Dieser Abstand hat sich gegenüber dem Vorjahr weiter vergrößert: Während die Reife in regulierten Branchen um 2,1 Punkte zunahm, verzeichneten nicht regulierte Unternehmen keine nennenswerte Verbesserung.

Wachsende Budgets und Personalstärken

Die befragten Unternehmen wenden im Durchschnitt 6,7 % ihres Budgets für Cybersicherheit auf – gegenüber 6,4 % im Jahr 2025. Gleichzeitig wächst der Personalbestand in der Cybersicherheit weiter: Auf 979 Mitarbeitende kommt inzwischen eine Cybersicherheitsfachkraft. Das Verhältnis im Vorjahr betrug 1 zu 1.016.

Vorreiter im Finanzsektor weisen deutlich höhere Quoten auf und kommen auf rund eine Fachkraft pro 83 Mitarbeitende. Dieser Personalzuwachs verdeutlicht zugleich eine zentrale Herausforderung: den Wettbewerb um Talente. Die Nachfrage nach Cybersicherheitsexpertinnen und -experten bleibt hoch und einzelne Branchen konkurrieren möglicherweise unmittelbar um qualifizierte Profile, was es Organisationen mit begrenzten Ressourcen zusätzlich erschwert. Die reifsten Organisationen setzen außerdem zunehmend auf Nearshoring, insbesondere in Südeuropa, oder auf Offshoring in weiter entfernten Ländern.

Ransomware-Risiko: Große Unternehmen stärken die Grundlagen, kleinere Organisationen hinken hinterher

Über die 29 Angriffsvektoren hinweg, die von den Incident-Response-Teams von Wavestone identifizierten Ransomware-Gruppen genutzt werden, erreichen große Unternehmen einen durchschnittlichen Reifegrad von 58 % (+2 Punkte gegenüber 2025). Dies trägt zu einem Rückgang schwerwiegender Sicherheitsvorfälle bei.

Unter den kleinen und mittelständischen Unternehmen gelten 25 % der Stichprobe als kritisch – eine Verbesserung um 11 Punkte gegenüber 2025. Trotz der erzielten Fortschritte sind weitere Anstrengungen nötig, um die Grundlagen in weiten Teilen des Ökosystems zu festigen. Die Lösungen sind bekannt, doch die Herausforderung besteht nun darin, jene Organisationen zu mobilisieren, die in puncto Cybersicherheit weniger sensibilisiert oder reif sind. Dennoch sind diese Zahlen ermutigend, nachdem bereits im Vorjahr ein deutlicher Anstieg um 18 Punkte zu verzeichnen war. Die Umsetzung der NIS-2-Richtlinie scheint neuen Schwung auszulösen, dessen Nachhaltigkeit in den kommenden Jahren zu beobachten sein wird.

Fortschritte über alle Sicherheitssäulen hinweg – doch anhaltende Lücken bei der Resilienz

Die meisten Säulen des NIST CSF 2.0 weisen einen einheitlichen Reifegrad von 56–57 % über „Govern“, „Protect“, „Detect“ und „Respond“ hinweg auf. Damit spiegelt sich eine gleichmäßige Entwicklung der Cybersicherheitspraktiken wider. Die Säule „Identify“ liegt mit 54 % leicht zurück, entwickelt sich jedoch ähnlich stetig. Mit lediglich 44 % offenbart die Säule „Recover“ eine deutliche Lücke und zeigt, dass die Krisenresilienz für viele Organisationen ein zentrales Verbesserungsfeld bleibt. Allein der Finanzsektor hebt sich mit einem Reifegrad von 58 % ab.

Deutliche Fortschritte bei Governance, Risikomanagement, Detektion, Reaktion und Cyber-Resilienz

Unter den 17 von Wavestone erfassten Cybersicherheitsbereichen zeigen fünf bemerkenswerte Fortschritte:

  • Governance (+2 %) wurde unter regulatorischem Druck und durch das stärkere Engagement der Unternehmensführung gestärkt. Organisationen haben ihre Strukturen mit klareren Rollen formalisiert (CISO-Funktionen und ihre erweiterten Teams, einschließlich industrieller Systeme und digitaler Produkte). Dadurch wurde die Cybersicherheit besser in die Gesamtstrategie integriert. Zudem hat sich auf Vorstandsebene ein wachsendes Bewusstsein entwickelt, das durch die starke mediale Präsenz befeuert wurde. Dies trägt zu schnelleren und strukturierteren Entscheidungen bei.
  • Das Risikomanagement (+2 %) verbessert sich dank der breiteren Einführung formalisierter Ansätze und verfeinerter Risikoanalysen, die eine bessere Priorisierung von Maßnahmen ermöglichen. Die Risikobehandlung wird durch strukturierte und überwachte Aktionspläne, durch die stärkere Verbreitung proaktiver Ansätze wie Bug-Bounty-Programmen sowie durch die bessere Einbindung von Cyber-Risiken in agile Entwicklungszyklen konkreter.
  • Die Erkennung (+5 %) wird durch leistungsfähigere SOC-Kapazitäten und fortschrittliche Technologien vorangetrieben. Die Überwachung verbessert sich durch SIEM, EDR/XDR und KI und ermöglicht eine bessere Identifizierung schwacher Signale. Diese Entwicklung wird durch angereicherte Erkennungsszenarien verstärkt, die interne Logdaten (z. B. CMDB) und externe Threat Intelligence , um die Kontextualisierung von Warnmeldungen zu verbessern. Organisationen strukturieren zudem risikobasierte Use Cases und vertiefen die Analyse von Anwendungslogs im Zusammenhang mit sicherheitsrelevanten Ereignissen.
  • Die Reaktion auf Vorfälle (+2 %) macht deutliche Fortschritte. Dies ist auf die verbesserter 24/7-Verfügbarkeit interner Teams, den Einsatz spezialisierter Drittanbieter sowie die Definition, Kommunikation und Umsetzung strukturierter Prozesse für das Vorfallsmanagement zurückzuführen. Diese ermöglichen schnellere, besser koordinierte und wirksamere Reaktionen auf schwerwiegende Vorfälle.
  • Die Cyber-Resilienz (+3 %) hat sich in den letzten Jahren durch stärkere Vorsorgemaßnahmen erheblich verbessert. Organisationen bauen ihre Cyber-Versicherungspolicen aus, intensivieren Krisenmanagement-Übungen und verstärken Wiederherstellungstests und verbessern damit ihre Fähigkeit, die Geschäftskontinuität bei schwerwiegenden Vorfällen sicherzustellen. Dennoch bleibt dies ein zentrales Risikofeld innerhalb der gesamten Cybersicherheitslandschaft.

Cybersicherheit im Wandel: KI hält zunehmend Einzug in Governance, Risikomanagement und Cyber-Operationen

Parallel zu diesen Entwicklungen etabliert sich künstliche Intelligenz als strukturierender Treiber, der die Cybersicherheitspraktiken und die damit verbundenen Organisationsmodelle tiefgreifend verändert. Dieser Wandel zeigt sich zunächst im Entstehen neuer spezialisierter Rollen, etwa des AI Risk Management, das KI-spezifische Risikorahmen konzipiert und pflegt und die zugehörigen Bewertungen verantwortet, sowie des AI Compliance Officer, der die Übereinstimmung mit Vorschriften und Rahmenwerken (AI Act, NIST AI RMF) sicherstellt und Systeme nach ihrer Kritikalität klassifiziert. Ergänzt werden diese Rollen durch die AI Governance, die Richtlinien, Standards und Entscheidungsprozesse rund um den KI-Einsatz strukturiert, sowie durch den AI Third-Party Risk Manager, der Anbieter bewertet und Risiken im Zusammenhang mit SaaS-Lösungen, APIs und großen Sprachmodellen (LLMs) steuert.

Zugleich verändert der Vormarsch der KI die Bedrohungslandschaft. Angriffe werden raffinierter, mit zunehmendem Einsatz von automatisiertem Phishing, äußerst glaubwürdigen Deepfakes und dem Aufkommen erster KI-gestützter Schadsoftware (z. B. PromptFlux, PromptLeak) in Verbreitungs- oder Umgehungsmechanismen. Als Reaktion auf diese erhöhten Risiken beginnen Organisationen, ihre Abwehrfähigkeiten zu transformieren. Erste erfolgreiche Einsätze von KI innerhalb von SOCs ermöglichen bereits die Automatisierung der Spam- und Phishing-Bearbeitung, eine verbesserte Triage von Warnmeldungen und eine höhere operative Effizienz.

Die schrittweise Integration von KI in Erkennungswerkzeuge ermöglicht zudem eine fortgeschrittenere Verhaltensanalyse und eine bessere Modellierung komplexer, maßgeschneiderter Angriffsszenarien.

Zwar sind dedizierte KI-Reaktionsteams derzeit noch begrenzt, doch ihr Ausbau zeichnet sich als aufkommender Trend ab, der sich voraussichtlich verstärken wird. Dies ist Ausdruck der Notwendigkeit, spezifische Fähigkeiten zur Bewältigung dieser neuen Risiken aufzubauen. Insgesamt wirkt KI sowohl als Beschleuniger der Abwehrfähigkeiten als auch als Treiber zunehmender Bedrohungskomplexität und erfordert eine kontinuierliche Anpassung von Governance, Risikomanagement und Cybersicherheits-Operations.

Künstliche Intelligenz: Grundlagen geschaffen, doch noch begrenzte Reife

Künstliche Intelligenz steht inzwischen im Zentrum der Investitionen großer Organisationen. Häufig mussten Sicherheitsteams kurzfristig mobilisiert werden, um die Absicherung dieser neuen Systeme zu unterstützen.

In historisch reiferen Bereichen wie Governance oder der sicherheitsbezogenen Validierung von Projekten sind Unternehmen in der Regel in der Lage, sich anzupassen und Schritt zu halten. Bereiche, die bereits zuvor hinterherhinkten, etwa das Management von Drittanbieter-Risiken, sowie jüngere und komplexere Themen wie das Sicherheitstesten von KI-Systemen oder das Antizipieren neuer KI-bezogener Bedrohungen weisen jedoch nach wie vor eine sehr geringe Reife auf.

Unsere Teams sind in diese Themen stark eingebunden. Dadurch sind wir in der Lage, den aktuellen Reifegrad des Marktes über mehr als 20 große Organisationen hinweg zu bewerten.

  • 76 % verfügen inzwischen über eine eigene KI-Sicherheitsrichtlinie.
  • 62 % wenden einen Validierungsprozess für die Cybersicherheit (Go/No-go) für KI-Anwendungsfälle
  • 57 % haben ein Team eingerichtet, das die Konformität von KI-Projekten
  • 48 % haben ihre Methodik zur Bewertung von Drittanbieter-Risiken aktualisiert, um KI-Anbieter einzubeziehen.

Bei den konkreten Schutzmaßnahmen fallen die Ergebnisse jedoch deutlich niedriger aus:

  • Nur 10 % der Unternehmen haben Abwehrmechanismen gegen Prompt-Injection-Angriffe oder andere KI-spezifische Bedrohungen implementiert.

NIS2-Richtlinie: zentrale Priorität bei noch unvollständiger Umsetzung

Die derzeit in mehreren europäischen Ländern umgesetzte oder bereits in Kraft getretene europäische NIS-2-Richtlinie veranlasst Organisationen dazu, ihre Cybersicherheit zu stärken. Große Organisationen erreichen hinsichtlich der NIS-2-Anforderungen derzeit einen Reifegrad von rund 60 %, obwohl die Richtlinie letztlich vollständige Compliance verlangt. Dieses vergleichsweise niedrige Niveau verdeutlicht den Umfang der noch erforderlichen Anstrengungen, um vollständige Compliance und Resilienz zu erreichen. Diese Analyse stützt sich auf eine Stichprobe von mehr als 15 Organisationen aus verschiedenen Branchen. Sie wurden anhand unterschiedlicher lokaler NIS-2-Rahmenwerke bewertet – entweder auf Ebene der Gesamtorganisation oder für bestimmte Teilbereiche. Die wesentliche Herausforderung liegt in der Anforderung eines durchgängig einheitlichen Sicherheitsniveaus über das gesamte Informationssystem hinweg. Dies weicht von den bisherigen, häufig auf kritische Bereiche fokussierten Ansätzen ab.

Anders als in einigen anderen Ländern, in denen regulatorische Kontrollen bereits begonnen haben und große internationale Konzerne auf ihrem Compliance-Weg weiter fortgeschritten sind, hat der französische Markt noch keine nennenswerte Beschleunigung erlebt. Durch ihre Präsenz in Ländern, in denen NIS 2 bereits umgesetzt wurde, haben sich diese Organisationen einen Vorsprung verschafft.

Der Detaillierungsgrad der Anforderungen variiert von Land zu Land , was die Umsetzung auf europäischer Ebene zusätzlich erschwert. Angesichts dieser Heterogenität müssen große Organisationen die Balance zwischen lokalen Erwartungen und übergreifender Konsistenz finden. Sie streben daher danach, ihre Cybersicherheits-Rahmenwerke und Informationssysteme zu harmonisieren, indem sie gemeinsame Standards definieren. Diese müssen robust genug sein, um alle Tochtergesellschaften abzudecken, und zugleich an nationale Besonderheiten anpassbar bleiben.

Eine detaillierte Analyse der nationalen Umsetzungen der NIS-2-Richtlinie macht diese Heterogenität deutlich. Einige Länder führen sehr spezifische Anforderungen ein: Frankreich legt den Schwerpunkt auf die Sicherheit administrativer Systeme und die Nachvollziehbarkeit von Untersuchungen, Belgien verlangt detaillierte Verzeichnisse kritischer Lieferanten und Assets, Ungarn stellt weitreichende Anforderungen an Kontinuität, Überwachung und die Automatisierung des Vorfallsmanagements und Italien verschärft die Erwartungen an die Sichtbarkeit von OT-, IoT- und Cloud-Umgebungen, häufig mit knappen Compliance-Fristen. Andere Länder verfolgen gegensätzliche Ansätze, die von hochdetaillierten und technischen Rahmenwerken (Estland, Kroatien) bis zu eher knappen und empfehlungsbasierten Ansätzen (Niederlande, Finnland) reichen. Hinzu kommen weitere nationale Anforderungen, etwa die verpflichtende Weitergabe von Zero-Day-Schwachstellen an CSIRTs (Griechenland, Dänemark), strenge Backup-Vorgaben (Slowakei) oder hohe Verfügbarkeitsschwellen für kritische Systeme (Litauen). Diese Vielfalt verstärkt – zusammen mit unterschiedlichen Vorgaben hinsichtlich Fristen, Dokumentation und Interaktion mit den Regulierungsbehörden – die Komplexität der Compliance zusätzlich und unterstreicht die Notwendigkeit europaweit zugleich harmonisierter und anpassungsfähiger Ansätze.

Zu den zentralen Herausforderungen auf dem Weg zur Compliance zählen:

Die Richtlinie verlangt einen klaren, aktuellen Überblick über digitale Assets (Infrastruktur, Anwendungen, Arbeitsplätze), um deren fortlaufende Sicherheit zu gewährleisten. Diese Erfassung bleibt jedoch lückenhaft, insbesondere in hybriden und Cloud-Umgebungen.

Ein sich wandelnder Markt auf dem Weg zu einem fortgeschrittenen Compliance-Niveau

Die zehn führenden Organisationen im Benchmark haben einen durchschnittlichen Reifegrad von 78 % erreicht. Diese Vorreiter investieren mittlerweile in Technologien und Ansätze, die in internationalen Standards noch nicht ausdrücklich berücksichtigt sind und daher entsprechend aktualisiert werden müssen. Um mit diesen Innovationen Schritt zu halten, hat Wavestone eine eigene Reifegradstufe für Pioniere eingeführt. Damit soll die Entwicklung der Cybersicherheitspraktiken nachverfolgt werden. Dieser im Jahr 2025 eingeführte neue Indikator dient dazu, die fortschrittlichsten Organisationen zu identifizieren und Erkenntnisse zu den Technologien und Ansätzen zu teilen, die sie derzeit erproben.

Dazu zählen insbesondere Herausforderungen rund um die Post-Quanten-Kryptografie, den Einsatz von KI in der Cybersicherheit, plattformbasierte Ansätze und die Rationalisierung von Sicherheitswerkzeugen, den Aufbau von Security-Data-Hubs zur Beschleunigung und Vereinfachung von Kontrollprozessen sowie die Einführung von Just-in-Time-Ansätzen für das Zugriffsmanagement.

Dieser aktualisierte Reifegradrahmen wird darüber hinaus durch zwei neue Indizes ergänzt: den Kulturwandel-Index, der die Reife der in der Unternehmenskultur verankerten und verbreiteten Prozesse bewertet, sowie den Innovations-Index, der die Reife der umgesetzten neuen Lösungen und innovativen Ansätze misst.

Methodik der Studie

Die Reifegrade wurden anhand internationaler Standards (NIST CSF v2.0 und ISO 27001/2) im Rahmen von Bewertungsprojekten ermittelt, die von Beraterinnen und Beratern des Unternehmens Wavestone durchgeführt wurden – überwiegend in Interviews mit den Sicherheitsverantwortlichen der beteiligten Organisationen.

Die Stichprobe umfasst mehr als 200 Organisationen (darunter 100 mit einem Umsatz von über einer Milliarde Euro), die zusammen nahezu sieben Millionen Mitarbeitende repräsentieren. Die Daten aus diesen Einzelbewertungen wurden anschließend vom Spezialistenteam von Wavestone konsolidiert und ausgewertet.

Den vollständigen Benchmark herunterladen

Cyber Benchmark 2026

pdf · 1136KO

Herunterladen

Autoren

Diesen Inhalt teilen