Cybersicherheit gewinnt für alle Branchen weiter an Gewicht. Im Branchenvergleich hat der Energie- und Versorgungssektor Nachholbedarf. (Quelle: Adobe Stock)
Laut aktueller Wavestone Cyber Benchmark 2025 liegt der durchschnittliche Reifegrad der Cybersicherheit der 170 untersuchten Unternehmen bei 54 %. Im Vergleich zum Vorjahr liegt die Verbesserung damit lediglich bei 1 %. Während einige Branchen unter regulatorischem Druck Fortschritte machen, fehlen vielen Organisationen Investitionsspielräume und strategische Impulse. So ist der Anteil der Cybersicherheitsbudgets an den IT-Budgets von 6,6 % auf 6,4 % gesunken. Damit nähern die Budgets sich dem unteren Ende der empfohlenen Spanne von 5 bis 10 %.
Schlusslicht: Energie- und Versorgungssektor
Spitzenreiter bleibt weiter der Finanzsektor. Der durchschnittliche Reifegrad liegt bei 62,5 %. ER steigt damit um +2,5 % im Vergleich zu 2024. Zurückzuführen ist der Anstieg auf regulatorischen Druck (z. B. DORA). Zudem wird in der Branche kontinuierlich investiert. Einzelne Unternehmen erreichen sogar einen Reifegrad von über 80 %.
Der Dienstleistungssektor konnte sich mit einem Reifegrad von 50,4 % auf den vorletzten Platz verbessern. Der Energie- und Versorgungssektor verschlechterte sich um knapp zwei Prozentpunkte auf 49 %. Er bildet nun das Schlusslicht.
Noch wenig beachtet: KI-spezifische Angriffe
In vier Bereichen zeigen sich deutliche Fortschritte: bei der Reaktionsfähigkeit auf Sicherheitsvorfälle (Incident Response), den Erkennungsmechanismen (etwa durch Security Operations Center), der Cloud-Sicherheit sowie beim Datenschutz.
Zunehmende Bedeutung hat der Einsatz Künstlicher Intelligenz: 64 % der Unternehmen haben dazu eine eigene KI-Sicherheitsrichtlinie implementiert. 72 % der Befragten haben ihre Sicherheitsprozesse in Projekten an KI-spezifische Risiken angepasst. Hinter hinken gezielte Schutzmechanismen gegen KI-spezifische Angriffe. Sie sind bei lediglich 7 % der Unternehmen implementiert.
Richtlinienkonformität: Fehlanzeige
Die europäische NIS-2-Richtlinie, die derzeit in mehreren europäischen Ländern umgesetzt wird oder bereits umgesetzt ist, verpflichtet Unternehmen dazu, ihre Cybersicherheit zu verstärken. Obwohl der durchschnittliche Reifegrad bei großen Unternehmen bei 80 % liegt, ist bisher kein Unternehmen vollständig richtlinienkonform. Das Hauptproblem ist die Verpflichtung zu einem einheitlichen Sicherheitsniveau im gesamten Informationssystem. In den bisher genutzten Ansätzen, wird oft auf kritische Bereiche fokussiert.
Das Verhältnis von Cybersicherheitsexperten zu anderen Mitarbeitenden liegt im Schnitt bei 1.016 Mitarbeitenden (Vorjahr: 1.086). Auch hier hat der Finanzsektor die Spitzenposition inne. Das Verhältnis liegt bei 1:80.
Die Reifegrade wurden auf der Grundlage internationaler Standards (NIST CSF / ISO 27001/2) im Rahmen von Assessments ermittelt. Sie basieren hauptsächlich auf Interviews mit Sicherheitsverantwortlichen der betreffenden Organisationen. Die Stichprobe (Stand: 1. Mai 2025) umfasst mehr als 170 Organisationen (davon über 100 mit einem Umsatz von mehr als 1 Mrd. €).
Die Benchmark ist hier abrufbar.