Cybersicherheit ist mangelhaft: Warum sich die Ergebnisse nicht verbessern und was sich ändern muss

„Die Cybersicherheit ist grundlegend, fundamental und systembedingt kaputt.“

Das war der Auftakt von Illumio-Gründer und CEO Andrew Rubin bei einer bis auf den letzten Platz gefüllten Podiumsdiskussion auf der RSAC 2026.

Die eigentliche Überraschung? Einige der führenden Cybersicherheitsexperten von heute – ein ehemaliger CIO des Weißen Hauses, der Leiter der Bedrohungsanalyse bei Microsoft, der CISO von SolarWinds und der Chief Security Officer eines der größten Finanzinstitute Großbritanniens – stimmten ihm alle zu.

Im Laufe des letzten Jahrzehnts hat sich die Cybersicherheit zu einer der am stärksten finanzierten Funktionen in Unternehmen entwickelt. Die Teams sind gewachsen, die Werkzeuge sind ausgereifter geworden und neue Kategorien sind entstanden, um immer spezifischere Probleme zu lösen.  

Theoretisch sollte es funktionieren.

Doch die Ergebnisse erzählen eine andere Geschichte. Die Sicherheitslücken nehmen nicht ab. Sie werden immer größer, komplexer und die Wiederherstellung wird immer teurer; oft breiten sie sich schnell in Umgebungen aus, die man für sicher gehalten hatte.

Das Panel mit dem Titel „Harte Wahrheiten in der Cybersicherheit: Angst, Haftung und die größten Lügen der Branche“ füllte einen Ballsaal im Hyatt Regency im SOMA-Viertel von San Francisco. Neben Rubin nahmen David Boda von der Nationwide Building Society, Tim Brown von SolarWinds, Sherrod DeGrippo von Microsoft und Theresa Payton, ehemalige CIO des Weißen Hauses, teil.

Was deutlich wurde, ist, dass die Branche zwar nicht stillgestanden hat, sich die Ergebnisse aber auch nicht verändert haben. Um das zu beheben, müssen wir überdenken, wie wir Erfolg messen, wie wir Risiken einschätzen und wie wir die Auswirkungen unvermeidlicher Verstöße begrenzen.

Die folgenden vier Erkenntnisse aus der Podiumsdiskussion zeigen, warum das aktuelle Modell nicht funktioniert und warum die Eindämmung, nicht nur die Prävention, im Mittelpunkt einer modernen Sicherheitsstrategie stehen muss.

1. Wir messen die falschen Dinge und nennen es Fortschritt.

Die Diskussionsteilnehmer waren sich einig, dass die Cybersicherheit nicht aufgrund mangelnden Einsatzes, sondern deshalb so schlecht abgeschnitten hat, weil die Branche auf die falschen Ergebnisse optimiert hat.

Tim Brown beschrieb, wie Organisationen heutzutage Reife definieren.

„Reife wird oft anhand der Aktivität statt anhand der Verringerung der Bedrohungsfläche gemessen“, sagte er.  

Diese Unterscheidung hat reale Konsequenzen.

Die Sicherheitsteams haben alle Hände voll zu tun. Sie setzen Kontrollmechanismen um und befolgen festgelegte Rahmenbedingungen. Die Dashboards füllen sich mit Warnmeldungen, die zu Untersuchungen führen. Für den Vorstand mag es wie stetiger Fortschritt aussehen.

Sicherheitslücken entstehen jedoch nicht in Dashboards. Sie entstehen in den Lücken zwischen den Kontrollmechanismen und den Annahmen, die die Teams hinsichtlich der Abdeckung treffen. Das ist der Unterschied zwischen dem Abhaken einer Klausel und der tatsächlichen Reduzierung des Risikos.

Brown wies außerdem darauf hin, dass die Einhaltung von Vorschriften dieses Problem unterschwellig verstärken kann. Rahmenwerke schaffen Struktur, können aber auch ein falsches Sicherheitsgefühl erzeugen.

Organisationen erfüllen die Anforderungen, bestehen das Audit und sehen sich dennoch mit Vorfällen konfrontiert, die genau durch diese Kontrollmaßnahmen verhindert werden sollten.

An diesem Punkt verlagert sich der Fokus des Gesprächs auf die Eindämmung von Sicherheitsverletzungen. Wenn Erfolg nur bedeutet, jeden Angriff zu stoppen, dann sieht jeder Sicherheitsvorfall wie ein Misserfolg aus. Wenn es beim Erfolg aber auch darum geht, die Folgen von Sicherheitsverletzungen zu begrenzen, rückt die Einschränkung in den Vordergrund, wie weit ein Angreifer vordringen und welchen Schaden er anrichten kann.

2. In der Cybersicherheit wird Risiko immer noch als binär betrachtet. Die Realität tut es nicht.

Rubin ging auf ein tieferliegendes Problem ein: In der Cybersicherheit werden Ergebnisse immer noch als binär betrachtet. Entweder du bist sicher oder du wirst angegriffen.

In den meisten Disziplinen ist Risiko ein Spektrum. Die Probleme werden bewertet, und die Antwort wird entsprechend dem Schweregrad skaliert.

Rubin nutzte die Analogie, dass man, wenn ein Arzt einem sagt, man habe eine Erkältung, nicht gleich vom Schlimmsten ausgeht. Man erholt sich und macht weiter. Wenn die Diagnose jedoch schwerwiegender ist, wird auch Ihre Reaktion ernster.

Die Cybersicherheit hat diese Denkweise noch nicht vollständig übernommen. Die Strategien drehen sich nach wie vor meist darum, jedes Risiko zu eliminieren, obwohl dies im heutigen Bedrohungsumfeld nicht erreichbar ist.

David Boda näherte sich diesem Thema aus der Perspektive der Cyberresilienz.

„Wir können nicht immer für Sicherheit sorgen“, sagte er. „Wir bauen unsere Fähigkeit aus, den kommenden Bedrohungen widerstandsfähig zu begegnen.“

Eine Hinwendung zu Resilienz verändert die Art und Weise, wie sich Organisationen vorbereiten. Dies führt zur Entwicklung von Systemen, die Störungen absorbieren können, ohne dass diese sich unkontrolliert ausbreiten. Es passt auch gut zu Eindämmungsstrategien, bei denen das Ziel darin besteht, Vorfälle klein und unter Kontrolle zu halten, anstatt sie eskalieren zu lassen.

3. Man kann nicht alles schützen, und das sollte Ihre Cyberstrategie prägen.

Die ehemalige CIO des Weißen Hauses, Theresa Payton, brachte eine Perspektive mit, die durch die Arbeit in Umgebungen geprägt war, in denen die Konsequenzen unmittelbar und unausweichlich sind.

Im Weißen Haus kann der Schutz vor Cyberangriffen nicht gleichmäßig auf alle Ressourcen angewendet werden, weil dies nicht möglich ist.

„Es ist unmöglich, alles zu schützen“, sagte sie.  

Diese Einschränkung erzwingt Klarheit. Die Teams müssen entscheiden, was am wichtigsten ist und ihre Anstrengungen entsprechend ausrichten.

Payton beschrieb, wie Organisationen ihre wichtigsten Vermögenswerte in der Praxis identifizieren und priorisieren müssen. Dies kann regulatorische Risiken, Kundenvertrauen oder firmeneigene Daten umfassen.  

Jede Organisation definiert ihre eigene Version dessen, was am wichtigsten ist, aber die Übung der Priorisierung ist unerlässlich.

Das ist leichter gesagt als getan. Viele Organisationen haben noch immer keinen vollständigen Überblick über ihre IT-Umgebungen. Payton verglich es mit „Monty Pythons Suche nach dem Heiligen Gral“. Das sorgte zwar für Heiterkeit in der Podiumsdiskussion, unterstrich aber auch die eigentliche Herausforderung: Ohne Transparenz wird die Priorisierung zum Ratespiel.

Wenn Teams Klarheit haben, ändert das ihre Herangehensweise an die Sicherheitsarchitektur. Sie können kritische Systeme isolieren, Kommunikationswege einschränken und den Zugriff streng kontrollieren. Sollte etwas schiefgehen, bleiben die Folgen begrenzt.

Das ist ein ganz anderer Ansatz als der Versuch, überall das gleiche Schutzniveau anzuwenden.

4. KI beschleunigt den Vorteil der Angreifer.

Künstliche Intelligenz erwies sich als unmittelbare Kraft, die die Bedrohungslandschaft prägte.

Sherrod DeGrippo beschrieb, wie dieser Wandel aussehen könnte:

„Ich glaube, wir werden sehr bald das Auftreten des Einhorn-Bedrohungsakteurs erleben – eines Bedrohungsakteurs auf höchster Ebene, der über unglaubliche Fähigkeiten im Umgang mit einem einzelnen Menschen verfügt.“

Ihre Idee spiegelt wider, wie schnell sich die Fähigkeiten weiterentwickeln. Aufgaben, die früher koordinierte Teams erforderten, können heute von Einzelpersonen mithilfe von Automatisierung und KI-gestützten Tools erledigt werden. Die Eintrittsbarrieren sinken immer weiter, während die potenziellen Auswirkungen stetig zunehmen.

Tim Brown brachte diesen Wandel mit etwas Fundamentalerem in Verbindung: Anreizen.

„Man kann auch ohne Gefängnisaufenthalt viel Geld verdienen“, sagte er.  

Diese Dynamik hat sich nicht verändert. Angreifer haben nach wie vor ein starkes finanzielles Motiv und begrenzte Konsequenzen. Verändert hat sich die Geschwindigkeit, das Ausmaß und die Ausdauer, mit der sie einen Angriff durchführen können.

Brown beschrieb, wie KI langfristige, geduldige Kampagnen ermöglicht, die nicht auf schnelle Erfolge setzen. Diese Angreifer können Systeme über einen längeren Zeitraum beobachten, ihre Vorgehensweise anpassen und zuschlagen, wenn die Gelegenheit günstig ist.

Das erzeugt eine andere Art von Druck für die Verteidiger. Die Erkennung bleibt wichtig, aber sie allein genügt nicht mehr. Führungskräfte müssen sorgfältig darüber nachdenken, was passiert, nachdem ein Angreifer Zugriff erlangt hat, und wie weit dieser Zugriff reichen kann.

Die Cybersicherheit ist zusammengebrochen – was nun?

Das Panel „Harte Wahrheiten“ bot einen klareren Überblick darüber, wo die Cyberbranche steht und wohin sie sich entwickeln muss.

Das aktuelle Modell ändert nichts an den Ergebnissen. Mehr Tools und mehr Aktivitäten haben die Gesamtauswirkungen von Sicherheitsverletzungen nicht verringert. Künstliche Intelligenz beschleunigt und erweitert den Umfang eines ohnehin schon schwierigen Problems.

Am deutlichsten wurde, dass sich die Cybersicherheit in ihrer Definition von Erfolg weiterentwickeln muss. Zum Erfolg gehört auch die Fähigkeit, Angriffen standzuhalten und den Betrieb fortzusetzen. Es bedeutet auch, die Ausbreitung eines Vorfalls einzudämmen und das zu schützen, was am wichtigsten ist.

Hier spielt die Eindämmung von Sicherheitslücken eine zentrale Rolle. Es arbeitet Hand in Hand mit Prävention und Erkennung und gestaltet, was passiert, nachdem ein Angreifer eingedrungen ist.

Die Cybersicherheit verbessert sich nicht, indem man den gleichen Weg weitergeht. Das ändert sich, wenn Organisationen aufhören, Aktivitäten zu messen und anfangen, deren Auswirkungen zu messen – und wenn Eindämmung genauso wichtig wird wie Prävention.

Erfahren Sie mehr Illumio weist Sicherheitslücken auf um seitliche Bewegungen zu stoppen und Angriffe schnell abzuwehren.