Security-Branche: 200 Milliarden Dollar Umsatz, null Wirkung? Warum trotz steigender Budgets die Angriffe eskalieren

2 Min. Lesezeit

Die globale Cybersicherheits-Branche erwirtschaftet über 200 Milliarden Dollar jährlich. Gleichzeitig steigen Ransomware-Schäden, Datenpannen und erfolgreiche Angriffe Jahr für Jahr auf neue Rekorde. Etwas stimmt fundamental nicht – und die Branche selbst profitiert von dem Problem, das sie lösen soll.

Das Wichtigste in Kürze

Der Cybersecurity-Markt wächst jährlich um 12 Prozent – gleichzeitig steigen die Schäden durch Cyberkriminalität um 15 Prozent
Unternehmen nutzen im Schnitt 76 verschiedene Security-Tools – die Komplexität selbst wird zum Sicherheitsrisiko
Die Branche verkauft Technologie statt Ergebnisse: Kein Vendor garantiert, dass sein Produkt Angriffe tatsächlich verhindert
Der Fachkräftemangel ist teilweise hausgemacht – die Branche setzt auf Nischen-Zertifizierungen statt auf breite Kompetenz

Das Paradoxon der wachsenden Unsicherheit

2015 gab die Welt 75 Milliarden Dollar für Cybersicherheit aus. 2025 sind es über 200 Milliarden. Der Markt hat sich fast verdreifacht. Die logische Erwartung: Die Sicherheitslage müsste sich proportional verbessert haben. Das Gegenteil ist der Fall.

Ransomware-Schäden: vervierfacht. Datenpannen pro Jahr: verdoppelt. Durchschnittliche Verweildauer von Angreifern im Netzwerk: immer noch über 200 Tage. Die Branche wächst nicht trotz, sondern wegen der eskalierenden Bedrohungslage. Das ist kein Verschwörungstheorie – es ist ein Strukturproblem.

Tool-Sprawl: Die Krankheit, die als Heilmittel verkauft wird

Ein durchschnittliches Unternehmen mit 1.000 Mitarbeitern betreibt 76 verschiedene Security-Tools. Firewall, EDR, SIEM, SOAR, XDR, IAM, PAM, DLP, CASB, WAF, NDR, MDR, ASM, CSPM – jedes Akronym ein eigenes Produkt, ein eigenes Dashboard, eine eigene Lizenz.

Die Ironie: Diese Tool-Komplexität erzeugt genau die Lücken, die Angreifer ausnutzen. Fehlkonfigurationen zwischen Systemen. Alert Fatigue durch Tausende täglicher Meldungen. Integrationsprobleme, die blinde Flecken schaffen. Die Lösung der Branche? Noch ein Tool – diesmal eines, das alle anderen orchestriert.

Das FUD-Geschäftsmodell

Fear, Uncertainty, Doubt – Angst, Unsicherheit, Zweifel. Das ist nicht nur eine Marketing-Taktik, sondern das Geschäftsmodell der gesamten Branche. Jeder Vendor-Bericht warnt vor exponentiell steigenden Bedrohungen. Jede Studie zeigt, dass Unternehmen „mehr investieren müssen“. Jede Keynote beginnt mit einem Horrorszenario.

Kein einziger Vendor sagt: „Sie haben genug Tools. Sie müssen die vorhandenen nur richtig konfigurieren und Ihre Mitarbeiter schulen.“ Warum auch? Das lässt sich nicht als Lizenz verkaufen.

Was wirklich wirken würde

Weniger Tools, bessere Basics: Die australische Signals Directorate hat gezeigt: Die konsequente Umsetzung von acht grundlegenden Maßnahmen (Essential Eight) verhindert über 85 Prozent aller Cyberangriffe. Kein einziges dieser acht Elemente erfordert ein Produkt, das mehr als 50.000 Euro kostet.

Ergebnisbasierte Verträge: Warum garantiert kein Security-Vendor Ergebnisse? Managed-Service-Provider für Facility Management garantieren Verfügbarkeit. SaaS-Vendor garantieren Uptime. Security-Vendor verkaufen Lizenzen und überlassen dem Kunden die Wirksamkeit. Die Branche braucht ergebnisbasierte Geschäftsmodelle mit Risk Sharing.

Konsolidierung statt Addition: Statt Tool Nummer 77 zu kaufen, sollten Unternehmen auf 15 bis 20 konsolidieren und diese korrekt konfigurieren. Die Einsparung finanziert die Fachkräfte, die die Tools tatsächlich bedienen können.

Fazit: Die Branche muss sich selbst disruptieren

Die Cybersecurity-Branche hat ein Incentive-Problem: Sie verdient an der Unsicherheit, die sie beheben soll. Das bedeutet nicht, dass alle Produkte nutzlos sind – viele sind exzellent. Aber das System, in dem sie verkauft und eingesetzt werden, ist dysfunktional. Die Lösung kommt nicht von innen, sondern von Kunden, die aufhören, Dashboards zu kaufen und anfangen, Ergebnisse einzufordern.

Key Facts

Tool-Sprawl: Unternehmen mit über 50 Security-Tools haben laut IBM keine bessere Erkennungsrate als solche mit unter 20 – aber 48 Prozent höhere Betriebskosten.

ROI-Problem: Nur 14 Prozent der CISOs können den Return on Security Investment ihrer Gesamtausgaben quantifizieren (Gartner, 2024).

Häufige Fragen

Heißt das, Security-Produkte sind nutzlos?

Nein. Einzelne Produkte – EDR, SIEM, MFA – haben nachweisbare Wirkung. Das Problem ist nicht die Technologie selbst, sondern die Annahme, dass mehr Technologie automatisch mehr Sicherheit bedeutet. Korrekte Konfiguration und kompetentes Personal sind wichtiger als die Anzahl der Tools.

Warum konsolidieren Unternehmen nicht einfach?

Drei Gründe: Lock-in durch langfristige Verträge, Angst vor Lücken bei der Ablösung, und organisatorische Trägheit. Jedes Tool hat einen internen Champion, der es eingeführt hat. Konsolidierung erfordert politischen Willen auf C-Level-Ebene.

Was sollte ein CISO als Erstes tun?

Eine ehrliche Bestandsaufnahme: Welche Tools werden tatsächlich genutzt? Welche laufen unbeaufsichtigt? Dann konsolidieren, die verbleibenden korrekt konfigurieren und die eingesparten Lizenzkosten in Mitarbeiterqualifizierung investieren.