Die Vermessung der Unsicherheit – Der neue Cyber-Risiko-Score - Prof. Dr. Norbert Pohlmann

M. Ayas, F. Kesici, Prof. Norbert Pohlmann (Institut für Internet-Sicherheit), D. Stroz:
„Die Vermessung der Unsicherheit – Der neue Cyber-Risiko-Score“,
IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz,
DATAKONTEXT-Fachverlag, 1/2026

Wissenschaftler der Westfälischen Hochschule Gelsenkirchen entwickeln ein transparentes Bewertungsmodell, das technische Schwachstellen mit dem Geschäftskontext von Unternehmen verknüpft. Der Score soll besonders kleinen und mittleren Unternehmen helfen, ihre Cyberrisiken zu quantifizieren und Investitionen zu priorisieren.

Die Ausgaben in IT-Sicherheit in Deutschland steigen kontinuierlich. Laut Bitkom beliefen sie sich 2024 auf 10,1 Milliarden Euro, für 2025 werden 11,1 Milliarden und für 20026 bereits 12,2 Milliarden Euro prognostiziert.^[1] Doch ob diese Investitionen tatsächlich zu mehr Sicherheit führen, bleibt für viele Unternehmen unklar.

Zwar sind sich viele Firmen ihrer internen Risiken grundsätzlich bewusst, doch mangelt es häufig an einer präzisen Einschätzung und einem daraus resultierenden adäquaten Umgang. Gerade im Zeitalter des Homeoffice ist Konnektivität essenziell, birgt jedoch gleichzeitig neue Gefahrenpotenziale: Von außen erreichbare Dienste bieten Angriffsfläche für Angreifer, und oft haben kleine und mittlere Unternehmen (KMU) die eigenen Assets nicht im Blick.

Automatisierte Pentests und Schwachstellenscanner liefern zwar wertvolle Erkenntnisse über Sicherheitslücken und Fehlkonfigurationen. Doch lassen die Ergebnisse in puncto Vergleichbarkeit und konkreter Handlungsempfehlungen oft zu wünschen übrig. Zudem ist eine Diskrepanz innerhalb der Unternehmen festzustellen: Während das Management Kennzahlen für finanzielle Risikoabschätzungen und Investitionsentscheidungen benötigt, liefert die IT-Abteilung meist rein technische Berichte. Diese unterschiedlichen Perspektiven führen zu erheblichen Kommunikationsproblemen, obwohl beide Seiten dasselbe Ziel verfolgen: die Absicherung des Unternehmens.

Um diese Lücke zu schließen, müssen technische Befunde in quantifizierbare Werte übersetzt werden. Die Bewertung der IT-Sicherheitslage ist kein neues Konzept, doch bestehenden Modellen mangelt es häufig an Transparenz und Verhältnismäßigkeit. Viele Bewertungssysteme agieren als proprietäre „Blackboxen“ oder ignorieren den Geschäftskontext und damit kritische Ankerpunkte des Unternehmens. Aspekte wie ein funktionierendes Notfallmanagement oder klare Hierarchien werden häufig nicht ausreichend berücksichtigt. Zudem wirken langwierige Audits und Zertifizierungen durch ihren hohen Aufwand oft eher abschreckend als motivierend.

An dieser Stelle setzt der Cyber-Risiko-Score (CRS) an. Ziel ist ein kontextsensitiver, objektiver Bewertungsmaßstab, der nicht nur transparent und verständlich ist, sondern auch eine faire Vergleichbarkeit innerhalb von Branchen ermöglicht. Doch warum reichen die bisherigen Ansätze nicht aus?

Schwächen und blinde Flecken
Eine zentrale Schwäche vieler aktueller Risikomanagement-Tools ist ihre Unvollständigkeit. Wesentliche Aspekte einer ganzheitlichen Bewertung bleiben oft außen vor – etwa die wirtschaftliche Bewertung von Assets oder eine systematische Risikoevaluierung. Auch die Konsistenz der Ergebnisse lässt zu wünschen übrig: Zwischen qualitativen und quantitativen Ansätzen klafft eine deutliche Lücke.^[2]

Hinzu kommt: Quantitative Methoden, die das gesamte Ausmaß eines Risikos abbilden könnten, fehlen häufig. Die exakte Verortung von Schwachstellen oder Fehlkonfigurationen ist jedoch entscheidend. Ein weiteres Problemfeld ist die Diskrepanz zwischen den Perspektiven von Softwareentwicklung und Unternehmensmanagement. Die Abhängigkeiten beider Bereiche sind bislang kaum erforscht.(3) IT-Sicherheitsaspekte werden im Managementalltag oft zugunsten anderer Entscheidungen vernachlässigt – ein wiederkehrendes Phänomen, das bereits in früheren Studien diskutiert wurde.^[4]

Kritik gibt es auch an sogenannten Punktlösungen: Isolierte IT-Sicherheitsmaßnahmen ignorieren den Gesamtaufwand und die Anpassungsfähigkeit der Angreifer. Für eine fundierte Bewertung müssen jedoch auch Implementierungskosten und operative Kompromisse einbezogen werden. Unternehmensziele und Umsatz sind die eigentlichen Treiber – ein Risk-Assessment muss diese Faktoren berücksichtigen.^[5]

Ein weiteres Thema ist die Detektion von Angriffen und Schäden, die auf fehlende oder fehlerhafte IT-Sicherheitsmechanismen zurückgehen. Neben technischen Faktoren spielt hier der „Human Factor“ eine zentrale Rolle. Ein Bewertungsmodell sollte daher auch die Art und Weise der Detektion widerspiegeln.^[6]

Die Fachliteratur betont immer wieder: Der menschliche Faktor und die Interaktion der Nutzer mit dem Netzwerk sind entscheidend. Gängige Bewertungsmethoden vernachlässigen diesen Aspekt häufig, obwohl Nutzerverhalten Risiken sowohl verursachen als auch mindern kann.^[7]

Die Quantifizierung von Risiken bleibt eine Herausforderung. Bei der Übertragung qualitativer Aussagen gehen oft wichtige Informationen verloren. Hinzu kommen ökonomische Hürden:
Investitionen in Cybersicherheit bringen selten einen unmittelbaren Return on Investment (ROI). Gerade kleine und mittlere Unternehmen mit begrenztem Budget benötigen daher Scores mit konkreten Handlungsempfehlungen, um fundierte Entscheidungen treffen zu können.^[8]

…

Weitere Informationen zum Thema “Die Vermessung der Unsicherheit – Der neue Cyber-Risiko-Score”

„Security Awareness als institutionelles Anliegen: Voraussetzungen, Herausforderungen und Gestaltungsräume für NRW-Hochschulen”

„Spielend lernen für mehr Resilienz (1) Serious Games als Lernmotorder Informations-Sicherheit – Teil 1: Vom Wissen zum Handeln“

„Privacy from 5 PM to 6 AM: Tracking and Transparency Mechanisms in the HbbTV Ecosystem

„HBBTV und die Datensammelwut – Wie Sender Tracking und Cookies einsetzen“

„Trust Media – ISCC-Zertifikate – Stärkung des Vertrauens in digitale Medien“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Trusted Computing – Ein Weg zu neuen IT-Sicherheitsarchitekturen“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Zugriffsschutz und Identitätsmanagement“

„Wie viel IT-Sicherheit und Vertrauenswürdigkeit brauchen wir für unsere komplexe digitale Zukunft?“

„Cybersecurity can be considered as a strategic pillar for economic stability, national security and public trust“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

„TeleTrusT-Positionspapier Cyber-Nation“

„Investitionen aus Sondervermögen in Cyber-Sicherheit“

„eco-Studie: Security und digitale Identitäten“

„Zero Trust in Federated Cloud-Edge Ecosystems“

„Gaia-X-sichere und vertrauenswürdige Ökosysteme mit souveränen Identitäten“

„Cyber-Sicherheit braucht mehr Fokus“

„IT-Sicherheitsstrategie für Deutschland“

„Human-Centered Systems Security – IT Security by People for People“

„IT-Sicherheit“

„Cyber-Sicherheit“

„Cyber-Sicherheitsarchitekturen“

„Cyber-Sicherheitsanforderung“

„Return on Investment (ROI)“