Nur fünf Prozent der befragten Organisationen vertrauen ihren Anbietern für Cybersicherheit vollständig. Eine von Sophos unterstützte Studie sieht fehlende Transparenz, schwer überprüfbare Sicherheitsnachweise und den wachsenden KI-Einsatz als zentrale Faktoren für Unsicherheit bei CISO-, Risiko- und Vorstandsentscheidungen.

Fehlendes Vertrauen in Anbieter für Cybersicherheit entwickelt sich für viele Organisationen zu einem praktischen Risikofaktor. Nach einer von Sophos unterstützten unabhängigen Studie geben 95 Prozent der Befragten an, ihren Security-Anbietern nicht vollständig zu vertrauen. Gleichzeitig berichten 79 Prozent von Schwierigkeiten, die Vertrauenswürdigkeit neuer Partner zu bewerten. Bei bestehenden Anbietern sehen 62 Prozent diese Bewertung ebenfalls als Herausforderung.

Die Ergebnisse stammen aus dem Bericht »Cybersecurity Trust Reality 2026«. Er untersucht, welche Rolle Vertrauen bei Entscheidungen über Sicherheitslösungen, Managed-Services und strategische Cybersecurity-Partnerschaften spielt. Im Mittelpunkt steht dabei nicht nur die technische Leistungsfähigkeit eines Anbieters, sondern auch die Frage, wie nachvollziehbar Sicherheitsreife, Vorfallmanagement und Governance nachgewiesen werden können.

Anzeige

Fehlende Nachweise bremsen Sicherheitsentscheidungen

Für CISOs bedeutet mangelndes Vertrauen laut Studie mehr Aufwand in der Auswahl, Bewertung und laufenden Kontrolle von Anbietern. Wenn Informationen zur Sicherheitsarchitektur, zu Zertifizierungen, zu Vorfällen oder zu operativen Prozessen fehlen, lassen sich Risiken nur eingeschränkt einschätzen. Das kann Entscheidungen verzögern, Abstimmungsbedarf erhöhen und Anbieterwechsel wahrscheinlicher machen.

Mehr als die Hälfte der Befragten, 51 Prozent, verbindet fehlendes Vertrauen direkt mit einer höheren Sorge vor schweren Cybervorfällen. Damit wird Vertrauen nicht nur als weicher Faktor beschrieben, sondern als Bestandteil der Risikobewertung. Die Studie sieht hier eine Lücke zwischen dem, was Anbieter zusichern, und dem, was Kunden unabhängig prüfen können.

»Vertrauen ist in der Cybersicherheit kein abstraktes Konzept, sondern ein messbarer Risikofaktor«, sagt Ross McKerchar, CISO bei Sophos. »Wenn Organisationen die Sicherheitsreife, Transparenz und die Praktiken zur Vorfallsbehandlung eines Anbieters nicht unabhängig überprüfen können, fließt diese Unsicherheit direkt zu den Vorständen und in die Sicherheitsstrategien ein.«

Vorstände und CISOs gewichten Vertrauen unterschiedlich

Die Studie zeigt unterschiedliche Schwerpunkte bei der Vertrauensbewertung. CISOs achten vor allem auf Transparenz bei Sicherheitsvorfällen und eine konsistente technische Leistung. Vorstände und Führungskräfte legen dagegen stärkeres Gewicht auf unabhängige Validierungen, Zertifizierungen und Analystenbewertungen.

Der gemeinsame Nenner bleibt überprüfbare Transparenz. Unabhängige Bewertungen, Zertifizierungen und nachgewiesene operationelle Reife werden als wichtige Faktoren genannt, um Vertrauen in Anbieter aufzubauen. Pauschale Zusicherungen reichen demnach immer weniger aus, wenn Sicherheitsentscheidungen gegenüber Management, Aufsichtsgremien oder Regulatoren begründet werden müssen.

KI erhöht den Druck auf Anbietertransparenz

Mit dem stärkeren Einsatz künstlicher Intelligenz in Sicherheitslösungen, Services und Workflows rückt eine weitere Ebene in den Vordergrund. Organisationen bewerten nicht mehr nur, ob eine Lösung technisch funktioniert. Sie müssen auch einschätzen, ob KI nachvollziehbar, verantwortungsvoll und mit angemessener Governance eingesetzt wird.

Das betrifft etwa die Frage, welche Daten verarbeitet werden, wie Modelle trainiert oder eingebunden sind, welche Kontrollmechanismen bestehen und wie Fehler oder Fehlalarme behandelt werden. Gerade im regulierten Umfeld kann daraus eine zusätzliche Nachweispflicht entstehen.

»Da der regulatorische Druck weltweit steigt, müssen Organisationen Sorgfaltspflicht bei der Auswahl von Anbietern nachweisen können – insbesondere dort, wo KI im Spiel ist«, meint Phil Harris, Research Director, Governance, Risk and Compliance Solutions bei IDC. »Vertrauen entwickelt sich von einer Marketingbotschaft zu einer nachweisbaren Compliance-Anforderung.«

Vertrauen muss kontinuierlich belegt werden

Für Sicherheitsverantwortliche verschiebt sich damit die Anbieterbewertung von einer klassischen Funktions- und Kostenbetrachtung zu einer stärker nachweisorientierten Prüfung. Neben Schutzwirkung, Integration und Betriebskosten zählen nachvollziehbare Prozesse, unabhängige Prüfungen, dokumentierte Reaktionsfähigkeit und transparente Kommunikation bei Vorfällen.

Sophos verweist in diesem Zusammenhang auf sein Trust-Center, über das Sicherheitsverantwortliche Informationen zur Vertrauensbewertung abrufen können. Für Anbieter insgesamt zeigt die Studie jedoch einen breiteren Trend: Vertrauen entsteht weniger durch Markenwahrnehmung, sondern durch überprüfbare Belege, kontinuierliche Transparenz und belastbare Governance.

»Von CISOs wird verlangt, Vertrauen zu beweisen und nicht einfach vorauszusetzen«, ergänzt McKerchar. »Anbieter für Cybersicherheit müssen dasselbe tun. Die Befragten nannten den Mangel an zugänglichen, ausreichend detaillierten Informationen als Haupthindernis für eine selbstbewusste Vertrauensbewertung. Vertrauen muss durch Transparenz, Rechenschaftspflicht und unabhängige Validierung kontinuierlich erworben werden.«