Cybersecurity-Vertrauen in der Krise: Was der Sophos-Report über Anbieter enthüllt

Nur 5 Prozent der IT-Verantwortlichen sagen, dass sie und ihre Organisation ihren Cybersecurity-Anbietern vollständig vertrauen. Ein neuer Sophos-Report legt offen, warum dieses Vertrauen in Security-Dienstleister so dramatisch fehlt – und welche Konsequenzen das für Unternehmen hat.

Cybersecurity-Vertrauen: Ein Problem, das die ganze Branche betrifft

Wer einen Cybersecurity-Anbieter beauftragt, übergibt ihm im Grunde die Schlüssel zum Unternehmen. Netzwerke, Daten, Betriebsabläufe – alles liegt in den Händen eines externen Dienstleisters, der rund um die Uhr schützen soll, auch nachts, am Wochenende und während der Urlaubszeit. Das klingt nach einer Vertrauensbeziehung, die auf einem soliden Fundament stehen müsste. Die Realität sieht anders aus.

Sophos hat gemeinsam mit dem unabhängigen Marktforschungsinstitut Vanson Bourne eine vendor-agnostische Umfrage unter 5.000 IT- und Security-Entscheidern in 17 Ländern durchgeführt. Das Ergebnis ist ernüchternd: Gerade einmal 5 Prozent der Befragten geben an, dass sowohl sie persönlich als auch ihre Organisation volles Vertrauen in ihre Cybersecurity-Anbieter haben. Der Sophos-Report als PDF „The Cybersecurity Trust Reality in 2026″ liefert dazu eine der bisher umfassendsten Bestandsaufnahmen zur Vertrauenskrise in der Security-Branche.

Für CISOs, IT-Leitungen und Geschäftsführungen ist das mehr als ein akademisches Problem. Es geht um operative Resilienz, um Haftungsfragen und letztlich um die Frage, ob das eigene Unternehmen im Ernstfall wirklich geschützt ist.

Warum die Bewertung von Cybersecurity-Anbietern so schwierig ist

Bevor Unternehmen überhaupt entscheiden können, wem sie vertrauen, stehen sie vor einem fundamentalen Problem: der Bewertung selbst. 79 Prozent der Befragten sagen, es sei schwierig, die Vertrauenswürdigkeit neuer Cybersecurity-Anbieter oder Partner einzuschätzen. Noch überraschender: 62 Prozent kämpfen mit derselben Herausforderung bei Anbietern, mit denen sie bereits zusammenarbeiten. Ein unterschriebener Vertrag löst das Vertrauensproblem also nicht – er verschiebt es nur.

Die Ursachen für diese Bewertungsschwierigkeiten sind vielfältig und wurzeln fast alle in mangelnder Transparenz. Die Befragten nennen konkret:

• 47 Prozent bemängeln, dass die Informationen der Anbieter nicht faktisch genug oder zu wenig detailliert sind.
• 45 Prozent finden die bereitgestellten Informationen schwer verständlich oder schwer interpretierbar.
• 43 Prozent geben an, ihnen fehle das Know-how oder die Fachkenntnisse, um Anbieter effektiv einzuschätzen.
• 41 Prozent stoßen auf widersprüchliche Informationen.
• 38 Prozent haben schlicht Schwierigkeiten, die relevanten Informationen überhaupt zu finden.

Besonders auffällig ist der Unterschied zwischen kleinen Unternehmen und Großkonzernen: KMU mit weniger als 250 Mitarbeitenden geben 8 Prozentpunkte häufiger an, dass ihnen das nötige Fachwissen fehlt, als Befragte aus Unternehmen mit über 1.000 Mitarbeitenden. Für den Mittelstand, der ohnehin oft keine dedizierte IT-Security-Abteilung hat, ist das eine besonders kritische Lücke – ähnlich wie beim BSI, das regelmäßig vor gezielten Angriffen auf Mittelständler warnt und konkrete Sofortmaßnahmen empfiehlt.

Hinzu kommt ein strukturelles Problem, das über den Einzelfall hinausgeht: Der Markt für Cybersecurity-Lösungen ist in den vergangenen Jahren massiv gewachsen und gleichzeitig unübersichtlicher geworden. Hunderte von Anbietern konkurrieren mit ähnlich klingenden Produktversprechen, ähnlichen Zertifizierungslogos und ähnlichen Fallstudien. Für IT-Verantwortliche ohne spezialisiertes Analystenteam im Rücken ist es schlicht kaum möglich, diese Angebote systematisch zu differenzieren. Das Ergebnis ist oft eine Entscheidung, die mehr auf Markenbekanntheit oder dem Rat eines Resellers basiert als auf belastbaren Fakten – ein Muster, das der Report indirekt bestätigt.

Vertrauen fehlt – und das hat handfeste Konsequenzen

Mangelndes Vertrauen ist kein abstraktes Unbehagen. Der Report quantifiziert die Folgen klar und deutlich. Wenn Unternehmen ihren Cybersecurity-Anbietern nicht vollständig vertrauen, entstehen sowohl emotionale als auch operative Belastungen:

• 51 Prozent berichten von gesteigerter Sorge, dass das Unternehmen einen schwerwiegenden Cybervorfall erleiden könnte.
• 45 Prozent sind dadurch eher bereit, den Anbieter zu wechseln – ein teurer und aufwändiger Prozess.
• 42 Prozent verzeichnen einen erhöhten internen Kontrollaufwand.
• 41 Prozent berichten von weniger Ruhe und Sicherheitsgefühl bezüglich der eigenen Cybersecurity-Aufstellung.
• 38 Prozent befürchten, eine falsche Anbieterwahl getroffen zu haben.

Diese Zahlen zeigen: Vertrauenslücken kosten Unternehmen nicht nur Nerven, sondern auch Zeit, Geld und Ressourcen. IT-Teams, die bereits unter Druck stehen, müssen zusätzliche Kontrollmechanismen aufbauen, weil sie dem Anbieter nicht blind vertrauen können. Das bindet Kapazitäten, die anderswo dringend gebraucht werden – etwa beim Schutz vor KI-gestütztem Phishing und Deepfake-basierten CEO-Fraud-Angriffen, die gerade eine neue Eskalationsstufe erreichen.

IT-Team und Führungsebene sehen Anbieter grundverschieden

Neben der externen Vertrauenskrise gibt es ein internes Spannungsfeld, das der Report ebenfalls klar benennt: 78 Prozent der Befragten sagen, dass IT-Team und Geschäftsführung beziehungsweise Board unterschiedliche Einschätzungen zur Vertrauenswürdigkeit der eigenen Cybersecurity-Anbieter haben. Fast ein Drittel der Unternehmen erlebt diese Meinungsverschiedenheiten sogar „häufig“.

Das ist kein Randproblem. Denn gleichzeitig zeigt die Umfrage: Nur 1 Prozent der Unternehmen gibt an, dass die Führungsebene oder das Board keinerlei Rolle bei Cybersecurity-Einkaufsentscheidungen spielt. Das bedeutet: In fast allen Unternehmen treffen Menschen Entscheidungen über Security-Anbieter, die unterschiedliche Informationsstände, unterschiedliche Risikoperzeptionen und unterschiedliche Erwartungen mitbringen.

Für CISOs und IT-Leitungen ist das eine strukturelle Herausforderung. Sie müssen nicht nur die richtigen Anbieter auswählen, sondern diese Entscheidung auch gegenüber einer Führungsebene vertreten, die das Thema oft aus einer anderen Perspektive bewertet – häufig stärker von Compliance- und Reputationsrisiken getrieben als von technischen Details. Wer hier keine gemeinsame Sprache findet, riskiert Fehlentscheidungen beim Vendor-Management – ein Risiko, das im Kontext der NIS2-Transponierung für KMU im Gesundheits- und Energiesektor besonders brisant ist.

Die Konsequenz dieser Wahrnehmungslücke zwischen IT und Führung ist in der Praxis oft eine Art stilles Misstrauen in beide Richtungen: Das IT-Team zweifelt daran, ob die Führungsebene die Tragweite von Security-Entscheidungen wirklich versteht. Die Führungsebene wiederum fragt sich, ob die IT-Abteilung Anbieter nach nachvollziehbaren Kriterien bewertet oder primär nach technischer Präferenz. Dieser Graben lässt sich nicht durch bessere Präsentationsfolien schließen, sondern nur durch gemeinsam definierte Bewertungsrahmen, die beide Perspektiven abbilden. CISOs, die diesen Prozess moderieren können, sind für ihre Organisationen ein strategischer Vorteil – nicht nur ein technischer.

So entsteht echtes Vertrauen in Cybersecurity-Anbieter

Der Report liefert nicht nur eine Diagnose, sondern auch klare Hinweise darauf, was Vertrauen tatsächlich aufbaut. Sowohl IT-Teams als auch Führungsebenen sind sich dabei überraschend einig: Vertrauenswürdigkeit entsteht nicht durch Marketingversprechen, sondern durch prüfbare Belege.

Auf Platz eins bei beiden Gruppen stehen verifizierbare Artefakte der Cybersecurity-Reife: Bug-Bounty-Programme, ein öffentlich zugängliches Trust Center, Advisories zu Schwachstellen inklusive Remediation-Dokumentation, Third-Party-Assessments und Zertifizierungen. Dahinter folgen:

• Transparente und zeitnahe Kommunikation bei Incidents und Schwachstellen-Disclosures (Platz 2 beim Board, Platz 3 beim IT-Team)
• Konsistente Qualität bei Security-Services und Produkten (Platz 4 beim Board, Platz 2 beim IT-Team)
• Expertenstimmen nach großen Cybervorfällen, etwa Zitate in der Fachpresse oder in TV-Beiträgen (Platz 3 beim Board, Platz 4 beim IT-Team)
• Performance in Analystenreports wie dem Gartner Magic Quadrant (Platz 5 bei beiden)
• Ergebnisse in unabhängigen Tests wie MITRE oder SE Labs (Platz 7 beim Board, Platz 6 beim IT-Team)

Interessant: Persönliche Erfahrung und Empfehlungen von Resellern landen eher im Mittelfeld. Was zählt, ist Nachweisbarkeit – nicht Sympathie oder Beziehungspflege.

Dieser Befund hat weitreichende Implikationen für die Art und Weise, wie Cybersecurity-Anbieter ihre Kommunikation gestalten – und wie Einkaufsteams auf diese Kommunikation reagieren sollten. Hochglanz-Whitepapers, die ausschließlich Erfolgsgeschichten präsentieren, und Produktdemos, die unter Idealbedingungen ablaufen, sind kein Ersatz für belastbare externe Validierung. Wer als Anbieter kein öffentliches Trust Center betreibt, keine Schwachstellen-Advisories veröffentlicht und keine unabhängigen Testergebnisse vorweisen kann, sendet ein klares Signal – auch wenn das in Verkaufsgesprächen selten so direkt thematisiert wird. Auf der Einkäuferseite bedeutet das: Wer ausschließlich auf die Materialien vertraut, die ein Anbieter selbst bereitstellt, bewertet im Grunde Marketing, nicht Sicherheit.

Praktische Checkliste: Diese Fragen sollten Unternehmen ihren Cybersecurity-Anbietern stellen

Aus den Erkenntnissen des Reports lässt sich eine direkt anwendbare Checkliste für IT-Verantwortliche, CISOs und Einkaufsteams ableiten. Wer einen neuen Anbieter evaluiert oder einen bestehenden Vertrag verlängern will, sollte folgende Fragen konkret stellen:

Transparenz und Nachweisbarkeit

• Betreibt der Anbieter ein öffentliches Trust Center mit aktuellen Security Advisories?
• Gibt es ein Bug-Bounty-Programm, und wie werden gefundene Schwachstellen dokumentiert und behoben?
• Welche Third-Party-Assessments und Zertifizierungen liegen vor – und sind diese aktuell?
• Wie kommuniziert der Anbieter im Fall eines Incidents oder einer Schwachstellen-Disclosure – proaktiv oder reaktiv?

Qualität und Verlässlichkeit

• In welchen unabhängigen Tests (MITRE, SE Labs etc.) wurde der Anbieter bewertet – und mit welchen Ergebnissen?
• Gibt es nachvollziehbare SLAs für Reaktionszeiten im Ernstfall?
• Wie konsistent ist die Servicequalität über die letzten 12 bis 24 Monate dokumentiert?

Kommunikation und Alignment

• Stellt der Anbieter unterschiedliche Reporting-Formate für IT-Teams und Führungsebene bereit?
• Wie werden widersprüchliche Informationen aus verschiedenen Quellen aufgelöst?
• Gibt es einen dedizierten Ansprechpartner, der sowohl technische als auch strategische Fragen beantworten kann?

Diese Fragen helfen nicht nur bei der Erstbewertung, sondern auch dabei, bestehende Anbieterbeziehungen regelmäßig zu überprüfen – denn wie der Report zeigt, verschwindet das Vertrauensproblem nicht mit dem Vertragsabschluss.

Ergänzend empfiehlt es sich, im Evaluierungsprozess explizit nach Referenzkunden zu fragen, die bereit sind, offen über negative Erfahrungen zu sprechen – nicht nur über Erfolge. Anbieter, die ausschließlich makellose Referenzen präsentieren, geben damit ungewollt Auskunft über ihre Transparenzkultur. Ebenso aufschlussreich ist die Frage, wie ein Anbieter mit eigenen Sicherheitsvorfällen in der Vergangenheit umgegangen ist: Hat er proaktiv kommuniziert, Kunden frühzeitig informiert und Remediation-Schritte dokumentiert? Oder wurde der Vorfall erst nach externer Berichterstattung eingeräumt? Diese Reaktionsmuster sind verlässlichere Indikatoren für künftiges Verhalten als jedes Marketingversprechen.

Was das für CISOs, IT-Leitungen und Geschäftsführungen bedeutet

Die Zahlen aus dem Report sind ein Weckruf, der auf mehreren Ebenen wirkt. Für CISOs und IT-Leitungen ist die wichtigste Erkenntnis: Vertrauen muss aktiv gemanagt werden – intern wie extern. Das bedeutet, klare Bewertungskriterien zu definieren, bevor ein Anbieter ausgewählt wird, und diese Kriterien regelmäßig zu überprüfen. Es bedeutet auch, die Führungsebene frühzeitig in den Evaluierungsprozess einzubinden, um die dokumentierten Meinungsverschiedenheiten gar nicht erst entstehen zu lassen.

Für Geschäftsführungen und Boards gilt: Der Einkauf von Cybersecurity-Lösungen ist keine reine IT-Entscheidung. Wer als Board-Mitglied Budgets freigibt, ohne die Bewertungskriterien zu kennen, trägt Mitverantwortung für mögliche Vertrauenslücken. Die Tatsache, dass fast ein Drittel der Unternehmen regelmäßige Meinungsverschiedenheiten zwischen IT und Führung erlebt, zeigt: Hier braucht es strukturierte Prozesse, nicht Ad-hoc-Entscheidungen.

Konkret bedeutet das für Boards: Cybersecurity-Anbieter sollten nicht nur nach Preis und Markenbekanntheit beurteilt werden, sondern anhand derselben Kriterien, die der Report als vertrauensbildend identifiziert hat – also externer Validierung, nachweisbarer Incident-Kommunikation und konsistenter Servicequalität. Wer diese Kriterien in den Beschaffungsprozess integriert, trifft Entscheidungen auf einer Grundlage, die sich im Nachhinein auch gegenüber Aufsichtsbehörden, Versicherern und Geschäftspartnern vertreten lässt. Gerade im Kontext wachsender regulatorischer Anforderungen ist das kein Detail, sondern ein Governance-Thema.

Für KMU ohne eigene Security-Abteilung ist die Botschaft besonders klar: Die Lücke beim Fachwissen zur Anbieterbewertung ist real und messbar. Externe Beratung, Branchenverbände und unabhängige Tests können helfen, diese Lücke zu schließen – aber nur, wenn das Problem erkannt und adressiert wird.

Der Sophos-Report „The Cybersecurity Trust Reality in 2026″ macht deutlich: Vertrauen in Cybersecurity-Anbieter ist kein Soft-Faktor, sondern ein handfester Risikotreiber. Unternehmen, die dieses Thema strukturiert angehen, sind nicht nur besser geschützt – sie schlafen auch ruhiger.