TechArtTrends - stock.adobe.com

Meinung

Mangelnde Datenintegration macht Unternehmen angreifbar

Fragmentierte Security, Schatten-IT und hybride IT-Strukturen sorgen für eine fehlende Transparenz, wenn es um schützenswerte Ressourcen geht. Sicherheit beginnt mit Überblick.

von
  • Johannes Carl, Ivanti
Zuletzt aktualisiert:09 Sept. 2025

Moderne IT-Landschaften sind wie Großstädte bei Nacht: überall Lichter, aber wenig Orientierung – speziell ohne Navigationssystem. Cloud-Services hier, hybride Infrastrukturen dort, Schatten-IT in den Hinterhöfen, dazwischen unzählige Drittanbieter. Was früher klar strukturiert war, ist heute ein Flickenteppich. Und genau dieser Flickenteppich macht Unternehmen verwundbar. Das Ergebnis: eine Angriffsfläche, die schneller wächst als das Verständnis für ihre Risiken.

Ein aktueller Bericht von Ivanti bringt es auf den Punkt: 41 Prozent der Unternehmen wissen nicht, wo sich konkrete Schwachstellen in ihrer IT befinden – obwohl die entsprechenden Daten theoretisch vorhanden sind. Der Grund? Isolierte Datenquellen, fehlender Kontext und ein fragmentierter Blick auf das, was eigentlich geschützt werden soll. Wer seine Risiken nicht kennt, kann sie nicht kontrollieren. Und wer glaubt, ein paar Heatmaps würden reichen, führt sein Unternehmen in eine trügerische Sicherheit.

Warum klassische Schwachstellen-Tools nicht mehr reichen

In vielen Unternehmen gibt es Systeme und Kommunikation, die offiziell gar nicht existiert: Schatten-IT. Tools, Apps und Cloud-Dienste, die Mitarbeitende nutzen, ohne dass die Security- oder IT-Abteilungen sie kennen. Das Problem: Was ich nicht sehe, kann ich auch nicht schützen. Diese digitalen Geisterhäuser entziehen sich jeder Kontrolle – und schaffen gefährliche Angriffsvektoren. Noch schlimmer: Auch dort, wo Daten zur Verfügung stehen, etwa aus Asset-Management-, Schwachstellen- oder Cloud-Systemen, werden sie oft nicht miteinander verknüpft. Wer sich auf einzelne Tools verlässt, sieht nur einen Teil der Wahrheit. Und trifft Entscheidungen ohne Zusammenhang.

Das klassische Vulnerability Management folgt einem alten Muster: Es schaut auf bekannte Schwachstellen (CVE, Common Vulnerabilities and Exposures), bewertet deren Schweregrad und leitet Maßnahmen ab. Das Problem dabei: Es fehlt die Perspektive. Wie relevant ist die Schwachstelle wirklich – für genau mein Unternehmen, meine Geschäftsprozesse, meine Angriffsfläche? Das Ergebnis: falsche Prioritäten, eine endlose Liste offener Schwachstellen, hektisches Reagieren statt vorausschauendem Handeln. Kurzum: ein falsches Gefühl von Sicherheit.

Wie Unternehmen ihre Angriffsfläche in den Griff bekommen

Transparenz beginnt mit der Bestandsaufnahme. Welche Systeme sind überhaupt im Spiel? Welche Datenquellen existieren? Welche davon sprechen miteinander und welche nicht? Der Schlüssel ist die Integration: Daten aus unterschiedlichsten Tools müssen zusammengeführt werden. Daraus entsteht ein Lagebild, das nicht nur Schwachstellen anzeigt, sondern sie auch nach Business-Kontext gewichtet.

Was Unternehmen also konkret tun sollten

  • Schatten-IT sichtbar machen: Regelmäßige Scans und internes Reporting helfen, die Wahrnehmungslücken zu identifizieren.
  • Datenquellen verbinden: Je mehr isolierte Tools sprechen, desto klarer wird das Gesamtbild.
  • Risiken gewichten: Nicht alles patchen wollen und doch nie alles schaffen – sondern das priorisiert patchen, was wirklich kritisch ist.
  • Third-Party-Risiken ernst nehmen: Lieferkettenprüfung, Penetrationstests und externe Angriffssimulationen müssen Teil des Plans sein.
  • Verantwortung verlagern: Cyberrisiko ist nicht nur IT-Aufgabe, sondern Chefsache.

Exposure Management: Weniger Alarm, mehr Relevanz

Die Antwort auf dieses Dilemma heißt Exposure Management. Anders als klassische Schwachstellenanalyse betrachtet dieser Ansatz nicht nur technische Lücken, sondern das Zusammenspiel aus Assets, Angriffspunkten und Geschäftsrisiken. Exposure Management ist eine proaktive Sicherheitsstrategie, die Risiken auf ein Maß reduziert, das zum unternehmerischen Risikoappetit passt. Es geht um den Gesamtblick: Infrastruktur, Cloud, IoT, externe Dienstleister – alles gehört zur Angriffsfläche. Und alles muss integriert betrachtet werden.

Johannes Carl, Ivanti

„Cyberrisiken sind längst keine rein technischen Probleme mehr. Sie betreffen Umsatz, Lieferketten, Kundendaten, Markenimage – und damit das Kerngeschäft. Deshalb gehört Exposure Management auf die Agenda der Geschäftsleitung.“

Johannes Carl, Ivanti

Vier Säulen für mehr Überblick und Schutz

Exposure Management ist mehr als ein neuer Modebegriff. Es ist der Versuch, Cybersicherheit nicht nur technischer, sondern auch geschäftlicher zu denken. Im Kern geht es darum, alle relevanten Angriffsvektoren zu identifizieren – über Cloud, IoT, Anwendungen und Drittanbieter hinweg – und sie in Relation zur Risikotoleranz des Unternehmens zu setzen. Sichtbarkeit, Kontext, Bewertung und gezielte Reaktion: Das sind die vier Pfeiler:

Exposure Management ist mehr als ein neuer Modebegriff. Es ist der Versuch, Cybersecurity nicht nur technischer, sondern auch geschäftlicher zu denken. Im Kern geht es darum, alle relevanten Angriffsvektoren zu identifizieren – über Cloud, IoT, Anwendungen und Drittanbieter hinweg – und sie in Relation zur Risikotoleranz des Unternehmens zu setzen. Sichtbarkeit, Kontext, Bewertung und gezielte Reaktion: Das sind die vier Pfeiler

  1. Sichtbarkeit
    Unternehmen müssen wissen, welche Systeme, Geräte und Dienste sie überhaupt betreiben – intern wie extern. Das umfasst auch Schatten-IT und Drittanbieterinfrastruktur. EASM-Tools (External Attack Surface Management) helfen dabei, Wahrnehmungslücken zu erkennen.
  2. Datenaggregation und Priorisierung
    Sicherheitsrelevante Informationen aus verschiedenen Tools müssen zusammengeführt und in Beziehung gesetzt werden. Statt pauschaler CVSS-Wertungen braucht es eine risikobasierte Gewichtung, die auch Geschäftskontext und Exploit-Wahrscheinlichkeit berücksichtigt.
  3. Validierung
    Nicht jede theoretische Schwachstelle ist auch praktisch ausnutzbar. Wer Risiken bewerten will, muss wissen, ob Angriffe realistisch sind. Techniken wie Penetrationstests, Breach-and-Attack-Simulationen oder Threat Intelligence schaffen hier Klarheit.
  4. Behebung (Remediation)
    Am Ende muss gehandelt werden – gezielt, priorisiert und integriert. Moderne Sicherheitslösungen bieten dafür automatisierte Prozesse, Patch-Management und Self-Healing-Funktionen, die sich in gängige ITSM-Tools einbinden lassen.

Warum das Thema jetzt Chefsache ist

Cyberrisiken sind längst keine rein technischen Probleme mehr. Sie betreffen Umsatz, Lieferketten, Kundendaten, Markenimage – und damit das Kerngeschäft. Deshalb gehört Exposure Management auf die Agenda der Geschäftsleitung.

Wer Investitionen in Cybersicherheit heute strategisch steuern will, braucht klare Antworten:

  • Wie angreifbar sind wir – und wo?
  • Wie hoch ist das Risiko – in Euro?
  • Wo lohnt sich Schutz – und wo nicht?

Fazit: Vom Reagieren zum Vorbeugen

Cybersicherheit beginnt mit Überblick. Wer seine Systeme, Schwachstellen und Risiken nicht im Zusammenhang sieht, schützt am Ende das Falsche – und lässt das Wesentliche offen. Exposure Management schafft genau diesen Zusammenhang: Es integriert Daten, gewichtet Risiken im Geschäftskontext und hilft, begrenzte Ressourcen dort einzusetzen, wo sie wirklich zählen.

Der Unterschied ist entscheidend: Nicht mehr nur reagieren, sondern vorausschauen. Nicht mehr auf alles zugleich zielen, sondern gezielt handeln. Das ist keine Kür, sondern die neue Pflicht.

Über den Autor:
Johannes Carl ist Channel Sales Engineering Manager bei Ivanti.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management