Der Sicherheitsspezialist Horizon3.ai hat seinen aktuellen Cybersecurity Insights Report 2025 vorgelegt. Die Analyse basiert auf über 50.000 autonomen Angriffssimulationen mit dem hauseigenen Tool NodeZero sowie einer Umfrage unter knapp 800 IT-Sicherheitsverantwortlichen. Der Bericht zeigt: Viele Unternehmen verlassen sich weiterhin auf veraltete Schutzstrategien – mit gefährlichen Folgen.

Massive Lücken trotz Sicherheitsmaßnahmen

Laut dem Report setzen zwar 98 Prozent der Unternehmen auf Vulnerability Scanning, doch nur ein Drittel stuft die Methode als tatsächlich effektiv ein. Fehlalarme und unzureichende Kontextinformationen behindern viele IT-Teams dabei, sich auf reale Bedrohungen zu konzentrieren. Besonders alarmierend: NodeZero konnte in zehntausenden Fällen erfolgreich Credential Dumping durchführen – ein Beleg für mangelhafte Passwort- und Zugriffsrichtlinien in Unternehmen weltweit.

Kurzfristig Experten benötigt? Hier die passenden Freelancer auf Fiverr

Patch-Verzögerungen als Einfallstor

Ein weiteres zentrales Problem ist das verzögerte Patch-Management. Über die Hälfte der befragten IT-Praktiker und ein Drittel der Sicherheitsexperten gaben an, notwendige Updates aufgrund operativer Einschränkungen zu verschieben. Dadurch bleiben bekannte Schwachstellen über längere Zeiträume hinweg offen. In rund 100.000 Fällen konnten bekannte Sicherheitslücken in Kundenumgebungen ausgenutzt werden – trotz verfügbarer Updates.

Angriffssimulation statt Compliance-Denken

CEO Snehal Antani kritisiert, dass viele Unternehmen noch immer Compliance mit echter Sicherheit gleichsetzen. Klassische Schutzmechanismen und jährliche Testzyklen seien nicht mehr zeitgemäß. Nur ein kontinuierlicher, angreifergestützter Ansatz könne aufzeigen, wo reale Risiken bestehen. Dazu zählen unter anderem eine permanente Überprüfung von Identitäten, Zugriffen und Rechten sowie realitätsnahe Simulationen von Angriffsvektoren.

Nur offensive Sicherheit kann Lücken schließen

Der Bericht formuliert neun zentrale Problembereiche, die sich durch verschiedene Branchen und Unternehmensgrößen ziehen – von ineffektiven Penetrationstests über fehlerhafte Cloud-Konfigurationen bis hin zur generellen Überforderung durch Schwachstellen. Horizon3.ai plädiert für ein grundlegendes Umdenken in der Sicherheitsstrategie: Nur wer kontinuierlich prüft, täuscht, erkennt und wie ein Angreifer denkt, kann IT-Systeme wirklich absichern.