Die 2025 Cybersecurity Workforce Study von ISC2 zeichnet ein differenziertes Bild der globalen Cybersicherheits-Community. Über 16.000 Fachkräfte weltweit haben an der Studie teilgenommen. Das Ergebnis: Die Lage stabilisiert sich leicht, doch der Druck auf Teams, Budgets und Kompetenzen bleibt hoch. Wir verraten die wichtigsten Erkenntnisse und geben eine Einordnung, was sie für Unternehmen in Deutschland und Europa bedeuten.
Wirtschaftlicher Druck bleibt – aber er eskaliert nicht weiter
Ein zentrales Ergebnis der Studie ist, dass sich die massiven Einschnitte der letzten Jahre 2025 nicht weiter verschärfen. Budgetkürzungen, Einstellungsstopps und Entlassungen verharren auf einem hohen Niveau, steigen jedoch nicht signifikant weiter an. 36 % der befragten Organisationen berichten weiterhin von Budgetkürzungen, 39 % nennen Hiring Freezes und 24 % verzeichnen Entlassungen im Cybersecurity-Bereich.
Das bedeutet keine Entwarnung, sondern vielmehr eine Phase der Konsolidierung. Cybersecurity wird längst nicht mehr automatisch von Sparrunden ausgenommen. Gleichzeitig wächst das Bewusstsein, dass weitere Einschnitte das Risikoprofil direkt verschärfen. Besonders deutlich wird das in einer Zahl: 72 % der Befragten sind überzeugt, dass Personalabbau im Cybersecurity-Bereich das Risiko einer Sicherheitsverletzung deutlich erhöht.
Für Entscheider:innen entsteht hier ein klares Spannungsfeld. Kurzfristige Kostensenkungen wirken betriebswirtschaftlich attraktiv, können jedoch langfristig hohe Folgekosten durch Sicherheitsvorfälle verursachen. Cybersecurity wird damit zunehmend zu einer strategischen Resilienzfrage.
Der Fokus verschiebt sich: Weg vom Headcount, hin zu Skills
Über Jahre dominierte die Diskussion um den „Fachkräftemangel“. 2025 zeigt sich jedoch ein deutlicher Perspektivwechsel. Der reine Personalmangel tritt hinter den Kompetenzmangel zurück. 59 % der Befragten berichten von kritischen oder signifikanten Skill-Lücken – ein deutlicher Anstieg gegenüber 2024, als dieser Wert noch bei 44 % lag. Gleichzeitig sehen 95 % mindestens einen konkreten Kompetenzbedarf im eigenen Team.
Das Problem lautet also nicht mehr primär: „Wir brauchen mehr Menschen.“
Sondern: „Wir brauchen die richtigen Fähigkeiten.“
Besonders stark nachgefragt sind Kompetenzen im Bereich Künstliche Intelligenz (41 %) und Cloud Security (36 %). Auch Risk Assessment (29 %), Application Security (28 %) sowie GRC- und Security-Engineering-Kompetenzen (je 27 %) gewinnen deutlich an Bedeutung. Diese Zahlen zeigen, wie sehr sich die Angriffs- und Verteidigungslandschaft technologisch verändert.
Für Unternehmen bedeutet das, ihr Weiterbildungsmodell neu zu denken. Klassische Recruiting-Strategien greifen zu kurz, wenn passende Profile am Markt kaum verfügbar sind. Upskilling, Multiskilling und gezielte interne Talententwicklung werden zur zentralen strategischen Antwort auf den Skill-Gap.
KI verändert Rollen – ersetzt sie aber nicht
Ein besonders spannender Befund der Studie ist die Haltung gegenüber Künstlicher Intelligenz. Trotz der rasanten technologischen Entwicklung bleiben Cybersecurity-Professionals überwiegend optimistisch. KI wird primär als Unterstützung im Arbeitsalltag verstanden. Als Hebel zur Automatisierung repetitiver Aufgaben und als Instrument zur Effizienzsteigerung.
Von einer flächendeckenden Verdrängung menschlicher Expertise geht die Mehrheit nicht aus. Vielmehr verändern sich Rollenprofile. Routineanalysen werden automatisiert, während strategische Bewertung, Kontextualisierung und Entscheidungsfindung an Bedeutung gewinnen.
Gleichzeitig steigt der Druck. Angriffe werden selbst KI-gestützt, komplexer und schneller. Verteidigungssysteme müssen entsprechend intelligenter werden. Für Unternehmen entsteht dadurch eine doppelte Herausforderung: Sie müssen KI sicher und kontrolliert einsetzen und zugleich KI-befähigte Angriffe abwehren. Das erfordert nicht nur technisches Know-how, sondern auch Governance-Strukturen und strategische Steuerung. Wer KI lediglich als Tool betrachtet, unterschätzt die organisatorische Dimension dieser Transformation.
Skills-Defizite haben konkrete Sicherheitsfolgen
Die Studie macht deutlich, dass Kompetenzlücken keine abstrakte Größe sind, sondern reale Auswirkungen haben. 88 % der befragten Organisationen berichten von mindestens einer negativen Folge durch Skill-Mangel.
26 % nennen Prozess- und Kontrollversäumnisse, 25 % mussten unterqualifizierte Mitarbeitende einsetzen, 24 % berichten von Fehlkonfigurationen und ebenso viele konnten neue Technologien nicht sinnvoll implementieren oder nutzen. Gerade Fehlkonfigurationen – insbesondere in Cloud-Umgebungen – entwickeln sich zu einem wachsenden Risikofeld.
Hier rückt das Thema Messbarkeit stärker in den Fokus. Organisationen müssen Cybersecurity-Leistung systematischer bewerten und Risiken quantifizieren. Wenn Kompetenzlücken messbar werden, lassen sich Investitionen fundierter begründen und strategisch priorisieren.
Non-Technical Skills gewinnen weiter an Bedeutung
Ein weiteres zentrales Ergebnis ist die wachsende Bedeutung nicht-technischer Kompetenzen. Hiring Manager priorisieren zunehmend Problemlösungsfähigkeit, Teamarbeit und Kommunikationsstärke. Cybersecurity-Fachkräfte selbst sehen weiterhin vor allem technische Skills – insbesondere AI und Cloud – im Vordergrund. Hier entsteht ein Wahrnehmungsunterschied zwischen Management und operativer Ebene.
Diese Entwicklung ist nachvollziehbar. Cybersecurity ist längst keine isolierte IT-Disziplin mehr. Reporting an Vorstände, Abstimmung mit Compliance, Zusammenarbeit mit Fachabteilungen und Krisenkommunikation im Incident-Fall gehören heute zum Alltag.
Motivation stabil, aber Warnsignale erkennbar
Die berufliche Zufriedenheit zeigt 2025 leichte Verbesserungen nach zwei herausfordernden Jahren. Dennoch bleiben strukturelle Warnsignale bestehen. Stagnierende Gehälter, steigende Arbeitsbelastung und begrenzte Entwicklungsmöglichkeiten sorgen für anhaltenden Druck.
Sollte sich der Arbeitsmarkt erholen, könnte die Wechselbereitschaft steigen. Retention wird damit zu einer strategischen Sicherheitsfrage. Unternehmen sollten klare Karrierepfade definieren, Weiterbildungsbudgets sichern und ihre Führungskultur kritisch reflektieren. Cybersecurity-Expert:innen sind hochmobil und für die organisationale Resilienz strategisch kritisch.
Was bedeutet das für Ihr Unternehmen?
Aus den Ergebnissen lassen sich mehrere strategische Implikationen ableiten. Cybersecurity darf nicht zyklisch budgetiert werden, sondern muss als Dauerauftrag verstanden werden. Eine durchdachte Skill-Strategie ist langfristig wirkungsvoller als reine Headcount-Planung. Interne Weiterentwicklung ist häufig wirtschaftlicher und nachhaltiger als permanentes Recruiting.
Zugleich wird KI-Kompetenz zum Muss – technisch, regulatorisch und organisatorisch. Cybersecurity entwickelt sich immer stärker zur Business-Kompetenz. Kommunikations- und Governance-Fähigkeiten sind gleichwertig mit technischen Skills. Und nicht zuletzt gilt: Messbarkeit schafft Legitimation. Risiken, Kompetenzlücken und Resilienz müssen quantifizierbar werden, um strategische Entscheidungen fundiert zu treffen.
Fazit: Die Cybersecurity-Arbeitswelt wird reifer
Die 2025-Studie zeigt keine dramatische Eskalation, sondern eine strukturelle Transformation. Der Diskurs verschiebt sich – von Mangel zu Kompetenz, von Panik zu Professionalisierung, von rein technischer Verteidigung zu strategischer Resilienz.
Wer jetzt gezielt in Skills, Governance und KI-Fähigkeit investiert, stärkt nicht nur die Sicherheitsarchitektur, sondern auch die unternehmerische Zukunftsfähigkeit.