Cyber Resilience Index: Wie erfolgreiche Mittelständler ihre Sicherheitslage wirklich messen

„Wir wissen, dass wir Lücken haben, aber wir wissen nicht, wo wir anfangen sollen, um sie zu schließen." Diesen Satz hören wir regelmäßig. Nicht von Unternehmen, die ihre Cybersecurity vernachlässigen, sondern von IT-Leitern, CISOs und Geschäftsführern, die schon in ihre IT-Sicherheit investiert haben, z. B. in ein SOC, in eine XDR-Lösung, in Firewalls oder in Schulungen für die Mitarbeitenden. Hier läuft die Technik, aber die Gesamtstrategie fehlt.

Genau für solche Situationen haben wir bei dacoso den Cyber Resilience Index (CRI) entwickelt. Die Kennziffer bietet eine messbare, transparente und dialogbasierte Methode, um die tatsächliche Sicherheitsreife eines Unternehmens zu bewerten und in konkrete Maßnahmen zu übersetzen. Was dahintersteckt, wie der CRI sich von klassischen Audits unterscheidet und für wen er besonders relevant ist, lesen Sie in diesem Artikel.

Cybersecurity im Mittelstand: Viel investiert, wenig Überblick

Ab einer gewissen Größe kämpfen Unternehmen an mehreren Fronten gleichzeitig. Dazu zählen rasant wachsende Bedrohungslandschaften, eine zunehmend komplexe Regulierung durch NIS-2, DORA und ISO-Anforderungen, Fachkräftemangel und der permanente Druck des Tagesgeschäfts.

Die Folge ist paradox: Zwar wird in Tools, Lizenzen und externe Dienstleister investiert, aber ob diese Investitionen in Summe ausreichen, ob sie an den richtigen Stellen ansetzen und ob das Unternehmen im Ernstfall wirklich resilient ist, bleibt unklar.

Hinzu kommt ein strukturelles Problem, nämlich dass viele Dienstleister ihre Kunden zwar operativ gut betreuen, aber keine strategische Führung bieten. Applikationen werden überwacht, Tickets bearbeitet, Meetings gehalten. Was fehlt, ist die Antwort auf die entscheidende Frage: Wo stehen Sie gerade und was ist Ihr nächster Schritt?

Diese Frage stellen Kunden uns heute explizit. Und der Cyber Resilience Index ist unsere Antwort darauf.

Was Unternehmen wirklich brauchen und selten bekommen

Der Wunsch ist eindeutig: Unternehmen wollen nicht nur einen Dienstleister, der Vorfälle erkennt und bearbeitet. Sie wollen einen erfahrenen Partner, der ihre Situation kennt, einordnen kann und sagt: Hier habt ihr Stärken. Hier sind eure kritischen Lücken. Das ist die sinnvolle Reihenfolge der nächsten Schritte.

Das klingt nach einer Selbstverständlichkeit. In der Praxis der IT-Sicherheitsberatung im Mittelstand ist es das aber nicht.

Klassische Audits liefern Berichte. Lange, detaillierte, technisch korrekte Berichte, die anschließend in der Schublade verschwinden, weil niemand die Ressourcen hat, daraus einen umsetzbaren Plan zu entwickeln. Reine SOC-Dienstleister erkennen und bekämpfen Vorfälle. Sie sind die operative Feuerwehr, unverzichtbar, aber sie sind kein Steuerungsinstrument.

Was fehlt, ist die Ebene dazwischen in Form einer strategischen Beratung im Kontext des laufenden Betriebs, mit Blick auf das Gesamtbild und nicht nur auf den nächsten Incident.

Advisory statt Audit: Ein grundlegend anderer Ansatz

Der Begriff „Advisory" klingt zwar ähnlich wie „Audit", er ist es aber nicht. Der entscheidende Unterschied liegt nicht im Format, er liegt in der Grundhaltung. Ein klassischer Audit stellt fest, was ist. Ein Advisory beantwortet die Frage, was das bedeutet und was als Nächstes zu tun ist.

Der dacoso Advisory-Ansatz unterscheidet sich in drei wesentlichen Punkten von einem klassischen Audit:

1. Dialog statt Checkliste: Wir arbeiten nicht mit standardisierten Abfragetabellen, die Kunden selbst ausfüllen. Wir führen ein offenes, strukturiertes Beratungsgespräch, haken nach, wenn Antworten nicht konsistent sind, und leiten daraus eine realistische Einschätzung ab. Damit besteht nicht die Gefahr, dass schnell gemachte Ankreuz-Antworten nur oberflächliche Ergebnisse liefern.
2. Kontext statt Momentaufnahme: Weil wir als Managed Service Provider unsere Kunden kennen, fließen operative SOC-Daten, beobachtete Vorfälle und die spezifische IT-Landschaft direkt in die Bewertung ein. Das ist etwas anderes als ein externer Berater, der das Unternehmen nur einmal im Jahr besucht und kaum kennt.
3. Maßnahmen statt Bericht: Das Ergebnis ist keine statische Dokumentation, sondern eine priorisierte Roadmap, die wir gemeinsam mit dem Kunden regelmäßig überprüfen, anpassen und weiterentwickeln. So sind die Unternehmen, für die wir tätig sind, immer mit den richtigen Maßnahmen ausgestattet.

Was ist der Cyber Resilience Index?

Der Cyber Resilience Index ist eine Kennzahl zwischen 0 und 100, die beschreibt, wie gut eine Organisation Cyberangriffe erkennen, abwehren, überstehen und sich danach erholen kann.

Er fasst viele Einzelindikatoren aus verschiedenen Sicherheitsbereichen zu einem einzigen, nachvollziehbaren Score zusammen, vergleichbar mit einem Börsenindex: Auf einen Blick lässt sich die Gesamtentwicklung der Cybersecurity-Reife erkennen und man kann jederzeit in einzelne Teilbereiche hineinzoomen, um zu verstehen, was den Score treibt oder bremst.

Die methodische Grundlage bilden etablierte internationale Frameworks: die CIS-Controls, das NIST Cybersecurity Framework und das BSI Grundschutzkompendium – ergänzt um die Anforderungen aus NIS-2 sowie die praktischen Erfahrungswerte aus dem dacoso SOC-Betrieb.

Der entscheidende Unterschied zu anderen Score-Konzepten am Markt besteht darin, dass der dacoso Cyber Resilience Index nicht auf einer reinen technischen Abfragetabelle, die Kunden selbst ausfüllen, besteht. Stattdessen entsteht er aus einem geführten Beratungsdialog, in dem Aussagen hinterfragt, Zusammenhänge geprüft und Einschätzungen gemeinsam erarbeitet werden.

Die fünf Domains des Cyber Resilience Index

Der Index bewertet fünf Kernbereiche – sogenannte Domains – die zusammen ein vollständiges Bild der organisatorischen Sicherheitsreife ergeben:

Jede Domain ist transparent hergeleitet: Man sieht genau, welche Annahmen und Bewertungen zu einem Teilscore geführt haben und welche Maßnahmen ihn konkret verbessern würden. Kein Black-Box-Modell, keine undurchsichtige Algorithmus-Magie. Sondern eine diskussionsfähige, revisionsfähige Grundlage für strategische Entscheidungen.

Governance und Prozesse: Die am häufigsten unterschätzte Schwachstelle

Eine Beobachtung, die wir in unseren Beratungen immer wieder machen und die viele Kunden überrascht: Die größten Sicherheitslücken liegen selten in der Technologie. Firewalls und XDR-Lösungen sind oft auf einem akzeptablen Niveau. Aber sobald wir tiefer fragen – Wer ist intern verantwortlich, wenn ein kritisches System kompromittiert wird? Gibt es einen dokumentierten Incident-Response-Plan, der auch geübt wurde? Wie werden neue Mitarbeitende in Sicherheitsprozesse eingeführt? – wird es schnell unruhig.

Fehlende Governance und unklare Prozesse sind in der Praxis häufiger die Ursache für Sicherheitsvorfälle als technische Schwachstellen. Und sie sind oft kostengünstiger zu schließen, wenn man weiß, wo man suchen muss.

Der Cyber Resilience Index macht genau das sichtbar. Er legt offen, wo Handlungsbedarf besteht, und ermöglicht es, gemeinsam mit dem Kunden risikobasiert zu priorisieren: Welche Maßnahme wirkt am schnellsten? Welche hat den größten Effekt auf die Gesamt-Resilience? Wo kann mit vorhandenen Ressourcen am effizientesten angesetzt werden?

NIS-2 und DORA: Wenn Compliance den Handlungsdruck erhöht

Für viele Unternehmen ist Cyber-Resilienz längst keine freiwillige Investition mehr. Die europäische Regulierung zieht die Anforderungen spürbar an:

• NIS-2 verpflichtet tausende Unternehmen in Deutschland zu Risikomanagement, Incident Reporting und nachweisbaren Sicherheitsmaßnahmen

• DORA setzt im Finanzsektor verbindliche Standards für die digitale operationale Resilienz

• ISO 27001-Zertifizierungen werden zunehmend von Kunden und Partnern vorausgesetzt

Das Problem: Die Umsetzung dieser Anforderungen erfordert genau das, was intern am häufigsten fehlt, nämlich eine strukturierte Methodik, Fachkenntnis und Zeit. Interne IT-Teams sind ins Tagesgeschäft eingebunden, Spezialisten sind knapp und der Weg von der Regulatorik zur umsetzbaren Maßnahme ist für viele Organisationen unklar.

Der dacoso Cyber Resilience Index macht Compliance-Anforderungen greifbar: Er zeigt, welche der geforderten Fähigkeiten bereits vorhanden sind, wo Nachholbedarf besteht und in welcher Reihenfolge Maßnahmen angegangen werden sollten, um regulatorische Ziele effizient zu erreichen.

Für wen ist der Cyber Resilience Index besonders relevant?

• Ideale Ausgangssituation – Ihr Unternehmen sollte über mindestens einen dieser Punkte nachdenken:
• Mittelstand ab ca. 250 Mitarbeitenden mit gewachsener IT-Infrastruktur
• Bestehende Security-Investitionen (SOC, XDR, Firewalls) – aber kein klares Gesamtbild
• Compliance-Anforderungen durch NIS-2, DORA oder ISO 27001
• IT-Teams, die strategische Themen mangels Zeit immer wieder verschieben
• Geschäftsführungen, die Security-Entscheidungen auf Basis belastbarer Kennzahlen treffen wollen

So funktioniert der Einstieg in das dacoso Advisory-Modell

Der Cyber Resilience Index ist fester Bestandteil des dacoso Managed-Service-Modells für den Cyber-Security-Bereich. Ein Advisory mit entsprechendem Kontext. Wir kennen die Systeme unserer Kunden, wir sehen die Signale aus dem SOC, wir wissen aus dem laufenden Betrieb, wo es in der Praxis brennt. Diese Kombination aus operativer Tiefe und strategischer Beratungsperspektive ist der Kern des Ansatzes.

Der Einstieg läuft in drei Phasen:

1. Phase – Erstbewertung: Für alle dacoso Managed-Service-Kunden im Cyber-Security-Bereich ist eine vollständige CRI-Abfrage einmal jährlich kostenfrei im Service enthalten. In strukturierten Workshops durchleuchten wir gemeinsam alle fünf Domains –und zwar dialogbasiert und ohne Checkbox-Formular.

2. Phase – Roadmap: Aus der Erstbewertung entsteht ein priorisierter Maßnahmenplan, der risikobasiert auf die spezifische Situation des Kunden zugeschnitten ist. Nicht nach Schema F, sondern nach dem, was im Unternehmen den größten Unterschied macht.

3. Phase – Kontinuierliches Advisory: Wer tiefer einsteigen möchte, kann mit einem dedizierten Beratungsbudget quartalsweise Updates, erweiterte Analysen und eine kontinuierliche Maßnahmenbegleitung nutzen. Der Index wächst mit dem Unternehmen und macht Fortschritte sichtbar.

Quick Wins in 3 Monaten

• Härtung exponierter Systeme

• Schließen kritischer Schwachstellen

• Klare Zuständigkeiten

Strukturelle Reife in 12–24 Monaten

• Identity Management

• Zero Trust

• Netzwerksegmentierung

• Security-Kultur

Fazit: Gemessene Cyber-Resilienz ist kein Luxus, sondern Führungsaufgabe

Cybersecurity-Investitionen ohne strategische Steuerung sind Investitionen ins Blaue. Der dacoso Cyber Resilience Index schafft die Grundlage, die Unternehmen brauchen: eine klare, messbare und nachvollziehbare Einschätzung der tatsächlichen Widerstandsfähigkeit zuzüglich eines konkreten Pfades zur Verbesserung.

Es entsteht kein Bericht, der in der Schublade landet und kein Score, den niemand versteht. Das Ergebnis ist ein echtes Steuerungsinstrument für IT-Leiter, CISOs und Geschäftsführer, die Cybersecurity strategisch erfolgreich führen wollen.

Sie wollen mehr über unseren Cyber Resilience Index erfahren

Erfahren Sie, wie unsere Managed Security Services mit integriertem Advisory-Ansatz funktionieren: