idgard Secure Data Report 2025 – Trügerische Sicherheit: 40 Prozent der Unternehmen halten ihren Datenschutz für besser als er ist

Executive Summary

Der Secure Data Report 2025 zeigt deutlich: Unternehmen in Deutschland und der EU investieren zwar mehr in Cybersecurity, aber beim organisatorischen Datenschutz bleibt die Kluft zwischen Anspruch und Realität gross.

40 Prozent der Unternehmen schätzen ihren Datenschutz-Reifegrad höher ein, als er objektiv ist. Die Folge: Ein falsches Sicherheitsgefühl, das zu vermeidbaren Risiken führt – insbesondere im Hinblick auf NIS-2, DORA, DSGVO und KRITIS.

Datenschutz und Datensicherheit gehören im Jahr 2025 zu den zentralen Herausforderungen für Unternehmen aller Branchen. Während viele Organisationen hohe Summen in Sicherheitssoftware und Verschlüsselungstechnologien investieren, zeigt die Realität ein anderes Bild: Prozesse fehlen, Verantwortlichkeiten sind unklar und menschliche Faktoren bleiben unterschätzt. Der „Secure Data Report 2025“ untersucht den tatsächlichen Reifegrad des Datenschutzes deutscher Unternehmen – und deckt deutliche Diskrepanzen zwischen Selbstwahrnehmung und tatsächlicher Umsetzungsreife auf.

Die Erhebung basiert auf einer im zweiten Quartal 2025 durchgeführten Online-Befragung von 1.200 Datenschutz- und IT-Verantwortlichen aus Unternehmen verschiedener Größen und Branchen in Deutschland, Österreich und der Schweiz. Zusätzlich wurden 30 qualitative Experteninterviews geführt, um die quantitativen Ergebnisse zu validieren und praxisnah zu ergänzen.

Wichtigste Erkenntnisse:

• Verschlüsselte E-Mails reichen nicht mehr aus.
• Entscheidend sind Prozesse, Verantwortlichkeiten und Zero-Knowledge-Architekturen.
• Unternehmen müssen ein ganzheitliches Security-Ökosystem aufbauen.

1. Datensicherheit 2025: Wir fühlen uns sicherer, als wir sind

1.1 Selbstbild vs. Realität

78 Prozent der Unternehmen glauben, guten Datenschutz zu haben.
Objektive Assessments zeigen jedoch: Nur 38 Prozent erreichen einen hohen Reifegrad.

Differenz zwischen Selbsteinschätzung und objektivem Datenschutz-Reifegrad 2025

Dieses gruppierte Balkendiagramm zeigt, dass Unternehmen ihren Datenschutz-Reifegrad häufig wesentlich höher einschätzen als eine objektive Analyse es ergibt.

Besonders kritisch:

1. Unklare Verantwortlichkeiten
2. Fehlende definierte Prozesse zur sicheren Datenübertragung
3. Unzureichende Protokollierung und Auditierbarkeit

52 Prozent der Unternehmen können nicht nachvollziehbar nachweisen, wer wann auf welche sensiblen Daten zugegriffen hat.

Das ist nicht nur ein Sicherheitsproblem, sondern ein Compliance-Verstoß.

2. Verschlüsselte E-Mails: Ein Sicherheitsrelikt

62 Prozent der Unternehmen setzen weiterhin auf klassische E-Mail-Verschlüsselung wie S/MIME oder PGP.

Verbreitung von Datenschutzmaßnahmen in Unternehmen 2025

Das Säulendiagramm verdeutlicht, dass E-Mail-Verschlüsselung weit verbreitet ist, während strukturierte Datenschutzprozesse und klare Verantwortlichkeiten noch große Defizite aufweisen.

2.1 Warum das 2025 nicht mehr ausreicht

Gravierende Schwächen:

• Keine echte Ende-zu-Ende-Vertraulichkeit
• Keine Forward Secrecy
• Hohe Fehleranfälligkeit im Handling
• Keine revisionssichere Nachvollziehbarkeit
• Kein Schutz vor Weitergabe der Daten

Unternehmen sichern damit den Transportweg, aber nicht die Daten an sich.

3. Neue Compliance-Regime erhöhen den Druck

3.1 NIS-2

NIS-2 verlangt nachweisbare Sicherheitsprozesse, risikobasierte Maßnahmen und Integritätsschutz.

3.2 DORA

DORA betrifft den Finanzsektor und fordert resiliente ICT-Systeme, sichere Kommunikation und Incident-Reporting. Klassische E-Mail-Verschlüsselung gilt nicht als starke Methode.

3.3 DSGVO

Artikel 32 verlangt geeignete technische und organisatorische Massnahmen.
Der Stand der Technik 2025 entspricht Zero-Knowledge-Prozessen, sicheren Datenraeumen und revisionssicheren Protokollen.

Datenschutz-Aufwand nach Unternehmensgröße 2025

Das gruppierte Balkendiagramm visualisiert den wahrgenommenen Aufwand für Datenschutz nach Unternehmensgröße und zeigt, dass gerade kleinere Unternehmen sich besonders belastet fühlen.

4. Was Unternehmen wirklich brauchen:
Ein holistisches Datenschutzmodell

4.1 Zero-Knowledge-Security

Daten müssen so verschlüsselt werden, dass auch der Anbieter keinen Zugriff hat.

4.2 Sichere Datenräume statt klassischer E-Mail

Moderne Unternehmen verlagern vertrauliche Kommunikation in:

• Secure Data Rooms
• Auditierbare Collaboration-Plattformen
• Sealed-Cloud-Architekturen

Diese ermöglichen:

• Zugriffskontrolle
• Protokollierung
• verhindert Weitergabe
• langfristige Datensicherheit

4.3 Prozessreife und Governance

Erforderlich sind:

• klare Verantwortlichkeiten
• regelmässige Awareness-Programme
• standardisierte Abläufe
• definierte Freigabe- und Löschprozesse
• automatisierte Protokollierung

4.4 Sicherheit durch Architektur

Moderne Systeme bieten:

• Zwangsverschlüsselung
• Rollenmodelle
• Audit Trails
• Ende-zu-Ende-Zugriffsschutz
• Richtlinienbasierte Freigaben

5. Handlungsempfehlungen

1. Reifegrad objektiv messen
2. Zero-Knowledge-Architektur etablieren
3. Sichere Datenräume nutzen statt E-Mail
4. Governance und Prozesse definieren
5. Compliance sicherstellen
6. Nachvollziehbarkeit implementieren

6. idgard als Lösungsansatz

Die Sealed Cloud von idgard bietet:

• Zero-Knowledge-Architektur
• revisionssichere Zusammenarbeit
• sichere Datenräume
• DSGVO-, NIS-2- und DORA-Konformität
• Schutz vor Administrator- und Anbieterzugriffen

idgard hilft Unternehmen, vom Sicherheitsgefühl zur echten Sicherheit zu gelangen.

Fazit

Viele Unternehmen überschätzen ihren Datenschutz und unterschätzen gleichzeitig ihr Risiko.
Verschlüsselte E-Mails sind ein Mindeststandard, aber kein Schutzkonzept.

Moderne Anforderungen erfordern:

• Zero-Knowledge
• sichere Datenräume
• definierte Prozesse
• technische und organisatorische Nachvollziehbarkeit

Datenschutz 2025 basiert auf Architektur, Prozessen, Audit und Zero-Knowledge.