top of page
Suche

Cybersecurity ist Management-Aufgabe, nicht nur ein IT-Thema

  • Autorenbild: David Utrilla Torres
    David Utrilla Torres
  • vor 2 Tagen
  • 3 Min. Lesezeit

Cybersecurity wird in vielen Unternehmen noch immer als klassische IT-Aufgabe betrachtet. Die IT-Abteilung betreibt Firewalls, verwaltet Benutzerkonten, installiert Sicherheitsupdates und kümmert sich um Backups. Dadurch entsteht häufig der Eindruck, dass Cybersecurity in erster Linie ein technisches Thema ist. Die Realität sieht jedoch anders aus. Die Auswirkungen eines erfolgreichen Cyberangriffs treffen selten nur die IT. Sie betreffen die gesamte Organisation – von der Produktion über den Vertrieb bis hin zur Geschäftsführung.

Wenn beispielsweise ein mittel-ständisches Produktionsunternehmen Opfer einer Ransomware-Attacke wird, lautet die wichtigste Frage nicht, welcher Server verschlüsselt wurde oder welche Sicherheitslücke ausgenutzt wurde. Viel wichtiger ist die Frage, welche Kunden-aufträge nicht mehr ausgeliefert werden können, welche Umsatzeinbußen entstehen und wie lange der Geschäftsbetrieb eingeschränkt bleibt.


Ähnlich verhält es sich in einer Arztpraxis, deren IT-Systeme plötzlich ausfallen. Für die Patienten spielt es keine Rolle, ob der Fehler in einer Datenbank oder einem Server liegt. Entscheidend ist, ob Rezepte ausgestellt, Termine verwaltet und Patienten versorgt werden können.


In beiden Fällen wird deutlich, dass Cybersecurity weit über die IT hinausgeht und unmittelbar die Handlungsfähigkeit des Unternehmens beeinflusst.


Infografik zum Thema „Cybersecurity ist Management-Aufgabe“. Die Grafik zeigt links einen IT-Experten vor mehreren Monitoren in einer Serverraum-Umgebung und rechts ein Management-Team in einem Besprechungsraum vor einem Risiko-Dashboard. In der Mitte befindet sich ein großes Kreisdiagramm mit dem Begriff „Cyber Resilienz – Geschäftsfähigkeit sichern, auch im Krisenfall“. Die zentralen Elemente des Diagramms sind Risiken verstehen, Maßnahmen priorisieren, Investitionen steuern, Verantwortung festlegen und Vorfälle bewältigen. Im unteren Bereich wird dargestellt, dass Transparenz die Grundlage für fundierte Entscheidungen ist. Themen wie realistische Kosten, Nutzenabwägung, Risikoreduzierung und Resilienzsteigerung werden hervorgehoben. Die Botschaft der Grafik lautet: Cybersecurity schützt nicht nur die IT, sondern das gesamte Unternehmen und erfordert die gemeinsame Verantwortung von IT und Management.
Cybersecurity ist Management-Aufgabe: Infografik zur Verbindung von IT-Sicherheit, Risikomanagement, Investitionsentscheidungen und Cyberresilienz für Unternehmen

Trotzdem wird Cybersecurity häufig noch immer als technisches Problem betrachtet, das durch den Kauf weiterer Sicherheitslösungen gelöst werden soll. Viele Unternehmen haben bereits in Firewalls, Endpoint Protection, Multi-Faktor-Authentifizierung oder Backup-Lösungen investiert. Dennoch fällt es ihnen schwer, grundlegende Fragen zu beantworten. Welche Cyberrisiken bedrohen unser Unternehmen am stärksten? Welche Systeme und Prozesse sind für den Geschäftsbetrieb kritisch? Welche Sicherheitsmaßnahmen reduzieren unser Risiko tatsächlich? Und welche Investitionen sind wirtschaftlich sinnvoll?


Genau an diesem Punkt wird Cybersecurity zu einer Management-Aufgabe. Denn jede Investition in Sicherheit ist letztlich eine Investition in die Risikoreduzierung. Wie bei anderen Unternehmensrisiken müssen auch Cyberrisiken bewertet, priorisiert und gesteuert werden. Dafür benötigt das Management vor allem eines, Transparenz.


In vielen Organisationen fehlt diese Transparenz jedoch. Sicherheitsverantwortliche präsentieren Listen mit Schwachstellen, Sicherheitswarnungen oder technischen Risiken. Für die Geschäftsführung sind diese Informationen oft nur schwer einzuordnen. Sie möchte wissen, welche Auswirkungen ein Risiko auf Umsatz, Kunden, regulatorische Anforderungen oder den Geschäftsbetrieb haben kann. Erst wenn diese Zusammenhänge sichtbar werden, lassen sich fundierte Entscheidungen treffen.


Ein gutes Beispiel hierfür ist die Einführung einer Multi-Faktor-Authentifizierung. Die Implementierung verursacht Kosten für Lizenzen, Projektaufwand und Schulungen. Gleichzeitig reduziert sie jedoch das Risiko kompromittierter Benutzerkonten erheblich und schützt damit vor einem der häufigsten Angriffsvektoren. Die Investition ist vergleichsweise überschaubar und die Risikoreduzierung hoch. Anders kann die Situation bei einer vollständigen Netzwerksegmentierung aussehen. Diese Maßnahme kann technisch sinnvoll sein, verursacht aber oftmals deutlich höhere Kosten und Komplexität. Das bedeutet nicht, dass sie unnötig ist. Es bedeutet lediglich, dass Unternehmen verstehen müssen, welchen konkreten Beitrag die Maßnahme zur Risikoreduzierung leistet und ob sie aktuell die höchste Priorität besitzt.


Die gleiche Diskussion erleben wir häufig im Bereich Backup und Wiederherstellung. Viele Unternehmen sind überzeugt, gut vorbereitet zu sein, weil sie regelmäßig Backups erstellen. Die eigentliche Frage lautet jedoch, wie gut die Backup-Infrastruktur selbst geschützt ist? Moderne Angreifer versuchen zunehmend, Backup-Systeme gezielt anzugreifen, Administratorenkonten zu kompromittieren oder Wiederherstellungsprozesse zu sabotieren.


Unternehmen investieren daher in Maßnahmen wie Multi-Faktor-Authentifizierung für Backup-Administratoren, Rollentrennung, Immutable Backups oder zusätzliche Überwachungsmechanismen. Auch hier geht es letztlich nicht um Technologie um ihrer selbst willen, sondern um die Frage, wie sich das Risiko eines vollständigen Betriebsstillstands reduzieren lässt.


Mit neuen regulatorischen Anforderungen wie NIS2 oder DORA wird die Verantwortung des Managements zusätzlich verstärkt. Die Geschäftsleitung kann Cybersecurity nicht mehr ausschließlich an die IT delegieren. Sie muss Risiken verstehen, angemessene Maßnahmen unterstützen und Entscheidungen über Investitionen treffen. Dabei geht es nicht darum, dass Geschäftsführer technische Experten werden müssen. Ihre Aufgabe besteht vielmehr darin, sicherzustellen, dass Cyberrisiken genauso professionell behandelt werden wie finanzielle, rechtliche oder operative Risiken.


Gleichzeitig wird immer deutlicher, dass Cybersecurity allein nicht ausreicht. Kein Unternehmen kann garantieren, jeden Angriff zu verhindern. Deshalb rückt der Begriff der Cyberresilienz zunehmend in den Mittelpunkt. Cyberresilienz beschreibt die Fähigkeit eines Unternehmens, auch während und nach einem Sicherheitsvorfall handlungsfähig zu bleiben.

Dazu gehören technische Schutzmaßnahmen ebenso wie Notfallpläne, klare Verantwortlichkeiten, Wiederherstellungsprozesse und regelmäßige Übungen.


Die entscheidende Frage lautet nicht mehr ausschließlich, wie Angriffe verhindert werden können, sondern wie schnell und kontrolliert ein Unternehmen auf einen Vorfall reagieren und den Geschäftsbetrieb wiederherstellen kann.


Cybersecurity ist deshalb heute weit mehr als ein IT-Thema. Sie beeinflusst Geschäftsprozesse, Umsätze, Kundenvertrauen, regulatorische Compliance und letztlich den Unternehmenswert. Unternehmen, die Cybersecurity als Management-Aufgabe verstehen, schaffen Transparenz über ihre Risiken, priorisieren Investitionen auf Basis ihres tatsächlichen Nutzens und stärken ihre Widerstandsfähigkeit gegenüber Cyberangriffen nachhaltig.


Die zentrale Frage lautet dabei nicht, „Welche Sicherheitslösung kaufen wir als Nächstes?“, sondern vielmehr, „Welche Maßnahmen reduzieren unser Geschäftsrisiko am wirksamsten und helfen uns, auch im Krisenfall handlungsfähig zu bleiben?“


Genau deshalb gehört Cybersecurity heute auf die Agenda jeder Geschäftsführung.


#Cybersecurity#CyberResilience#ITSecurity#Unternehmensführung#DigitalResilience#CyberStrategy

bottom of page