top of page
Kopie von logo (1).jpg

Cybersicherheit ist Chefsache – und das nicht nur wegen NIS2

  • Autorenbild: Marcel Küppers
    Marcel Küppers
  • 15. Jan.
  • 4 Min. Lesezeit


Viele mittelständische Unternehmen behandeln Cybersicherheit noch wie ein Technikthema: Die IT kümmert sich, ein Dienstleister „macht Security“, und die Geschäftsführung bekommt gelegentlich ein Update, wenn etwas auffällt. Das wirkt effizient – bis zum ersten echten Vorfall. Denn dann wird schnell klar: Ein Cyberangriff ist selten ein IT-Problem. Er ist ein Betriebsunterbrechungs-, Vertrauens- und Haftungsthema. Und genau deshalb gehört Cybersicherheit auf die Agenda der Geschäftsführung.


Der Kernfehler liegt in einem Missverständnis: „Sicherheit“ wird oft als Sammlung technischer Maßnahmen verstanden. Firewall, Virenschutz, vielleicht noch Multi-Faktor-Authentifizierung – fertig. In der Realität ist Cybersicherheit aber in erster Linie Risikomanagement. Es geht darum, dass Ihr Unternehmen auch dann handlungsfähig bleibt, wenn etwas schiefgeht. Dass Sie entscheiden können, statt zu improvisieren. Und dass Sie nachweisen können, angemessen gesteuert zu haben.


Cyber trifft das Geschäft – nicht den Server

Cyberangriffe treffen heute vor allem die Dinge, die das Unternehmen am Laufen halten: ERP, Kundenportal, E-Mail, Identitäten, Lieferkette. Die unmittelbaren Folgen sind selten „nur IT“. Typisch sind Stillstand in kritischen Prozessen, Druck aus der Lieferkette, aufgeregte Kunden, ungeklärte Kommunikationslinien, steigende Kosten – und am Ende die Frage, warum niemand vorbereitet war.


Das Entscheidende: In genau diesem Moment erwartet jeder Führung. Nicht technisch – aber strategisch. Denn die kritischen Fragen lauten dann nicht „Welches Tool?“, sondern: Was ist unser Schaden? Was ist unser Plan? Wer entscheidet? Was kommunizieren wir – und wann? Diese Fragen liegen nicht auf dem Schreibtisch der IT. Sie liegen bei der Geschäftsführung.


Wenn Sie Cybersicherheit wie ein Geschäftsrisiko steuern wollen, starten Sie mit den richtigen Fragen: Kronjuwelen, KPIs, Incident-Entscheidungen, Dienstleisterkontrolle.



Delegieren ja – Verantwortung nein

Natürlich dürfen (und sollen) Sie operative Aufgaben delegieren. Sie müssen keine Logs lesen oder Sicherheitsregeln konfigurieren. Aber Sie können nicht delegieren, dass Ihr Unternehmen eine steuerbare Sicherheitsorganisation hat.


Eine IT-Abteilung kann Systeme betreiben und Sicherheitsmaßnahmen umsetzen. Was ohne Führung häufig nicht funktioniert: Prioritäten gegen das Tagesgeschäft durchsetzen, Risiken transparent machen, Entscheidungen herbeiführen und das Ganze so dokumentieren, dass es im Ernstfall tragfähig ist. Viele Unternehmen scheitern nicht an fehlender Technik, sondern an fehlender Governance: Risiken sind bekannt, aber werden nicht entschieden. Sicherheitsmaßnahmen werden beschlossen, aber nicht nachverfolgt. Im Krisenfall ist unklar, wer entscheidet. Externe Dienstleister „machen Security“, ohne dass jemand prüft, ob das Sicherheitsniveau stimmt.

Das sind Führungsprobleme – keine technischen.


NIS2 ist ein Weckruf – aber nicht der eigentliche Grund

Mit NIS2 wird deutlicher betont, was in der Praxis längst gilt: Unternehmen müssen Sicherheitsrisiken systematisch managen, Vorfälle beherrschen und Nachweisfähigkeit herstellen. Für viele Führungsteams ist das der Auslöser, sich strukturiert mit dem Thema zu beschäftigen.


Wichtig ist dabei die Haltung: NIS2 ist nicht „nur Compliance“. Es ist ein Signal, dass Cybersicherheit heute als unternehmerische Pflicht verstanden wird. Selbst wenn Ihr Unternehmen nicht unmittelbar betroffen ist: Kunden, Versicherer, Partner und Auditoren erwarten zunehmend nachvollziehbare Reife – nicht nur gute Absichten.

Kurz gesagt: Wenn Sie morgen im Beirat, beim Großkunden oder bei der Versicherung erklären müssen, wie Sie Cyberrisiken führen – können Sie das? Oder müssten Sie hoffen, dass „die IT schon etwas sagt“?


Drei Führungsfragen, die alles verändern

Wenn Sie als Geschäftsführung Cybersicherheit wirksam steuern wollen, brauchen Sie keinen Technik-Deepdive. Sie brauchen Klarheit auf drei Ebenen:


Erstens: Was sind unsere Kronjuwelen?

Welche drei bis fünf Prozesse, Systeme oder Daten sind so kritisch, dass ihr Ausfall oder Verlust das Unternehmen ernsthaft gefährdet? Das ist keine IT-Frage, sondern eine Business-Frage. Wer „alles ist wichtig“ sagt, wird am Ende alles halb schützen – und nichts wirklich.


Zweitens: Was ist ein angemessenes Sicherheitsniveau für uns?

100% gibt es nicht. Aber „wir machen ein bisschen“ ist ebenfalls keine Strategie. Sie brauchen ein Zielbild: Welchen Reifegrad wollen wir erreichen, welche Lücken akzeptieren wir (und dokumentieren es), welche Investitionen sind dafür nötig? Ein Rahmenwerk wie das NIST Cybersecurity Framework hilft, das in einer verständlichen Struktur zu formulieren: Identify, Protect, Detect, Respond, Recover.


Drittens: Wie messen und steuern wir – monatlich, nicht nur nach Vorfällen?

Ohne Kennzahlen gibt es keine Steuerung. Executives brauchen keine Tool-Metriken, sondern Signale: Wie schnell erkennen wir Angriffe? Wie schnell reagieren wir? Wie steht es um Patch-Disziplin, Backup-Tests, privilegierte Zugänge, Drittanbieter-Risiken? Und welche Maßnahmen sind offen – mit Owner und Deadline?

Diese drei Fragen sind oft der Wendepunkt. Denn sie verschieben Cybersicherheit von „IT macht das“ zu „wir führen das“.


Eine Executive-Routine, die wirkt (ohne Kalender zu sprengen)

Cybersicherheit wird nicht dadurch besser, dass Sie noch ein Projekt starten. Sie wird besser, wenn Sie eine Führungsroutine etablieren:

Definieren Sie einmal klar: Kronjuwelen, Top-5 Risiken, Zielniveau. Verankern Sie dann monatlich ein Management-Reporting (maximal eine Seite), das Ihnen zeigt: Lage, Trend, Maßnahmenstatus. Prüfen Sie quartalsweise die größten Risiken, die Lieferkette und die offenen Maßnahmen. Und trainieren Sie mindestens jährlich die Entscheidungsfähigkeit im Incident – mit Simulation und Kommunikation, nicht nur mit Technik.

Das ist kein Overhead. Das ist Unternehmensführung.


Fazit

Cybersicherheit ist Chefsache, weil sie Wertschöpfung, Vertrauen und Verantwortung betrifft. NIS2 macht das sichtbarer – aber der echte Treiber ist die Realität: Angriffe sind nicht mehr selten, und die Kosten sind nicht mehr überschaubar. Die gute Nachricht: Sie müssen kein IT-Experte werden. Sie müssen das Thema so führen, wie Sie andere Geschäftsrisiken führen: klar, messbar, priorisiert – und mit einem Plan.


🎓Kurs - Cybersecurity für Executives

Ein Intensivtag für Geschäftsführung und Führungskräfte: Cyberrisiken steuern statt delegieren – mit realistischer Incident-Simulation, KPI-/Governance-Toolbox und einem 1:1 Coaching nach 2–4 Wochen zur Umsetzung in Ihrer Organisation.

 
 
 

Kommentare

bottom of page