Denn Unterbrechungen sind nicht mehr die Ausnahme. Ob es sich nun um einen Cyberangriff, ein schief gelaufenes Update oder eine Änderung der Vorschriften handelt - Unterbrechungen prägen heute den normalen Geschäftsrhythmus. Die Frage ist nicht, ob es dazu kommt, sondern wann. Und was noch wichtiger ist: Wie gut sind wir vorbereitet, wenn es soweit ist?
Die Realität sieht so aus: Die Verantwortlichen ignorieren diese Probleme nicht. Im Gegenteil, die meisten Führungskräfte, mit denen wir im Rahmen unserer Untersuchung für den Bericht „No-IT ist kein IT-Problem“ gesprochen haben, beschäftigen sich intensiv damit.
Es wird zunehmend erkannt, dass sich die Art des Risikos verändert hat. Cyberbedrohungen sind keine isolierten technischen Ereignisse mehr. Und wenn sie zuschlagen, sind die Folgen operativ und beeinträchtigen kritische Prozesse, Lieferketten, Kundendienste und letztlich die Kontinuität des Unternehmens selbst
Wenn die IT versagt, ist das ein Geschäftsproblem
Obwohl sie über solide Sicherheitsteams und -rahmen verfügen, betrachten viele Unternehmen die Ausfallsicherheit immer noch als IT-Angelegenheit. Diese Sichtweise kann jedoch eine proaktive Entscheidungsfindung behindern. Wenn digitale Systeme ausfallen, hat das nicht nur Auswirkungen auf Server und Software. Die Auswirkungen sind sofort spürbar, da die Finanzabteilung nicht arbeiten kann, der Betrieb ins Stocken gerät und die Teams im gesamten Unternehmen auf die Daten warten müssen, die sie für den Echtzeitzugriff auf Informationen benötigen. Wird das Vertrauen der Kunden nicht aufrechterhalten, kann dies zu Umsatzeinbußen, einem beschädigten Ruf und einer geschwächten Kundentreue führen, was letztlich sowohl dem Unternehmen als auch seinen Kunden schadet.Deshalb ist das Umdenken so wichtig. Der Satz „No-IT ist kein IT-Problem“ ist mehr als ein schlauer Spruch – er spiegelt eine tiefere Wahrheit wider: Cybervorfälle sind nicht einfach nur technische Risiken, sie sind Risiken für die Kontinuität des Unternehmens. Sie sind funktionsübergreifend und erfordern koordinierte Aufmerksamkeit auf der Führungsebene.
Compliance hilft, garantiert aber keine Bereitschaft
Das Aufkommen von Vorschriften zur digitalen Resilienz, wie z. B. DORA und NIS2 der EU, ist unbestreitbar hilfreich. Sie sorgt für Klarheit, schafft Struktur und schärft das Bewusstsein. Die Verlagerung hin zu mehr Regulierung birgt jedoch auch ein Risiko: Unternehmen können beginnen, Compliance als Ziel und nicht mehr als Grundvoraussetzung zu betrachten.Die Konzentration auf Compliance bringt Struktur und Schwung, ist aber nicht das ganze Bild. Mehrere Führungskräfte erklärten in den Interviews, dass Compliance zwar wichtig ist, aber manchmal von einer grundlegenderen Frage ablenken kann: Welches ist das tatsächliche (Geschäfts-)Risiko, auf das die Kontrolle(n) abzielen, wie gestalten wir unsere Kernprozesse so, dass sie wirklich sicher und widerstandsfähig sind, damit wir uns schnell erholen können, wenn die Systeme ausfallen?
Bereitschaft bedeutet mehr als Checklisten. Es geht darum, Kontinuität in den Kern der Entscheidungsfindung, der Investitionsplanung und der Unternehmenskultur einzubetten.
Delegation ist keine Kontrolle
Die meisten Führungskräfte geben zu, dass sie sich bei der Verwaltung der Cybersicherheit und der Ausfallsicherheit stark auf ihre technischen Teams verlassen. Dieses Vertrauen ist sowohl verständlich als auch notwendig. Delegation ist jedoch nicht gleichbedeutend mit Kontrolle.Allzu oft wird Resilienz durch eine reine IT-Brille betrachtet, als etwas, das ausschließlich den technischen Experten vorbehalten ist. Doch die IT ist tief in die Kernprozesse eines jeden modernen Unternehmens eingebettet. Eine Unterbrechung in der IT ist eine Unterbrechung des Geschäfts selbst. Das macht die Resilienz zu einer Frage der Unternehmensführung, nicht nur der technischen Ausführung.
Wenn es zu Unterbrechungen kommt, erfordert die Fähigkeit, durch Ungewissheit zu führen, Klarheit. Klarheit darüber, wer zuständig ist, wie Entscheidungen getroffen werden und welche Prioritäten Vorrang haben. Dies sind keine technischen Fragen, sondern Führungsfragen. Und sie können nicht wirksam beantwortet werden, wenn Resilienz als eine isolierte, technische Aufgabe behandelt wird.
Eigenverantwortung der Führungskräfte bedeutet nicht, dass sie Systeme oder Infrastrukturen im Detail steuern. Das bedeutet, dass Sie verstehen müssen, wie die IT Ihre kritischen Abläufe unterstützt, wo Schwachstellen bestehen, was eine Wiederherstellung bedeutet und wie sich potenzielle Risiken auf Ihr Unternehmen auswirken könnten – finanziell, betrieblich und auf Ihren Ruf.
Echte Resilienz erfordert, dass Führungskräfte eine proaktive Rolle übernehmen. Nicht indem sie zu IT-Experten werden, sondern indem sie erkennen, dass Resilienz eine strategische Fähigkeit ist – eine Fähigkeit, die bestimmt, ob das Unternehmen weiterhin Kunden bedienen, Verpflichtungen erfüllen und seinen Ruf schützen kann, wenn das Unerwartete eintritt.
Operative Resilienz ist die Strategie
Was wir jetzt brauchen, ist eine breitere Perspektive: Resilienz als strategischer Faktor, nicht als technisches Pflaster. Dieser Bewusstseinswandel erfordert, dass Unternehmen Resilienz nicht länger als etwas betrachten, das nachträglich auf den Betrieb aufgeschichtet wird, sondern sie in die Art und Weise integrieren, wie das Unternehmen strukturiert und geführt wird.Resilienz bedeutet, dass man bereit ist, Störungen zu überstehen und nicht nur darauf zu reagieren. Und diese Bereitschaft muss funktionsübergreifend getestet, finanziert und verantwortet werden.
Um die Resilienz im gesamten Unternehmen zu verankern, sollte sich die Führung an vier Prioritäten orientieren, die über die IT hinausgehen:
1. Gesamtsystem im Raum
Resilienzplanung erfordert einen multidisziplinären Beitrag. Funktionsübergreifende Teams aus den Bereichen Betrieb, Finanzen, Risiko, Compliance, Recht und IT sollten bei der Identifizierung, Priorisierung und Vorbereitung auf Störungen zusammenarbeiten. Beziehen Sie wichtige externe Partner in diese Gespräche ein, um die Resilienz der gesamten Wertschöpfungskette zu stärken.
2. Bewertung des operationellen Risikos in allen Funktionen
Digitale Bedrohungen sind selten isoliert. Betrachten Sie das Risiko aus einer operativen Perspektive und nicht nach Abteilungen oder Systemen. Dieser Ansatz trägt dazu bei, Abhängigkeiten aufzudecken, die bei herkömmlichen Risikoregistern möglicherweise übersehen werden, und verbessert die Koordinierung der Reaktionen.
3. Verknüpfung von Risikotoleranz und finanziellen Auswirkungen
Die Führungskräfte müssen wissen, welche Störungen am wichtigsten sind – und warum. Identifizieren Sie die „Kronjuwelen“ des Unternehmens und quantifizieren Sie die finanziellen Auswirkungen ihres Verlusts. Passen Sie die Ressourcen und die Prioritäten für die Wiederherstellung entsprechend an.
4. Wiederherstellung organisieren und rigoros testen
Planung allein reicht nicht aus – Unternehmen müssen unter Druck getestet werden. Führen Sie Szenarien durch, testen Sie die Annahmen und beziehen Sie die Führungskräfte in die Simulationen ein. So wird aus der Reaktionsfähigkeit Vertrauen, und aus Plänen wird Praxis.
5. Vom Bewusstsein zur Bereitschaft
Unternehmen, die Resilienz als strategische Fähigkeit – und nicht nur als operative Ebene – betrachten, werden besser in der Lage sein, sich anzupassen, Schocks zu absorbieren und das Vertrauen durch Störungen aufrechtzuerhalten.
Das bedeutet nicht, dass wir die totale Kontrolle über jedes Risiko anstreben. Das ist weder realistisch noch notwendig. Aber es bedeutet, dass man sich das zu eigen macht, was man kontrollieren kann: Klarheit in der Führung, Vertrauen in den Aufschwung und Ausrichtung der Prioritäten.
Die widerstandsfähigsten Unternehmen verlassen sich nicht auf Glück oder isoliertes Fachwissen. Sie bauen Stärke in ihre Struktur ein. Sie verbinden technische Fähigkeiten mit der Unternehmensstrategie. Und sie führen von der Spitze aus – mit vollem Engagement des Vorstands und des Führungsteams.
In der heutigen digitalen Wirtschaft ist Vorsorge keine Frage der IT. Es ist ein Führungsauftrag. Aus diesem Grund muss die operative Resilienz an der Spitze beginnen.
