Thought Leadership
Cyberangriffe, geopolitische Spannungen und regulatorische Verschärfungen machen digitale Resilienz zu einer unternehmerischen Notwendigkeit. Der Ruf nach maximaler IT-Sicherheit alleine ist aber nur die halbe Miete.
Seit Jahrzehnten gilt die IT als der geheime Motor der Unternehmensentwicklung. Spätestens mit dem Beginn der Digitalisierung auf breiter Front ist das kein Geheimnis mehr. Zugleich ist die IT aber auch sichtbare, kritische Infrastruktur geworden – das verändert ihre Position nachhaltig. Die neue Realität sieht die IT einerseits als Zielscheibe und baut andererseits auf sie als Verteidigungslinie. Diese Ambivalenz macht die IT-Governance zur Herausforderung. Denn das Ziel ist nicht nur, keinen Schaden zu erleiden – es gibt auch etwas zu gewinnen. Unternehmen, die ihre IT-Governance konsequent neu ausrichten, vorausschauend handeln, statt nur tagesaktuell auf Bedrohungen zu reagieren, haben einen klaren Mehrwert und potenziell Wettbewerbsvorteile.
Das ist keineswegs selbstverständlich: Bisher gelten die Standardsetzer der IT eher als Bremser oder Verhinderer, nicht als Möglichmacher. Hier eine Umkehr zu schaffen, erfordert mehr als technische Werkzeuge und Lösungen: Neue Strukturen und ein neues Bewusstsein sind die unbedingte Voraussetzung. Niemand als die IT selbst kann diese Entwicklung nachhaltig anstoßen.
IT-Governance muss handeln, nicht nur reagieren können
Eine resiliente IT-Governance ist die Grundlage für nachhaltige Unternehmensstabilität in einer digital vernetzten Welt. Ohne klare Strukturen zur Steuerung von Risiken und Abhängigkeiten wird IT-Sicherheit schnell zur Achillesferse eines Unternehmens. IT muss nicht nur reagieren, wenn Bedrohungen auftreten, sondern vorausschauend Maßnahmen etablieren, die Resilienz als strategisches Unternehmensziel verankern. Cyberangriffe zielen längst nicht mehr nur auf einzelne Unternehmen ab, sondern darauf, die Säulen unserer europäischen bzw. deutschen Volkswirtschaft – Finanzmarkt, Energieversorgung und Infrastruktur – zu destabilisieren.
Hinzu kommt, dass geopolitische Unsicherheiten bestehende Regelungen gefährden, wie etwa das US-EU Data Privacy Framework. Besonders kritisch wird es, wenn eine neue US-Regierung bestehende Regelungen zurücknimmt (Executive Order 14086, auf deren Grundlage u. a. eine unabhängige Aufsichts- und Beschwerdeinstanz eingerichtet wurde). Um die Bedrohungen, die daraus entstehen, frühzeitig erkennen und abwehren zu können, müssen Sicherheits-, Compliance- und Betriebsprozesse eng verzahnt sein.
Digitale Resilienz ist also mehr als nur ein Buzzword – sie entscheidet darüber, ob ein Unternehmen auch im Krisenfall handlungsfähig bleibt. Dimensionen einer IT-Governance, die zum Schlüssel für digitale Resilienz werden können, sind:
- Business-Continuity-Management (BCM): gewährleistet die Kontinuität der digitalen Geschäftstätigkeit des Unternehmens und minimiert die Auswirkungen von IKT-Störungen.
- Cloud- und ICT-Exit-Management: reduziert die Abhängigkeit von einzelnen Anbietern und schützt vor Lock-in-Effekten.
- Disaster-Recovery-Management: Schlüsselelement der digitalen Resilienz; trägt dazu bei, dass IT-Systeme nach einem Ausfall oder Angriff schnell wiederhergestellt werden können.
- ICT-Provider-Management: gewährleistet, dass externe IT-Dienstleister stabil, sicher und regelkonform arbeiten.
- Third-Party-Risk-Management: identifiziert und überwacht Risiken in der gesamten IT-Lieferkette, einschließlich Subdienstleistern.
Digitale Resilienz als übergeordnetes Ziel führt zu aufbau- und ablauforganisatorischen Veränderungen in der (IT-)Governance des Unternehmens. Das zeigen erste Beispiele am Markt deutlich. In Linien- bzw. Tribe-Organisationen werden die genannten Dimensionen in Abteilungen bzw. Clustern gebündelt, um Synergien zu nutzen und eine einheitliche Steuerung sicherzustellen. Digitale Resilienz wird so integraler Bestandteil der Unternehmenssteuerung.
Konkret: IT-Methoden und Tools
Die regelmäßige Durchführung von Threat-Led Penetration Testing (TLPT) und Angriffssimulationen hilft Unternehmen, potenzielle Schwachstellen frühzeitig zu erkennen und geeignete Gegenmaßnahmen zu ergreifen. Tools unterstützen bei der Identifikation und Bewertung von Sicherheitslücken. Ergänzend kann der Einsatz von KI-gestützter Threat-Intelligence-Plattformen dabei helfen, Risiken in Echtzeit zu analysieren und präventive Sicherheitsstrategien zu entwickeln.
Cloud-Exit-Strategien und -Pläne sind essenziell, um Abhängigkeiten zu minimieren und Handlungsoptionen in Krisensituationen zu bewahren. Unternehmen sollten Migrationspläne mit Infrastructure-as-Code(IaC)-Lösungen automatisieren und kontinuierlich testen. Multi-Cloud-Management-Plattformen helfen dabei, Cloud-Risiken zu minimieren und alternative Infrastrukturen effizient bereitzuhalten.
Ebenso sind ein wirksames Schwachstellenmanagement und eine sichere Softwareentwicklung zentrale Faktoren der digitalen Resilienz. Security-by-Design sollte mit DevSecOps-Methoden implementiert werden, und zwar bereits in der Entwicklungsphase.
Auch die Sensibilisierung der Mitarbeitenden spielt eine wichtige Rolle bei der digitalen Widerstandsfähigkeit eines Unternehmens. Security-Awareness-Trainings können mit speziellen Plattformen durchgeführt werden, um Mitarbeitende zum Beispiel auf Phishing- und Social-Engineering-Angriffe aufmerksam zu machen.
„Moving Target“
Digitale Resilienz ist kein Zustand, sondern ein kontinuierlicher Prozess. Unternehmen, die ihre IT-Governance konsequent ausrichten, nicht nur auf tagesaktuelle Bedrohungen reagieren, sondern vorausschauend agieren, haben einen klaren Wettbewerbsvorteil. Die IT muss dabei als strategischer Treiber agieren, indem sie nicht nur Schutzmaßnahmen implementiert, sondern aktiv Widerstandsfähigkeit aufbaut.
Letztlich gilt: Wer digitale Resilienz als Kernkompetenz verankert, schützt nicht nur sich selbst, sondern auch seine Kunden – und macht IT zu einem echten Werttreiber für das Unternehmen.
