Thought Leadership
Cyberangriffe gelten in vielen Unternehmen noch immer als technisches Problem der IT. Die NIS2‑Richtlinie der EU beendet diese Sichtweise endgültig. Sie macht IT‑Sicherheit zu einer Führungsaufgabe und verlagert Verantwortung ausdrücklich in die Geschäftsführung.
Wer Entscheidungen trifft, haftet im Zweifel auch für deren Folgen. Damit rückt eine Frage in den Mittelpunkt, die bisher zu selten gestellt wurde: Ist das Management in der Lage, im Ernstfall sicher und richtig zu entscheiden? Security Awareness im Management ist damit keine optionale Zusatzschulung mehr, sondern ein Pflichtbaustein im Risiko‑ und Compliance‑Management mittelständischer Unternehmen.
NIS2: Neue Anforderungen an Awareness und Management-Verantwortung
Die NIS2‑Richtlinie erweitert nicht nur den Kreis der betroffenen Unternehmen, sondern verschärft vor allem die Anforderungen an Governance und Verantwortlichkeit. Geschäftsführungen und Vorstände müssen angemessene technische und organisatorische Maßnahmen zur Cybersicherheit sicherstellen und deren Wirksamkeit überwachen. Dazu gehört explizit auch die Organisation von Schulungen und Awareness‑Maßnahmen.
Der Fokus liegt dabei nicht allein auf Technik. NIS2 adressiert den sogenannten Human Factor als zentrales Risiko. Fehlentscheidungen im Krisenfall, verzögerte Reaktionen oder unklare Zuständigkeiten können den Schaden eines Sicherheitsvorfalls erheblich vergrößern. IT‑Sicherheit wird damit zu einer Frage von Führung, Entscheidungsfähigkeit und Organisation.
Warum klassische Einmal-Schulungen nicht mehr ausreichen
Viele Unternehmen setzen bei Awareness noch immer auf punktuelle Maßnahmen. Ein jährliches E‑Learning oder eine kurze Pflichtschulung sollen das Thema abhaken. In der Praxis bleibt der Effekt begrenzt. Wissen wird abgefragt, aber nicht angewendet. Entscheidungsfähigkeit wird nicht trainiert.
Unter NIS2 reicht dieser Ansatz nicht mehr aus. Awareness muss wirksam sein und sich im Verhalten widerspiegeln. Im Ernstfall zählt nicht, ob eine Führungskraft weiß, was Phishing ist, sondern ob sie Eskalationswege kennt, Entscheidungen priorisieren kann und unter Druck handlungsfähig bleibt. Awareness ohne messbare Verhaltensänderung wird damit nicht nur praktisch, sondern auch rechtlich problematisch.
Leadership Awareness: Management-Workshops und Tabletop Exercises
Ein wirksamer Ansatz ist die gezielte NIS2‑Leadership‑Awareness. Sie richtet sich explizit an Geschäftsführung und obere Führungsebenen und unterscheidet sich deutlich von Mitarbeiterschulungen. Im Mittelpunkt stehen reale Entscheidungssituationen.
Bewährt haben sich Management‑Workshops und sogenannte Tabletop Exercises. Dabei werden konkrete Sicherheitsvorfälle simuliert und gemeinsam durchgespielt: Wer entscheidet was? Wann wird eskaliert? Welche Rolle spielen IT, Recht, Kommunikation und Fachbereiche? Diese Formate machen Abhängigkeiten sichtbar und schaffen Sicherheit im Umgang mit komplexen Krisensituationen.
KPIs für Geschäftsführung und Vorstand: Wirkt Awareness wirklich?
Damit Awareness steuerbar wird, braucht sie messbare Kennzahlen. Für Geschäftsführungen sind andere KPIs relevant, als für die IT. Geeignete Indikatoren sind etwa die Teilnahmequote von Führungskräften an Awareness‑Formaten, die Qualität und Geschwindigkeit von Entscheidungen in Übungen oder die Melderaten sicherheitsrelevanter Vorfälle.
Entscheidend ist nicht das reine Wissen, sondern die Handlungsfähigkeit. Adlon empfiehlt, Awareness‑KPIs regelmäßig im Rahmen des Risiko‑Managements zu betrachten und mit Lessons Learned aus realen oder simulierten Vorfällen zu verknüpfen. So wird aus Awareness ein steuerbares Führungsinstrument.
In drei Schritten zum Management-Awareness-Programm
Für mittelständische Unternehmen lässt sich ein wirksames Management‑Awareness‑Programm pragmatisch aufsetzen.
Erstens sollte Verantwortung klar verankert werden. Awareness ist Chefsache und Teil der Unternehmensführung. Rollen und Zuständigkeiten müssen eindeutig definiert sein.
Zweitens gilt es, relevante Szenarien zu identifizieren. Welche Cybervorfälle sind geschäftskritisch und welche Entscheidungen muss das Management treffen können?
Drittens sollten regelmäßige Übungen und Reviews etabliert werden. Wiederholung schafft Sicherheit. Awareness ist kein Projekt, sondern ein kontinuierlicher Prozess.
Escape Room als neues Format der Management Awareness
Klassische Schulungen stoßen im Management oft an Akzeptanzgrenzen. Neue Formate setzen daher auf Erleben statt Zuhören. Ein Beispiel ist das Escape‑Room‑Format für Führungskräfte. In einer realitätsnahen Simulation müssen Entscheidungen unter Zeitdruck getroffen werden. Kommunikationsmuster, Verantwortlichkeiten und Führungsverhalten werden unmittelbar sichtbar.
Solche Formate können ein wirkungsvoller Bestandteil einer Awareness‑Roadmap sein und insbesondere für Erstübungen im Management einen niedrigschwelligen Einstieg bieten. Weitere Informationen zu diesem Ansatz finden sich unter: adlon.de/event-escape-game
Fazit
NIS2 macht deutlich, dass IT‑Sicherheit nicht delegierbar ist. Sie ist Führungsaufgabe und Teil der unternehmerischen Verantwortung. Management‑Awareness entscheidet darüber, ob Unternehmen im Ernstfall handlungsfähig bleiben. Wer heute in strukturierte Awareness‑Programme investiert, reduziert Risiken, stärkt die Resilienz des Unternehmens und schützt nicht zuletzt die eigene Haftungsposition. Die entscheidende Frage lautet daher nicht, ob ein Vorfall eintritt, sondern ob das Management darauf vorbereitet ist.
