Getragen von unterschiedlichen, regulatorischen Anforderungen, erfüllt heute eine deutlich höhere Anzahl an Unternehmen und Organisationen relevante Normen beziehungsweise Vorgaben, als dies noch vor ein bis zwei Jahren der Fall war. Gleichsam bleibt die Anzahl leicht anzugreifender Organisationen hoch oder steigt sogar.
Richtlinien, Audits und Zertifizierungen schaffen wichtige organisatorische Grundlagen. Sie ersetzen jedoch keine operative Sicherheitsstruktur. Zwischen formaler Compliance und tatsächlicher Cyber-Resilienz wächst zunehmend eine gefährliche Lücke. Daher ist der Schritt über Compliance hinaus immanent, weshalb sich ein ganzheitlicher Ansatz lohnt.
Die sicherheitspolitische Lage in Europa verändert sich spürbar. Neben klassischen Cyberangriffen nehmen hybride Bedrohungen deutlich zu. Staatlich unterstützte Angriffe, gezielte Desinformationskampagnen und Datenspionage gehören inzwischen zur geopolitischen Realität. Kritische Infrastrukturen, öffentliche Organisationen und Unternehmen stehen damit nicht nur vor technischen Herausforderungen, sondern auch vor der Aufgabe, ihre digitale und organisationale Handlungsfähigkeit dauerhaft zu sichern.
Hinzu kommt die zunehmende Abhängigkeit von globalen Lieferketten, Cloud Infrastrukturen und internationalen Technologieanbietern. Fragen der digitalen Souveränität rücken zunehmend in den Fokus. Organisationen müssen heute prüfen, wie widerstandsfähig ihre Systeme, Prozesse und Lieferketten tatsächlich sind und wie schnell sie auf Störungen oder Angriffe reagieren können. Derartige Angriffe führen nicht nur zu finanziellen Schäden, sondern häufig auch zu operativen Einschränkungen, langen Wiederherstellungszeiten und Vertrauensverlusten gegenüber Bürgern, Partnern oder Auftraggebern.
Regulatorische Konformität reicht nicht
Wie real diese Risiken inzwischen sind, zeigen konkrete Vorfälle. Der Batteriehersteller VARTA war 2024 von einem schweren Ransomware-Angriff betroffen. IT-Systeme wurden abgeschaltet und die Produktion kam an allen Standorten zum Erliegen. Der finanzielle Schaden und die Auswirkungen auf den Börsenwert waren erheblich. Ein weiterer Vorfall traf die Schumag AG. Eine Veröffentlichung von internen Daten im Darknet zwang das Unternehmen zu Produktionsausfällen, beeinträchtigte Geschäftsprozesse und verursachte massive Kosten. Die Folge: Das Unternehmen musste durch den Cyberangriff Insolvenz anmelden.
Die Reaktion von Gesetzgebern und Aufsichtsbehörden wie dem BSI (Bundesamt für Sicherheit in der Informationstechnik) auf diese Entwicklung zeigt sich, wie bereits eingangs erwähnt, in neuen und verschärften regulatorischen Anforderungen wie NIS2, DORA oder dem Cyber Resilience Act. Organisationen sehen sich dadurch mit strikteren Nachweispflichten, engeren Kontrollmechanismen und zunehmender persönlicher Verantwortung auf Managementebene konfrontiert.
Dabei wird deutlich, dass regulatorische Konformität allein keine belastbare Sicherheitsstrategie ersetzt. Audits und Zertifizierungen schaffen wichtige Grundlagen. Sie garantieren jedoch keine reale und vollumfängliche Sicherheit. Angreifer orientieren sich nicht an Normen, Zertifizierungen oder Compliance Vorgaben. Sicherheitsmaßnahmen, die ausschließlich auf Dokumentation und formale Nachweise ausgerichtet sind, greifen in der Regel zu kurz.
Im Ernstfall entscheidet nicht die Qualität der Dokumentation über die Widerstandsfähigkeit einer Organisation, sondern ihre tatsächliche Krisen- und Handlungsfähigkeit.
Niklas Rathjen, INFODAS GmbH
Die „Papersecurity“
Genau an dieser Stelle entsteht das Problem einer reinen „Papersecurity“. Prozesse und Richtlinien existieren auf dem Papier, ihre tatsächliche Wirksamkeit wird jedoch nicht ausreichend überprüft beziehungsweise getestet. Sicherheitskonzepte verlieren an Wirkung, wenn technische Maßnahmen nicht konsequent umgesetzt, Systeme nicht regelmäßig getestet oder bestehende Infrastrukturen nicht kontinuierlich angepasst werden – das ist aber wichtig, da sich die Sicherheitslage permanent verändert.
Neue Angriffsmethoden, Schwachstellen, geopolitische Entwicklungen und technologische Abhängigkeiten erzeugen einen dauerhaften Anpassungsdruck. Informationssicherheit ist deshalb kein einmaliges Projekt, sondern ein fortlaufender Prozess. Organisationen müssen ihre Sicherheitsmaßnahmen kontinuierlich validieren, aktualisieren und an neue Bedrohungslagen anpassen.
Cybersecurity ist Chefsache
Gleichzeitig steigt der Druck auf Betreiber kritischer Infrastrukturen, öffentliche Einrichtungen und nachgelagerte Organisationen. Behörden wie das BSI kontrollieren zunehmend die Umsetzung regulatorischer Anforderungen. Bei unzureichender Umsetzung drohen nicht nur Sicherheitsrisiken, sondern auch finanzielle Sanktionen, Reputationsschäden und haftungsrelevante Konsequenzen für Verantwortliche. Besonders für Geschäftsführungen und Leitungsebenen wird Cybersecurity damit zur ‚Chefsache‘. Die Frage lautet längst nicht mehr, ob Sicherheitsmaßnahmen umgesetzt werden müssen, sondern wie belastbar und wirksam diese Maßnahmen im Ernstfall tatsächlich sind.
Entscheidend ist dabei, die Handlungsfähigkeit in Krisen- oder Notfallsituationen sicherzustellen. Dazu gehören funktionierende Incident-Response-Prozesse, belastbare Backup- und Recovery-Konzepte, technische Segmentierung sowie klar definierte Notfallabläufe. Auch regelmäßige Audits, Sicherheitsprüfungen wie Pentesting und abgestimmte Kommunikationsprozesse spielen eine zentrale Rolle. Wirksam wird Informationssicherheit erst dann, wenn technische, organisatorische und personelle Maßnahmen aufeinander abgestimmt sind.
Entsprechend empfiehlt sich ein ganzheitlicher Ansatz. Wichtige Schritte sind unter anderem:
➤ initiale GAP und Risikoanalysen zur Identifikation struktureller Schwachstellen
➤ Implementierung eines Informationssicherheits- und Business-Continuity-Managements mit klaren Verantwortlichkeiten und definierten Prozessen
➤ regelmäßige interne und externe Audits zur Überprüfung bestehender Maßnahmen
➤ technische und physische Security Tests zur Bewertung realer Angriffsszenarien
➤ Entwicklung von Sicherheitskonzepten für unterschiedliche Schutzbedarfe
➤ regelmäßige Awareness- und Management-Schulungen zur Reduzierung menschlicher Fehlerquellen
➤ durchdachte Disaster-Recovery und Krisenmanagement-Konzepte zur Sicherstellung der Betriebsfähigkeit im Notfall
Die Integration dieser Maßnahmen erfordert in vielen Fällen keine vollständige Neuausrichtung bestehender Strukturen. Häufig geht es vielmehr darum, vorhandene Sicherheitsprozesse konsequent weiterzuentwickeln, technische Maßnahmen realistisch zu überprüfen und organisatorische Verantwortlichkeiten klar zu definieren.
Fazit
Cybersecurity endet damit nicht bei regulatorischer Compliance. Entscheidend ist, ob Sicherheitsmaßnahmen im operativen Betrieb funktionieren und Organisationen auch unter realen Angriffsbedingungen handlungsfähig bleiben. Genau hier zeigt sich der Unterschied zwischen wirksamer Cybersecurity und reiner „Papersecurity“. Sicherheitsmaßnahmen müssen regelmäßig überprüft, angepasst und unter realistischen Bedingungen getestet werden. Andernfalls bleiben Prozesse, Richtlinien und Sicherheitskonzepte häufig reine Theorie. Denn im Ernstfall entscheidet nicht die Qualität der Dokumentation über die Widerstandsfähigkeit einer Organisation, sondern ihre tatsächliche Krisen- und Handlungsfähigkeit.