Thought Leadership
Bei dem Thema IT-Sicherheit denken viele zuerst an Phishing, Ransomware oder veraltete Software. Doch wer mit Führungskräften spricht, merkt schnell: Die Realität ist komplexer.
Gerade in Phasen der Veränderung, beispielsweise bei Fusionen, Systemumstellungen, der Einführung neuer Tools oder dem Wechsel zu hybrider Arbeit, entstehen Risiken, die in vielen Sicherheitskonzepten derzeit noch unberücksichtigt bleiben. Dabei können sie gravierende Auswirkungen auf die Stabilität, die Compliance und die Zuverlässigkeit des Geschäftsbetriebs haben.
Drei sicherheitsrelevante Veränderungsszenarien geraten dabei besonders häufig aus dem Blick: IT-Transformationsprojekte, Unternehmenszusammenschlüsse und der Einsatz von künstlicher Intelligenz.
So unterschiedlich diese drei Bereiche sind, eines haben sie gemein: Sie gehören nicht zum klassischen Repertoire der Cybersicherheit und werden deshalb häufig unterschätzt. Dieser Beitrag zeigt die Gründe dafür auf und gibt Lösungsansätze, wie Unternehmen diese Risiken vermeiden können.
1. IT-Transformationsprojekte
Ein konkretes Beispiel für IT-Transformationsprojekte ist die anstehende Umstellung von Windows 10 auf Windows 11, die auf den ersten Blick wie ein reines IT-Update erscheint. Tatsächlich birgt sie jedoch ein hohes Risiko, da ab Oktober 2025 keine Sicherheits-Updates mehr für Windows 10 bereitgestellt werden. Unternehmen, die bis dahin nicht vollständig migriert sind, setzen sich somit unnötigen Schwachstellen und potenziellen Compliance-Verstößen aus.
Doch wie lässt sich beurteilen, ob die bestehende IT-Landschaft ausreichend auf den Wechsel vorbereitet ist? Ohne vollständige Transparenz über alle eingesetzten Endgeräte, Software-Versionen und Nutzungsmuster laufen Unternehmen Gefahr, wichtige Entscheidungen – wie die Umstellung von Windows 10 auf Windows 11 – auf Basis von Annahmen, statt belastbarer Daten zu treffen.
Digital Employee Experience (DEX)-Tools helfen dabei, diese Lücke zu schließen. Sie erfassen kontinuierlich, wie Systeme tatsächlich genutzt werden – und nicht nur, wie sie geplant sind. Damit schaffen sie nicht nur die Grundlage für fundierte Entscheidungen, sondern verbessern auch die Zufriedenheit der Endnutzer, decken Schwachstellen auf und unterstützen bei der Priorisierung von Maßnahmen. So können IT- und Sicherheitsteams Risiken frühzeitig erkennen, gezielt handeln und komplexe Umstellungen wie die Windows-Migration sicherer bewältigen.
2. Fusionen und Übernahmen
Ob bei Fusionen, Beteiligungen oder Übernahmen: Wenn zwei (oder mehr) IT-Welten aufeinandertreffen, entstehen zwangsläufig Reibungsverluste – sowohl technisch als auch organisatorisch. Systeme sind nicht kompatibel, Software-Versionen weichen voneinander ab und Berechtigungskonzepte sind nicht miteinander vereinbar. Wer hier zu schnell integriert oder zu lange auf Sicht fährt, riskiert nicht nur Ineffizienzen, sondern öffnet auch Tür und Tor für Sicherheitslücken.
Ein häufiger Fehler in M&A-Szenarien: Die IT-Integration wird als reines Infrastrukturthema betrachtet. Dabei hat sie unmittelbare Auswirkungen auf Sicherheit, Compliance und operatives Risiko. Nur mit vollständiger Transparenz über die IT-Landschaft beider Seiten – inklusive aller Endgeräte, Anwendungen und Nutzungsmuster – lassen sich fundierte Entscheidungen treffen. Welche Systeme bleiben bestehen? Welche können abgeschaltet werden? Welche bergen Risiken?
3. Künstliche Intelligenz
Kaum ein Thema wird aktuell so stark diskutiert, wie Künstliche Intelligenz – und kaum eines ist so zweischneidig. Denn während die Potenziale ohne Frage enorm sind, entstehen gleichzeitig auch neue Gefahren. Das belegt auch der „Digital Risk Report 2024“ der Cloud-Plattform AuditBoard. Demnach betrachten 78 Prozent der Unternehmen, die KI einführen, diese trotzdem als aufkommendes Risiko. Das ist nachvollziehbar, denn wer KI unkontrolliert einführt, verliert schnell die Übersicht. Welche Tools werden genutzt? Welche Daten werden verarbeitet und wo landen sie?
Besonders kritisch ist das Phänomen „Shadow AI“: Mitarbeitende nutzen KI-Tools auf eigene Faust, beispielsweise um E-Mails zu schreiben, Berichte zu analysieren oder Prozesse zu automatisieren. Das ist oft gut gemeint, aber hochriskant, denn wenn sensible Daten in offene Modelle oder nicht zertifizierte Tools gelangen, entsteht ein massives Sicherheitsrisiko. Zudem macht sich das Unternehmen angreifbar, da es die sterngen Vorgaben der geltenden Datenschutzgesetze nicht einhält. Laut Schätzungen von McKinsey ist die Nutzung nicht freigegebener KI-Tools in den vergangenen Monaten um mehr als 250 % gestiegen – trotz interner Richtlinien.
Was hilft? Auch hier lautet der erste Schritt: Sichtbarkeit schaffen. Es geht nicht um Überwachung – und das muss auch den Mitarbeitenden genauso kommuniziert werden -, sondern um einen klaren Überblick darüber, welche Software, Apps und KI-Anwendungen tatsächlich im Einsatz sind. Nur wer weiß, was in seinem digitalen Ökosystem passiert, kann Risiken systematisch bewerten und geeignete Schutzmaßnahmen ergreifen.
Fazit: Was man nicht sieht, kann man nicht schützen
Unternehmen müssen ihre Sicherheitsstrategien neu denken und umfassender aufstellen. Ein wesentlicher Grund: IT-Sicherheit ist schon lange kein rein technisches Thema mehr und kann daher nicht allein der internen IT-Abteilung überlassen werden.
Digitale Risiken entstehen heute überall dort, wo sich eine Organisation verändert, unter anderem wie oben beschrieben bei Transformationsprojekten, bei Fusionen oder beim Einsatz neuer Technologien wie KI.
Die zentrale Erkenntnis lautet: Was man nicht sieht, kann man nicht schützen. Transparenz über die digitale Landschaft ist die Grundvoraussetzung für jede wirksame Risikostrategie – sei es bei klassischer Cyberabwehr oder bei komplexeren strategischen Veränderungen. Wer hier proaktiv handelt, schützt nicht nur Systeme, sondern auch Geschäftsmodelle.
