Kein Sicherheitsproblem — ein Entscheidungsproblem

„Wir haben kein Sicherheitsproblem.” Das ist ein Satz, den wir in der Beratung regelmäßig hören — meistens kurz vor dem Moment, an dem sich zeigt, dass er nicht stimmt. Nicht weil die Aussage bewusst falsch wäre, sondern weil sie auf dem falschen Maßstab beruht.

Was viele Unternehmen tatsächlich haben, ist ein Entscheidungsproblem.

Der Unterschied zwischen Aktivität und Steuerung

Die meisten Organisationen sind in Sachen Cybersecurity keineswegs untätig. Es gibt Antivirussoftware. Es gibt Backup-Konzepte, zumindest auf dem Papier. Es gibt Awareness-Schulungen, einen IT-Dienstleister, der sich um die Systeme kümmert, vielleicht sogar eine ISO-27001-Zertifizierung in Planung.

Was fehlt, ist Klarheit in vier Fragen, die Führung erfordert: Wer trägt Verantwortung für welche Risiken? Was ist im Unternehmen wirklich kritisch — und was nicht? Welche Risiken werden bewusst akzeptiert, und welche müssen reduziert werden? Und wer entscheidet das?

Wenn niemand auf diese Fragen klare Antworten hat, entsteht kein koordiniertes Sicherheitsprogramm. Es entsteht Beschäftigung: Maßnahmen werden ergriffen, weil sie üblich sind, weil ein Anbieter sie empfohlen hat, weil „wir damit schon immer so” arbeiten. Mehr Maßnahmen bedeuten aber nicht mehr Wirkung. Mehr Aktivität bedeutet nicht mehr Kontrolle.

Was „die IT soll sich darum kümmern” kostet

Das Muster sieht in vielen Unternehmen gleich aus: Die IT soll das Sicherheitsniveau heben. Das Risiko soll sinken, aber ohne zusätzliche Ressourcen. Das Budget soll reichen, aber nicht auffallen. Und wenn etwas passiert, ist es zuerst ein IT-Problem.

In dieser Konstellation ist die IT in einer unlösbaren Situation. Sie kann technische Maßnahmen umsetzen. Sie kann aber keine Priorisierungsentscheidungen treffen, die in die Geschäftsstrategie eingreifen. Sie kann keine Risikoakzeptanz beschließen. Sie kann nicht entscheiden, welcher Prozess im Krisenfall zuerst wiederhergestellt werden muss — und welcher warten kann.

Das sind Führungsentscheidungen. Und sie fallen an die Geschäftsführung zurück, ob das gewünscht wird oder nicht. Spätestens dann, wenn ein Vorfall eintritt.

Sicherheit durch Führung

Cybersecurity ist keine IT-Aufgabe mit etwas Management drumherum. Sie ist eine Führungsaufgabe mit technischer Umsetzung. Der Unterschied ist nicht akademisch — er zeigt sich im Ernstfall.

Eine Führungsaufgabe bedeutet: Es gibt klare Zuständigkeiten, die von der Leitungsebene festgelegt und verantwortet werden. Es gibt Priorisierungen, die aus der Geschäftsstrategie abgeleitet sind, nicht aus der IT-Budget-Diskussion. Es gibt ein Lagebild, das die Geschäftsführung versteht und auf dessen Basis sie Entscheidungen treffen kann. Und es gibt Entscheidungen — nicht nur Aktivitäten.

Ein Cyber Governance Setup setzt genau hier an: Es schafft die Strukturen, die Cybersecurity von einem IT-Projekt zu einer Managementdisziplin machen — mit klaren Verantwortlichkeiten, messbaren Zielen und einer Entscheidungslogik, die im Alltag trägt.

Die eigentliche Frage

Die richtige Prüffrage für Führungskräfte lautet nicht: „Haben wir genug gemacht?” Sie lautet: „Haben wir die richtigen Entscheidungen getroffen?”

Wer sich diese Frage ehrlich stellt und keine klare Antwort hat, hat kein Technikproblem. Er hat eine Governance-Lücke — und die lässt sich schließen, ohne ein einziges neues Tool zu kaufen.

Fazit

Cybersecurity scheitert selten an fehlender Technik. Sie scheitert an fehlender Führung: unklaren Zuständigkeiten, vertagen Entscheidungen und einem Lagebild, das niemand auf der Leitungsebene wirklich kennt. Wer das ändert, braucht kein größeres Budget — sondern klarere Entscheidungen.