Corporate Governance Inside
Herausforderung Unternehmensüberwachung heute
Cybersicherheit unter Druck
Warum Cybersicherheit heute wichtiger ist denn je
In einer zunehmend hyper-digitalisierten1 Welt ist Cybersicherheit nicht länger ein rein technisches Thema, sondern eine strategische Führungsaufgabe – sowohl auf Vorstandsebene als auch im Aufsichtsrat (vgl. Allianz Risk Barometer 2025). Die schnelle Einführung von Technologien wie Cloud Computing, künstlicher Intelligenz (KI) und dem Internet of Things (IoT) schafft neue Innovationspotenziale, erhöht jedoch gleichzeitig die Angriffsfläche erheblich. Insbesondere generative KI verschärft die Bedrohungslage: Sie ermöglicht die automatisierte Erstellung von Phishing-E-Mails, Deepfakes und synthetischen Identitäten, die klassische Schutzmechanismen umgehen und gezielt menschliches Vertrauen ausnutzen. Parallel dazu verschärfen geopolitische Spannungen die Lage. Staatlich unterstützte Cyberoperationen nehmen zu – häufig ohne eindeutige Zuordnung. Länder wie China und Russland werden in Bedrohungsanalysen regelmäßig genannt (z.B. Office of the Director of National Intelligence: Annual Threat Assessment 2024). Die Angriffe sind zunehmend strategisch, persistent und hochentwickelt – mit Fokus auf kritische Infrastrukturen, Lieferketten und geistiges Eigentum. Die schwierige Attribution und die Vermischung staatlicher und nicht-staatlicher Akteure erschweren effektive Gegenmaßnahmen. Ein exemplarischer Vorfall war 2024 der Angriff auf die U.S. Cybersecurity and Infrastructure Security Agency (CISA), bei dem Schwachstellen in Ivanti-VPN-Produkten ausgenutzt wurden. Trotz intensiver Ermittlungen konnte kein Verursacher identifiziert werden – ein Beispiel für die wachsende Intransparenz und Komplexität moderner Cyberbedrohungen. Neben der technischen Bedrohungslage wächst auch der regulatorische Druck. Neue Vorgaben wie NIS2, der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA) setzen neue Maßstäbe für Cybersicherheits-Governance. Sie fordern • robuste technische und organisatorische Kontrollen, • klare Meldepflichten bei Sicherheitsvorfällen • sowie die Integration von Cybersicherheit in Risiko- und Compliance-Strategien. Diese Entwicklungen machen deutlich: Cybersicherheit ist heute ein zentraler Bestandteil guter Unternehmensführung – und muss aktiv durch Vorstand und Aufsichtsrat gesteuert werden. Von regulatorischer Compliance zur praktischen Cybersicherheit Die europäische NIS2‑Richtlinie verdeutlicht den wachsenden regulatorischen Fokus auf Verantwortlichkeit. Verstöße – etwa das Unterlassen von Meldungen oder fehlende Risikomanagementmaßnahmen – können zu Bußgeldern von bis zu 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen führen; für wichtige Einrichtungen gelten 7 Mio. € oder 1,4 Prozent. Darüber hinaus können Führungskräfte persönlich haftbar gemacht werden, einschließlich öffentlicher Benennung, Compliance‑Anordnungen und zeitweiligen Managementverboten bei wiederholten Verstößen (Europäische Kommission, 2020, Cyber Resilience Act). Diese Vorschriften betreffen nicht nur klassische kritische Infrastrukturen. Der CRA verpflichtet Hersteller und Softwareanbieter zudem, Cybersicherheitsfunktionen über den gesamten Produktlebenszyklus hinweg zu integrieren. Nicht konforme Produkte können vom EU‑Markt ausgeschlossen werden, was Umsatz und Reputation gefährdet (ENISA, 2020, NIS Directive 2 Overview). Diese Entwicklungen betonen den aktuellen Paradigmenwechsel: Cybersicherheit wird nicht mehr als rein technisches Thema betrachtet, sondern als strategische Notwendigkeit. Immer häufiger berichten Chief Information Security Officers (CISOs) direkt an den Vorstand und den Aufsichtsrat, sodass Cybersicherheit zum Kernbestandteil des Risikomanagements wird. Für viele Unternehmen bedeutet dies, Governance‑Strukturen neu zu denken, in Compliance‑Fähigkeiten zu investieren, funktionsübergreifend zusammenzuarbeiten und Cybersicherheit in alle Entscheidungsebenen einzubetten. Die finale Verantwortung für Cybersicherheit liegt zuletzt jedoch bei der Geschäftsführung. Auch wenn spezialisierte Fachkräfte für die Umsetzung technischer und organisatorischer Schutzmaßnahmen zuständig sind, bleibt die Geschäftsführung in der Pflicht, den umfassenden Schutz vor Cyberrisiken sowie die Einhaltung regulatorischer Anforderungen sicherzustellen. Dazu gehören auch die regelmäßige Kommunikation mit dem Aufsichtsrat sowie die Berichterstattung über den Stand der Cybersicherheit. Der Aufsichtsrat übernimmt dabei eine aktive Kontrollfunktion. Er muss gewährleisten, dass sowohl seine eigenen Prozesse sicher gestaltet sind als auch die Maßnahmen der Geschäftsleitung wirksam greifen. Um dieser Aufgabe gerecht zu werden, ist ein solides Verständnis für die technischen, rechtlichen und strategischen Aspekte der Informationssicherheit erforderlich. Eine kontinuierliche Überprüfung und Bewertung der Sicherheitslage sind unerlässlich. Ein spezialisiertes Cyber-Gremium im Aufsichtsrat kann hierbei eine zentrale Rolle spielen. Dieses sollte mit Expertinnen und Experten besetzt sein, die als Bindeglied zwischen Aufsichtsrat und Unternehmensleitung fungieren. Es informiert über regulatorische Entwicklungen, bewertet die Umsetzung von Sicherheitsmaßnahmen und stellt sicher, dass die Mitglieder des Aufsichtsrats über die notwendige Cyberkompetenz verfügen. Letztlich ist es Aufgabe des Aufsichtsrats, die Geschäftsführung dazu anzuhalten, wirksame Schutzmaßnahmen zu ergreifen – zum Wohl des Unternehmens, seiner Mitarbeitenden, Kunden und Partner.
Pragmatismus in der Umsetzung: von Bewusstsein zu Handlung Angesichts wachsender regulatorischer Anforderungen reicht es für Unternehmen nicht mehr aus, lediglich formale Compliance nachzuweisen. Vielmehr wird erwartet, dass sie einen strukturierten, proaktiven und belegbaren Ansatz zur Steuerung von Cyberrisiken etablieren. Dies umfasst sowohl technische Schutzmaßnahmen als auch organisatorische Prozesse, die in die gesamte Unternehmensführung integriert sind. Zur Umsetzung greifen viele Organisationen auf etablierte Rahmenwerke zurück – darunter das NIST Cybersecurity Framework 2.0 oder die ISO/IEC 27001. Diese Standards bieten systematische Leitlinien für die fünf Kernfunktionen der Cybersicherheit: Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung. Zertifizierungen auf Basis dieser Standards – etwa nach ISO/IEC 27001 – gelten zunehmend als Vertrauenssignal gegenüber Geschäftspartnern, Investoren und Regulierungsbehörden. Sie dokumentieren etablierte Sicherheitspraktiken, verringern den Prüfaufwand bei Audits und sind in vielen Branchen Voraussetzung für Geschäftsbeziehungen. Gleichzeitig ist zu beachten: Die Einführung und Pflege solcher Standards können ressourcenintensiv sein – insbesondere für mittelständische Unternehmen. Viele suchen daher nach pragmatischen Alternativen, die mit anerkannten Standards kompatibel sind, aber flexibler und kosteneffizienter umgesetzt werden können. Als Schnittstelle zwischen globalen Zertifizierungsstandards und pragmatischen Sicherheitsmaßnahmen können Rahmenwerke wie das Secure Controls Framework (SCF) verwendet werden. Das SCF etwa integriert über 100 internationale Standards in ein quelloffenes, kontrollzentriertes Modell und reduziert so Komplexität und Redundanzen. Vergleichbare Rahmenwerke ermöglichen es, Sicherheitskontrollen gezielt zu implementieren, Reifegrade zu bewerten und regulatorische sowie branchenspezifische Anforderungen effizient zu erfüllen. Die Cybersecurity-Studie im Mittelstand (Deloitte, 2025) zeigt: Während das Bewusstsein für Cybersicherheit deutlich gestiegen ist (58% stuften sie 2024 als „sehr wichtig“ ein, gegenüber 42% im Jahr 2019), schätzen nur 39 Prozent ihre eigene Umsetzungsfähigkeit als hoch ein. Diese Diskrepanz zwischen Anspruch und Realität unterstreicht den Bedarf an kontinuierlicher Professionalisierung. Ein zentrales Risiko bleibt dementsprechend der menschliche Faktor. Phishing-Angriffe, Social Engineering und KI-generierte Deepfakes zielen definitiv auf Mitarbeitende ab. Klassische Awareness-Trainings reichen jedoch nicht mehr aus – es braucht kontextbezogene Schulungen, die moderne Manipulationstechniken erklären und kritisches Denken fördern. Darüber hinaus muss Cybersicherheit strategisch in die Unternehmensführung eingebettet werden. Das bedeutet: • Sicherheitsinitiativen an Geschäfts- und Regulierungszielen ausrichten, • einen CISO mit direkter Berichtslinie zur Geschäftsleitung etablieren • und eine aktive Einbindung von Vorstand und Aufsichtsrat sicherstellen. Gerade für Aufsichtsräte gilt: Cyberrisiken sind heute entscheidungsrelevant – etwa bei M&A-Transaktionen, in der Lieferkette oder bei ESG-Ratings. Investoren und Regulierer erwarten Transparenz über Sicherheitslage, Vorfallhistorie und Resilienzstrategien. Eine ganzheitliche Cybersicherheitsstrategie ist heute unverzichtbar – und muss auf Ebene von Vorstand und Aufsichtsrat aktiv gesteuert werden. Die Dynamik der Bedrohungslage erfordert Wachsamkeit, Anpassungsfähigkeit und Führungsstärke, um langfristige Stabilität und Vertrauen zu sichern.
Fragen für die Praxis
1. Ist Cybersicherheit in Ihre Corporate‑Governance‑ und Risikomanagement‑Frameworks integriert? 2. Verfügt Ihre Organisation über die Rolle des CISO mit direkter Berichtslinie an die Geschäftsführung oder den Vorstand? 3. Geht Ihr Unternehmen konform mit zentralen Vorschriften wie NIS2, CRA und DORA – und wissen Sie, welche für Ihre Organisation gelten? 4. Wie nutzt Ihr Aufsichtsrat seine Rolle, um Cyberrisiken nicht nur zu überwachen, sondern strategisch zu hinterfragen und die Resilienz des Unternehmens mitzugestalten? 5. Sind Mitarbeitende geschult, Social‑Engineering‑Taktiken über Phishing E‑Mails hinaus zu erkennen, einschließlich Deepfakes und Angriffen mit synthetischen Identitäten? 6. Welche Schritte haben Sie in Richtung kontinuierlicher Verifizierung, Least‑Privilege‑Zugriff oder der Einführung einer Zero‑Trust‑Architektur unternommen? 7. Führen Sie regelmäßig Penetrationstests und Sicherheits‑Audits durch, um Schwachstellen zu identifizieren, bevor Angreifer es tun? 8. Wie wird der Aufsichtsrat über Vorfälle, Schwachstellen und regulatorische Änderungen informiert? 9. Ist Ihr Incident‑Response‑Plan aktuell, regelmäßig getestet und abteilungsübergreifend abgestimmt? 10. Haben Sie eine Cyberversicherung – und kennen Sie deren Deckungsgrenzen und Anforderungen?
Referenzen Allianz Global Corporate & Specialty (2025): Allianz Risk Barometer 2025: Die wichtigsten Geschäftsrisiken für das kommende Jahr identifizieren, abgerufen am 10.9.2025. Cybersecurity and Infrastructure Security Agency (2024): Emergency Directive 24-01: Behebung von Schwachstellen in Ivanti Connect Secure und Ivanti Policy Secure, abgerufen am 10.9.2025. Deloitte (2025): Cybersecurity im Mittelstand: Studie zur Bedrohungslage und Sicherheitsstrategien deutscher KMU, abgerufen am 10.9.2025. ENISA (2020): Herausforderungen der Cybersicherheit im Bereich Künstliche Intelligenz, Europäische Agentur für Cybersicherheit, abgerufen am 25.9.2025.
Hier können Sie das gesamte Magazin als PDF herunterladen: