Es beginnt selten spektakulär. Eine völlig normale Nachricht im gewohnten Ton, mit der richtigen Anrede, im exakt passenden Timing. „Nur schnell freigeben“, „kurzer Login für das neue HR-Portal“, „Bestätigung der Reisekosten“ – nichts, was Angst macht. Und doch steckt dahinter inzwischen eine neue Qualität von Angriffen: Phishing, generiert und gesteuert von Künstlicher Intelligenz.

Die begleitende Grafik „Phishing mittels KI“ oben zeigt den Ablauf in fünf klaren Schritten: Links der Angreifer, der seine Texte und Täuschungen mithilfe von KI erstellt; in der Mitte die Phishing-E-Mail; rechts der Benutzer, der zieltreu adressiert wird; unten die täuschend echte Phishing-Website, die Zugangsdaten einsammelt; und der entscheidende Rückpfeil, über den die erbeuteten Informationen in Echtzeit zum Angreifer fließen. Dieser Datenstrom ist der Moment, in dem aus einer hübschen Nachricht ein Sicherheitsvorfall wird.

Vorstände lieben klare Ampeln. Grün heißt: weiter so. Rot heißt: sofort handeln. Gelb bedeutet: beobachten, vielleicht ein Projekt starten. Eine Business Impact Analyse (BIA) liefert solche Ampelfarben scheinbar auf Knopfdruck. Sie verrät, welche Prozesse kritisch sind, welche Ausfälle schmerzen, welche RTOs und RPOs gelten sollen. Das Dokument ist sauber, die Prioritäten sind sichtbar, man nickt, unterschreibt – und geht zum Tagesgeschäft über. Wochen später kommt die Frage nach dem Budget für neue Kontrollen, redundant ausgelegte Systeme, Pen-Tests oder Backup-Modernisierung. Und plötzlich wirkt die BIA erstaunlich leise. Sie beantwortet nämlich nicht die Fragen, die jetzt wirklich zählen: Wie groß ist das Risiko? Wie wahrscheinlich ist welches Szenario? Welcher Euro investiert reduziert welchen Verlust um wie viel? Was bleibt als Rest­risiko – und ist das mit unserer Risikobereitschaft vereinbar?

Genau an dieser Stelle fehlt in vielen Organisationen der nächste, entscheidende Schritt: die Risk Impact Analysis – kurz RIA. Unter RIA verstehen wir hier die systematische Übersetzung der BIA-Erkenntnisse in quantifizierte Risiken, konkrete Steuerungsoptionen und belastbare Investitionsentscheidungen. BIA beschreibt, was passiert, wenn etwas ausfällt. RIA zeigt, wie oft das realistischerweise passieren kann, wie teuer das im Erwartungswert und in Extremszenarien wird, welche Maßnahmen welchen Risikoeffekt haben und welches Rest­risiko bewusst zu akzeptieren ist. Wer diesen Schritt auslässt, produziert schöne Folien – aber keine Steuerung.

Die Verheißung von 5G ist spektakulär: deterministische Latenz, garantierbare Qualität durch Network Slicing, Rechenleistung direkt am Netzrand, Millionen adressierbarer Geräte pro Quadratkilometer. Doch je näher das Netz an kritische Geschäftsprozesse rückt, desto deutlicher zeigt sich die Gegenforderung der Aufsicht: Wer mit 5G Wertschöpfung steuert, muss 5G auch beherrschen – technisch, organisatorisch und regulatorisch. Nicht nur Telekommunikationsanbieter stehen im Fokus, sondern alle Unternehmen, die 5G in produktiven Abläufen nutzen: Industrie, Logistik, Energie, Gesundheits- und Finanzsektor. Die Fragen lauten daher nicht mehr „Wie schnell ist 5G?“, sondern: Wer trägt wofür Verantwortung? Welche Nachweise werden fällig? Wo enden Provider-SLAs – und wo beginnt die eigene Governance?

Dieser Beitrag entfaltet die Lage aus Sicht von Unternehmen: Welche EU-Vorgaben und deutschen Aufsichtslogiken gelten? Wie greifen BNetzA, BSI und BaFin ineinander? Was bedeutet das für Resilienz- und Nachweispflichten in realen 5G-Architekturen – Public Slices, Campusnetze, Hybridmodelle? Und vor allem: Wie baut man 5G so, dass Audits bestanden, Vorfälle beherrscht und Geschäftsprozesse verlässlich bleiben? Keine Panikfolklore, sondern eine praxisnahe Karte zwischen Regulierung, Resilienz und Realität.

Es gibt Frameworks, die man aus Pflichtgefühl pflegt – und es gibt solche, die den Alltag wirklich verändern. Die CIS Controls gehören zur zweiten Kategorie. Sie sind längst kein Poster mehr an der Bürowand, keine Prüfliste, die man kurz vor einem Audit abhakt, und auch kein exotischer „Nice-to-have“-Standard. Sie sind eine Betriebsanleitung für gelebte Sicherheit: priorisiert, messbar, anschlussfähig an bestehende Governance – und robust genug, um in hybriden Realitäten aus Cloud, SaaS, Remote Work und komplexen Lieferketten zu tragen. Spätestens mit der jüngsten Evolutionsstufe haben die Controls die Grenze zwischen „Security-Projekt“ und „Security-Betrieb“ endgültig verwischt. Wer sie ernst nimmt, arbeitet anders: transparenter, wiederholbarer, nachweisbarer – und vor allem wirksamer.

Vom Poster zur Betriebsanleitung

Die ursprüngliche Stärke der Controls war immer ihre Frechheit der Priorisierung: Statt alles für gleich wichtig zu erklären, benennen sie wenige Hebel, die die meisten Angriffe früh stoppen oder schnell sichtbar machen. Dieses Grundprinzip ist erhalten geblieben – aber die Controls sind erwachsen geworden. Die aktuelle Fassung versteht unter „Asset“ nicht mehr nur die Maschine unterm Schreibtisch, sondern den ganzen Zoo moderner Unternehmens-IT: Cloud-Workloads, containerisierte Dienste, SaaS-Komponenten, mobile Endgeräte, Identitäten und Konfigurationen als eigene Schutzgüter. Dass die offizielle Controls-Liste heute konsequent von 18 Themenfeldern spricht, ist kein Modedetail, sondern die logische Folge dieser Realität. Damit spiegeln die Controls eine Gegenwart, in der Angriffsflächen nicht mehr am Rechenzentrumszaun enden.

In vielen Unternehmen ist Security Awareness ein Pflichtprogramm, das Mitarbeitende mit derselben Begeisterung erwarten wie eine Steuerprüfung. Jedes Jahr eine Pflichtschulung, ein paar Folien, vielleicht ein Multiple-Choice-Test am Ende – und fertig. Das Problem: Diese Form von Sensibilisierung erreicht selten ihr Ziel. Im besten Fall haken die Teilnehmenden sie ab, im schlimmsten Fall sorgt sie für kollektives Augenrollen und den Eindruck, dass Sicherheit nur Bürokratie ist. Dabei ist Security Awareness einer der entscheidendsten Faktoren für die Informationssicherheit überhaupt. Die meisten Sicherheitsvorfälle haben menschliche Ursachen – sei es ein Klick auf einen schädlichen Link, das Teilen sensibler Daten oder das Ignorieren von Sicherheitswarnungen. Wenn Awareness-Programme nicht hängen bleiben, bleiben Lücken offen, die keine Firewall der Welt schließen kann.

Der Schlüssel zu wirksamer Awareness liegt darin, die Perspektive zu wechseln: weg von der Pflichtveranstaltung, hin zu einer Erfahrung, die relevant, verständlich und einprägsam ist. Genau das verlangt ein didaktisches Re-Design: Storytelling statt Paragrafen, Rollenrelevanz statt Gießkanne, Interaktion statt Vorlesen, Kontinuität statt Jahresmarathon, Vorbild statt Verordnung – und Messbarkeit statt Bauchgefühl.