D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

Wer 5G richtig verstanden hat, weiß: Der Sprung zur nächsten Mobilfunkgeneration wird nicht durch ein größeres Balkendiagramm im Speedtest definiert, sondern durch einen Architekturwechsel. 6G verspricht kein bloßes „Mehr“ an Bandbreite, sondern ein „Anders“: Netze, die sehen, hören, orten, interpretieren und entscheiden; Netze, die nicht nur Daten transportieren, sondern Bedeutung übertragen; Netze, die so eng mit Sensorik, KI und Edge-Rechenleistung verzahnt sind, dass sie zu einem operativen Sinnesorgan für Wirtschaft und Gesellschaft werden. Genau darin liegt der Kern der kommenden Welle – und die Frage, wie Unternehmen sich heute schon auf die Möglichkeiten und Pflichten von morgen vorbereiten.

Warum 6G mehr ist als „5G, aber schneller“

Die Versuchung ist groß, 6G unter die Überschrift „Gigabit mal zwei“ zu stellen. Doch dieser Blick greift zu kurz. Schon 5G hat den Paradigmenwechsel eingeleitet: weg vom „best effort“-Funk, hin zu planbaren Eigenschaften (Latenz, Jitter, Verfügbarkeit) per Network Slicing und Edge Computing. 6G setzt genau dort an – und verschiebt die Grenzwerte in vier Richtungen:

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Obwohl wir in den letzten Monaten bzw. Blogeinträgen schon relativ weit ins Detail gegangen sind, möchte ich jetzt etwas über die Entstehung des Trends berichten. Das Phänomen Bring your own Device (ByoD) ist in Europa ein relativ neuer Trend, welcher sich bisher noch nicht wirklich durchsetzen konnte.

Ursprünglich kommt er aus den USA und kam auf, weil (mobile) Devices, wie Smartphones, Tablets und auch Notebooks heutzutage kaum noch aus dem Alltag wegzudenken sind. Viele Leute haben diese Begleiter ständig bei sich und nutzen sie sowohl in ihrer Freizeit, auch im Beruf. Dies ist gerade bei den jüngeren Menschen bzw. Mitarbeitern der Fall, da diese jederzeit für alle über das Internet verfügbar sein wollen. Die Generation der Digital Natives, sprich die Generation derer, die nach 1980 geboren worden und mit Handy, Internet und Co. aufgewachsen sind, bewegen sich im Internet genauso sicher, wie in der realen Welt. Entsprechend einiger Forscher verändert sich durch ihr Verhalten, allerdings nicht nur das private Umfeld, sondern auch die Arbeitswelt. Häufig erscheinen Digital Natives, als kreativer, offener und vernetzter, weshalb die sogenannten Digital Immigrants, die Gruppe der Personen, die vor 1980 geboren worden sind, diese Fähigkeiten(von den Digital Natives) lernen müssen. So hinken sie auch was Medienkompetenz angeht häufig hinterher und fühlen sich selten ebenso im Internet zu Hause, wie ihre jüngeren Mitmenschen. Dies drückt sich auch in der Arbeitswelt aus, im Gegensatz zur Generation X, den vor 1980 geborenen, sind die Digital Natives, auch Generation Y genannt, häufig vom ersten Tag an auf der Arbeit online und vernetzt. Die Generation Y kennt eine Arbeitswelt ohne Computer und Internet nicht mehr und kann sich vermutlich auch nicht vorstellen, ohne auskommen zu müssen.Daher erwartet diese junge Generation auch mehr von einem Unternehmen und deren Infrastruktur, als vielleicht ein Mitarbeiter der Generation X. Eine dieser Erwartung könnte sein, seine eigenen Endgeräte mit an den Arbeitsplatz nehmen zu dürfen. Dieser Trend wird heute unter dem Schlagwort „Bring your own Device“ diskutiert.