Wer schützt was? – Warum Informationssicherheit Chefsache ist

Wer schützt was? – Warum Informationssicherheit Chefsache ist

Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.

Die operative IT kann und muss viel leisten – aber sie entscheidet nicht über Risikotoleranzen, Budgets, Prioritäten und Kompromisse zwischen Time-to-Market und Sicherheit. Genau dort verläuft die eigentliche Frontlinie: beim Setzen von Zielen, im Abwägen von Risiken, im Durchsetzen von Standards und in der Vorbildfunktion des Top-Managements.

Rechtlicher Druck und persönliche Verantwortung der Führung

Die vergangenen Jahre haben den regulatorischen Rahmen massiv nachgeschärft. Mit NIS2 sind Managementpflichten, Meldefristen und Sanktionsrahmen in der EU spürbar verschärft worden. DORA bringt im Finanzsektor eine Detailtiefe, die weit über klassische IT-Standards hinausgeht, inklusive Tests, Vorfallklassen und Drittparteienaufsicht. Die DSGVO verankert Haftungsfragen rund um personenbezogene Daten ebenso wie strenge Meldepflichten und Transparenzanforderungen. Gemeinsam ist all diesen Regelwerken: Sie adressieren ausdrücklich die Unternehmensleitung. Die Botschaft ist eindeutig: Sicherheit ist Governance, nicht nur Technik.

Damit einher geht ein Kulturwandel. „Ich habe das an die IT delegiert“ schützt Führungskräfte nicht mehr – weder reputationsseitig noch rechtlich. Erwartet werden dokumentierte Entscheidungen, regelmäßige Reviews, klare Verantwortlichkeiten, ausreichende Ressourcen und die Fähigkeit, im Vorfall professionell zu handeln.

Governance, Rollen und Verantwortlichkeiten: Drei Verteidigungslinien

Informationssicherheit funktioniert am besten, wenn sie in ein klares Governance-Modell eingebettet ist. Bewährt hat sich das Konzept der Three Lines of Defense:

• Erste Linie: Fachbereiche und IT-Betrieb. Hier entstehen Risiken und hier werden sie im Alltag behandelt – durch sichere Prozesse, saubere Berechtigungen, Patches, Härtung, Monitoring, klare Arbeitsanweisungen.
• Zweite Linie: Informationssicherheitsbeauftragter (ISB/CISO), Datenschutz, Compliance und Risikomanagement. Diese Ebene gibt Methoden, Policies und Standards vor, überwacht die Einhaltung, misst Wirksamkeit, steuert Programme und berichtet unabhängig an die Geschäftsleitung.
• Dritte Linie: Interne Revision bzw. externe Prüfer. Sie prüfen unabhängig das gesamte System und geben der Unternehmensleitung Sicherheit über den Reifegrad.

Für die Geschäftsführung folgt daraus eine Leitfrage: Sind diese drei Linien in unserem Haus sauber aufgestellt, klar abgegrenzt und mit ausreichendem Durchgriffsrecht versehen? Ohne diese Klarheit entsteht Schatten-Governance, in der Verantwortung diffundiert – bis zur Krise.

Strategie, Risikobereitschaft und Zielbilder

Sicherheit ohne Zielbild bleibt Flickwerk. Die Geschäftsführung muss festlegen, welches Risikoniveau das Unternehmen akzeptiert und welche Prinzipien gelten. Dazu gehören Entscheidungen über:

• Risikobereitschaft (Risk Appetite): Welche Arten von Risiken sind tolerierbar, welche nicht? Was ist „red line“?
• Prioritäten: Welche Geschäftsprozesse sind kritisch? Welche Daten sind „Crown Jewels“? Wofür gibt es Nulltoleranz?
• Architekturprinzipien: Zero Trust, Least Privilege, Defense in Depth, Security by Design/Default.
• Zeitachsen: Bis wann müssen Mindeststandards erreicht sein? Welche Meilensteine gelten?

Ein solches Zielbild ist kein technisches Detaildokument, sondern ein Management-Statement, an dem sich Budget, Roadmap und Metriken ausrichten.

Vom Ziel zur Umsetzung: ISMS als Managementsystem

Standards wie ISO 27001 und der BSI IT-Grundschutz liefern hierfür erprobte Vorgehensmodelle. Ein Informationssicherheits-Managementsystem (ISMS) übersetzt die Managementziele in wiederkehrende Routinen: Risiken werden identifiziert, bewertet, behandelt; Maßnahmen werden geplant, umgesetzt, überprüft; Erkenntnisse fließen zurück („Plan–Do–Check–Act“). Wichtig ist: Das ISMS ist kein Papierprojekt, sondern ein Managementsystem mit Kennzahlen, Verantwortlichkeiten und regelmäßigen Reviews auf Vorstandsebene.

Die Unternehmensleitung entscheidet nicht über jede Kontrollliste – aber sie überprüft, ob das System wirkt: ob Risiken sinken, Vorfälle schneller erkannt werden, Wiederherstellungszeiten eingehalten, Lieferanten abgesichert, Audits bestanden werden.

Führung als Vorbild: Kultur schlägt Kontrolle

Sicherheitskultur entsteht nicht durch Mails mit „Bitte beachten!“. Sie entsteht durch gelebtes Verhalten. Wer als Vorstand 2-Faktor-Authentifizierung umgeht, weil es „nervt“, sendet ein klares Signal. Wer in Awareness-Trainings sichtbar teilnimmt, in Managementrunden Sicherheitskennzahlen diskutiert und Ausnahmen nur befristet genehmigt, ebenso.

Kultur bedeutet auch: Fehler dürfen gemeldet werden, ohne Gesichtsverlust. Eine starke Sicherheitsorganisation lebt von früher Meldung, nicht von vertuschten Beinahe-Unfällen. Das ist Chefsache – weil nur die Führung das Klima setzen kann, in dem Meldungen willkommen sind und Konsequenzen fair, aber konsequent gezogen werden.

Sicherheit als Querschnitt: HR, Einkauf, Recht, PR, Produkt, Betrieb

Informationssicherheit ist Teamarbeit über Bereichsgrenzen hinweg. Die IT betreibt Firewalls, Identity- und Patch-Management. Aber:

• HR sichert Onboarding/Offboarding, Vertraulichkeitsvereinbarungen, Schulungen, Rollenfreigaben.
• Einkauf verankert Sicherheitsanforderungen in Verträgen, fordert Nachweise (ISO/TISAX/SOC2), prüft kritische Drittparteien.
• Recht/Datenschutz steuern DPIAs, TOMs, Meldepflichten, Datenverträge, Exportkontrollen.
• PR/Kommunikation bereitet Krisenkommunikation vor, koordiniert Botschaften, vermeidet Informationslecks.
• Produkt/Entwicklung implementieren Security by Design, SBOMs, sichere Update-Mechanismen, Code-Reviews.
• Betrieb/Facility stellt physische Sicherheit, Zutritt, Umweltmonitoring, Notstrom sicher.
• Fachbereiche tragen Asset-Ownership, definieren Schutzbedarfe, priorisieren Maßnahmen.

Ohne orchestrierende Führung verläuft diese Zusammenarbeit zufällig. Mit Führung entsteht ein Programm.

Lieferkettensicherheit: Das schwächste Glied bestimmt die Kette

Viele Vorfälle beginnen nicht im eigenen Datacenter, sondern beim Dienstleister: kompromittierte Wartungszugänge, unsichere Cloud-Konfigurationen, lax gehandhabte Admin-Konten. Das Management muss Third-Party-Risiken als strategisches Thema behandeln: Tiering kritischer Lieferanten, Mindestanforderungen, Prüfmechanismen, Exit-Pläne. Es reicht nicht, Zertifikate abzuheften. Entscheidend ist, was geprüft wird, wie häufig und welche Konsequenzen schlechte Ergebnisse haben.

Produkt- und Entwicklungssicherheit: Secure by Design als Wettbewerbsfaktor

Wer digitale Produkte oder vernetzte Geräte anbietet, trägt besondere Verantwortung. Das Top-Management muss sicherstellen, dass der Secure Development Lifecycle verbindlich ist: Bedrohungsmodellierung, Architektur-Reviews, automatisierte Sicherheits-Scans (SAST/DAST/Dependency), Secrets-Management, signierte Builds, sichere Update-Ketten, koordinierte Vulnerability-Disclosure-Prozesse. Kunden honorieren nachweisbar sichere Produkte – Aufsichtsbehörden erst recht.

Cloud, SaaS und Schatten-IT: Verantwortung klären

Die Cloud verlagert nicht die Verantwortung, sie teilt sie neu. Führungskräfte müssen wissen, wer wofür verantwortlich ist (Shared Responsibility), welche Nachweise vom Anbieter benötigt werden und welche Kontrollen in der eigenen Sphäre greifen (Identitäten, Zugriffe, Datenklassifikation, Logging, Backup/Restore). Besonders riskant ist Schatten-IT: einzelne Teams buchen SaaS-Dienste, die nie durch den Sicherheitsprozess liefen. Ohne klare Policies, Freigabewege und Transparenz wird aus Flexibilität ein unkalkulierbares Risiko.

OT, Standorte und physische Risiken

In Produktion, Logistik oder Gebäudetechnik verschmelzen IT und Operational Technology (OT). Angriffe auf Steuerungen, Fernwartungszugänge oder alte Protokolle können reale Schäden auslösen. Die Geschäftsleitung muss für OT-spezifische Schutzprinzipien sorgen: Zonen/Conduits, strikte Fernwartungsprozesse, Patch-Fenster und Kompensationsmaßnahmen, Monitoring spezialisierter Protokolle, Notfallpläne, Safety-Integration – und vor allem: klare Zuständigkeit zwischen Produktion, Facility und IT.

Krisenfähigkeit: Wenn es knallt, zählt Minuten-Management

Kein System ist unangreifbar. Entscheidend ist daher: Wie gut reagieren wir? Das ist Führungsdisziplin. Tabletop-Übungen mit Geschäftsführung, ISB/CISO, IT, Recht, PR und Fachbereichen zeigen gnadenlos, ob Zuständigkeiten klar sind, Meldewege funktionieren, Entscheidungen getroffen werden, ohne in Endlosschleifen zu geraten. Die Unternehmensleitung verantwortet:

• Benennung eines Krisenstabs mit definierten Rollen,
• Vorfallklassen und Eskalationskriterien,
• vorab freigegebene Kommunikationslinien (intern/extern/Behörden),
• die Fähigkeit, rechtzeitig zu melden (NIS2/DSGVO/vertraglich),
• den Mut, faktenbasiert zu kommunizieren, statt zu beschönigen.

Wer hier vorbereitet ist, reduziert Schäden, schützt Reputation und erfüllt Pflichten.

Metriken und Berichte: Sicherheit messbar machen

Was das Management misst, wird gemacht. Gute Kennzahlen sind wenige, belastbare und trendfähige Indikatoren, die Wirkung abbilden:

• Risikotrend: Top-Risiken, Rest-Risikoentwicklung, umgesetzte Maßnahmen.
• Resilienz: Zeit bis Erkennung (MTTD), Zeit bis Eindämmung/Behebung (MTTR), Wiederherstellungs-Quote/-Zeit ggü. RTO/RPO.
• Kontrolllage: MFA-Abdeckung, Patch-SLAs (kritische Schwachstellen innerhalb 7/14/30 Tagen), Logging-Abdeckung kritischer Systeme, Rezertifizierungsquoten von Zugängen.
• Lieferkette: Anteil kritischer Lieferanten mit aktuellem Nachweis, offene Findings, getestete Exit-Strategien.
• Awareness & Kultur: Trainingsquote, Phishing-Klickrate und Meldequote, Anzahl gemeldeter Beinahe-Vorfälle.
• Compliance: interne/externe Auditergebnisse, Abweichungen, Fristenerfüllung.

Solche KPIs gehören auf die Agenda von Vorstandssitzungen – quartalsweise mindestens.

Budget, Business Case und Cyberversicherung

Sicherheit kostet – aber Vorfälle kosten mehr. Die Unternehmensleitung muss Investitionen priorisieren, die Risiken messbar senken und Betriebseffizienz steigern: Identity und MFA, Vulnerability/Patch-Automation, Backup-Immutability und Restore-Tests, SIEM/SOAR mit klaren Use-Cases, Härtungs- und Baseline-Programme, DevSecOps-Automationen. Cyberversicherungen können finanzielle Folgen abfedern, ersetzen aber keine Kontrollen; im Gegenteil: Versicherer verlangen Reifegrade und verweigern Leistungen bei grober Fahrlässigkeit.

Menschen befähigen: Rollen, Schulung, Anreize

Ohne Menschen scheitert jede Kontrolle. Führung bedeutet, Ressourcen für rollenbasierte Schulung bereitzustellen: Management-Briefings (Risiken, Meldepflichten, Krisenrollen), Entwicklertrainings (sichere Patterns, SBOMs), Administratoren (Härtung, Logging, Forensik-Basics), Fachbereiche (Datenklassifikation, sichere Kollaboration). Positives Verhalten gehört anerkannt: Meldungen von Schwachstellen, gute Praxis in Teams, Champions-Programme. Verbote allein erzeugen Umgehungsstrategien – sinnvolle, nutzerfreundliche Lösungen erzeugen Akzeptanz.

Operative Eckpfeiler, die Chefs kennen sollten

Es hilft, wenn Führungskräfte die großen Stellhebel kennen:

• IAM: Klare Rollen, Least Privilege, Rezertifizierungen, PAM für Admins, MFA überall – besonders für privilegierte Zugänge.
• Vulnerability/Patch: Kontinuierliches Scannen, Risiko-basierte SLAs, Ausnahmen befristet und kompensiert, Reportings bis ins Management.
• Logging/Monitoring: Zentrale Logs, definierte Use-Cases, Alarme mit Verantwortlichen, forensische Beweisfähigkeit.
• Backup/Restore: 3-2-1-Regel, Offline/immutable Backups, regelmäßige Restore-Tests, dokumentierte Wiederanlaufpläne.
• BCM/Notfall: BIA-basierte Prioritäten, getestete Notfallprozeduren, geübte Stabsarbeit, Lieferanten in Notfallketten eingebunden.

Diese Säulen liefern die höchste Risikoreduktion pro investiertem Euro.

Ein 100-Tage-Programm für Vorstände

Wer morgen anfangen will, beginnt so:

• Tage 1–30: Mandat und Leitlinie erneuern, Lenkungskreis etablieren, Top-Risiken bestätigen, Quick Wins freigeben (MFA für Admins, Backup-Immutability, Offboarding-Lücken schließen).
• Tage 31–60: Berichtslage definieren (KPIs), Policy-Stack kurz und verbindlich verabschieden, Lieferantentiering starten, erste Tabletop-Übung terminieren.
• Tage 61–100: Kernkontrollen mit Fristen (Patch-SLAs, Zugriffs-Rezertifizierung), Awareness-Kampagne mit Führung als Vorbild, Auditplan und Management-Review turnusmäßig verankern.

Nach 100 Tagen liegen sichtbare Fortschritte vor – und ein Takt, der Resilienz erzeugt.

Häufige Fehlannahmen – und was stattdessen gilt

• „Wir sind zu klein, um Ziel zu sein.“ Gerade KMU sind attraktiv, oft als Sprungbrett in größere Ketten. Sicherheit skaliert – auch mit schlanken Mitteln.
• „Wir sind in der Cloud, also sicher.“ Verantwortung teilt sich; Fehlkonfigurationen sind eine der häufigsten Ursachen für Datenabflüsse.
• „Ein Zertifikat reicht.“ Zertifikate sind Momentaufnahmen. Entscheidend ist gelebte Praxis, nicht das Logo auf der Website.
• „Schulung einmal im Jahr genügt.“ Verhalten ändert sich durch Kontinuität, Praxisnähe und Vorbild – nicht durch Folien allein.
• „Das regelt die IT.“ Die IT setzt um; Prioritäten, Ressourcen und Risikotoleranz sind Managemententscheidungen.

Praxisbeispiel: Wenn Lieferkette und Kultur entscheiden

In einem international tätigen Unternehmen kam es zu einem gravierenden Datendiebstahl. Ursache war kein direkter Angriff auf die IT-Infrastruktur, sondern ein kompromittierter Account eines externen Wartungsdienstleisters. Die technische Sicherheitsarchitektur war grundsätzlich solide, doch das Lieferantenmanagement hatte versäumt, Sicherheitsanforderungen vertraglich zu fixieren, Nachweise einzufordern und privilegierte Zugänge regelmäßig zu rezertifizieren. Hinzu kam eine Kultur, in der Ausnahmen großzügig, aber unbefristet gewährt wurden. Erst nachdem der Vorstand das Thema zur Chefsache erklärte, wurden Tiering, Mindestanforderungen, Rezertifizierung und Notfall-Exit-Strategien verbindlich; parallel wurden Admin-Zugriffe auf PAM und MFA umgestellt. Ergebnis: Angriffsfläche reduziert, Auditbefunde geschlossen, erneute Vorfälle aus der Richtung blieben aus. Der Unterschied lag nicht in einem „magischen Tool“, sondern in Führung, Klarheit und Konsequenz.

Fazit: Entscheidungen fallen nicht im Serverraum, sondern im Vorstandsbüro

Die IT kann schützen, was ihr anvertraut wird. Sie kann Systeme härten, Netzwerke überwachen und Vorfälle analysieren. Doch die Entscheidung, was geschützt werden soll, welche Risiken akzeptabel sind und welche Prioritäten gelten, fällt nicht im Serverraum, sondern im Vorstandsbüro. Informationssicherheit ist Strategie, Governance und Kultur – und damit Chefsache. Nicht als Sonntagsrede, nicht als Unterschrift unter Policies, sondern als gelebte Führungsaufgabe mit Zielen, Kennzahlen, Ressourcen, Vorbildfunktion und Konsequenz.

Wer diesen Anspruch annimmt, erntet mehr als Compliance: schnellere Reaktion im Ernstfall, geringere Ausfallzeiten, robustere Lieferketten, vertrauenswürdigere Produkte – und ein Fundament, auf dem Innovation sicher wachsen kann. In einer Welt, in der digitale Risiken komplexer und vernetzter werden, wird genau das zum Wettbewerbsvorteil. Führung macht den Unterschied. Und Informationssicherheit beginnt – und gelingt – an der Spitze.