Von Markus Groß auf Mittwoch, 07. August 2024
Kategorie: IT

Wer schützt was? – Warum Informationssicherheit Chefsache ist

V

iele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.

Die operative IT kann und muss viel leisten – aber sie entscheidet nicht über Risikotoleranzen, Budgets, Prioritäten und Kompromisse zwischen Time-to-Market und Sicherheit. Genau dort verläuft die eigentliche Frontlinie: beim Setzen von Zielen, im Abwägen von Risiken, im Durchsetzen von Standards und in der Vorbildfunktion des Top-Managements.

Rechtlicher Druck und persönliche Verantwortung der Führung

Die vergangenen Jahre haben den regulatorischen Rahmen massiv nachgeschärft. Mit NIS2 sind Managementpflichten, Meldefristen und Sanktionsrahmen in der EU spürbar verschärft worden. DORA bringt im Finanzsektor eine Detailtiefe, die weit über klassische IT-Standards hinausgeht, inklusive Tests, Vorfallklassen und Drittparteienaufsicht. Die DSGVO verankert Haftungsfragen rund um personenbezogene Daten ebenso wie strenge Meldepflichten und Transparenzanforderungen. Gemeinsam ist all diesen Regelwerken: Sie adressieren ausdrücklich die Unternehmensleitung. Die Botschaft ist eindeutig: Sicherheit ist Governance, nicht nur Technik.

Damit einher geht ein Kulturwandel. „Ich habe das an die IT delegiert“ schützt Führungskräfte nicht mehr – weder reputationsseitig noch rechtlich. Erwartet werden dokumentierte Entscheidungen, regelmäßige Reviews, klare Verantwortlichkeiten, ausreichende Ressourcen und die Fähigkeit, im Vorfall professionell zu handeln.

Governance, Rollen und Verantwortlichkeiten: Drei Verteidigungslinien

Informationssicherheit funktioniert am besten, wenn sie in ein klares Governance-Modell eingebettet ist. Bewährt hat sich das Konzept der Three Lines of Defense:

Für die Geschäftsführung folgt daraus eine Leitfrage: Sind diese drei Linien in unserem Haus sauber aufgestellt, klar abgegrenzt und mit ausreichendem Durchgriffsrecht versehen? Ohne diese Klarheit entsteht Schatten-Governance, in der Verantwortung diffundiert – bis zur Krise.

Strategie, Risikobereitschaft und Zielbilder

Sicherheit ohne Zielbild bleibt Flickwerk. Die Geschäftsführung muss festlegen, welches Risikoniveau das Unternehmen akzeptiert und welche Prinzipien gelten. Dazu gehören Entscheidungen über:

Ein solches Zielbild ist kein technisches Detaildokument, sondern ein Management-Statement, an dem sich Budget, Roadmap und Metriken ausrichten.

Vom Ziel zur Umsetzung: ISMS als Managementsystem

Standards wie ISO 27001 und der BSI IT-Grundschutz liefern hierfür erprobte Vorgehensmodelle. Ein Informationssicherheits-Managementsystem (ISMS) übersetzt die Managementziele in wiederkehrende Routinen: Risiken werden identifiziert, bewertet, behandelt; Maßnahmen werden geplant, umgesetzt, überprüft; Erkenntnisse fließen zurück („Plan–Do–Check–Act“). Wichtig ist: Das ISMS ist kein Papierprojekt, sondern ein Managementsystem mit Kennzahlen, Verantwortlichkeiten und regelmäßigen Reviews auf Vorstandsebene.

Die Unternehmensleitung entscheidet nicht über jede Kontrollliste – aber sie überprüft, ob das System wirkt: ob Risiken sinken, Vorfälle schneller erkannt werden, Wiederherstellungszeiten eingehalten, Lieferanten abgesichert, Audits bestanden werden.

Führung als Vorbild: Kultur schlägt Kontrolle

Sicherheitskultur entsteht nicht durch Mails mit „Bitte beachten!“. Sie entsteht durch gelebtes Verhalten. Wer als Vorstand 2-Faktor-Authentifizierung umgeht, weil es „nervt“, sendet ein klares Signal. Wer in Awareness-Trainings sichtbar teilnimmt, in Managementrunden Sicherheitskennzahlen diskutiert und Ausnahmen nur befristet genehmigt, ebenso.

Kultur bedeutet auch: Fehler dürfen gemeldet werden, ohne Gesichtsverlust. Eine starke Sicherheitsorganisation lebt von früher Meldung, nicht von vertuschten Beinahe-Unfällen. Das ist Chefsache – weil nur die Führung das Klima setzen kann, in dem Meldungen willkommen sind und Konsequenzen fair, aber konsequent gezogen werden.

Sicherheit als Querschnitt: HR, Einkauf, Recht, PR, Produkt, Betrieb

Informationssicherheit ist Teamarbeit über Bereichsgrenzen hinweg. Die IT betreibt Firewalls, Identity- und Patch-Management. Aber:

Ohne orchestrierende Führung verläuft diese Zusammenarbeit zufällig. Mit Führung entsteht ein Programm.

Lieferkettensicherheit: Das schwächste Glied bestimmt die Kette

Viele Vorfälle beginnen nicht im eigenen Datacenter, sondern beim Dienstleister: kompromittierte Wartungszugänge, unsichere Cloud-Konfigurationen, lax gehandhabte Admin-Konten. Das Management muss Third-Party-Risiken als strategisches Thema behandeln: Tiering kritischer Lieferanten, Mindestanforderungen, Prüfmechanismen, Exit-Pläne. Es reicht nicht, Zertifikate abzuheften. Entscheidend ist, was geprüft wird, wie häufig und welche Konsequenzen schlechte Ergebnisse haben.

Produkt- und Entwicklungssicherheit: Secure by Design als Wettbewerbsfaktor

Wer digitale Produkte oder vernetzte Geräte anbietet, trägt besondere Verantwortung. Das Top-Management muss sicherstellen, dass der Secure Development Lifecycle verbindlich ist: Bedrohungsmodellierung, Architektur-Reviews, automatisierte Sicherheits-Scans (SAST/DAST/Dependency), Secrets-Management, signierte Builds, sichere Update-Ketten, koordinierte Vulnerability-Disclosure-Prozesse. Kunden honorieren nachweisbar sichere Produkte – Aufsichtsbehörden erst recht.

Cloud, SaaS und Schatten-IT: Verantwortung klären

Die Cloud verlagert nicht die Verantwortung, sie teilt sie neu. Führungskräfte müssen wissen, wer wofür verantwortlich ist (Shared Responsibility), welche Nachweise vom Anbieter benötigt werden und welche Kontrollen in der eigenen Sphäre greifen (Identitäten, Zugriffe, Datenklassifikation, Logging, Backup/Restore). Besonders riskant ist Schatten-IT: einzelne Teams buchen SaaS-Dienste, die nie durch den Sicherheitsprozess liefen. Ohne klare Policies, Freigabewege und Transparenz wird aus Flexibilität ein unkalkulierbares Risiko.

OT, Standorte und physische Risiken

In Produktion, Logistik oder Gebäudetechnik verschmelzen IT und Operational Technology (OT). Angriffe auf Steuerungen, Fernwartungszugänge oder alte Protokolle können reale Schäden auslösen. Die Geschäftsleitung muss für OT-spezifische Schutzprinzipien sorgen: Zonen/Conduits, strikte Fernwartungsprozesse, Patch-Fenster und Kompensationsmaßnahmen, Monitoring spezialisierter Protokolle, Notfallpläne, Safety-Integration – und vor allem: klare Zuständigkeit zwischen Produktion, Facility und IT.

Krisenfähigkeit: Wenn es knallt, zählt Minuten-Management

Kein System ist unangreifbar. Entscheidend ist daher: Wie gut reagieren wir? Das ist Führungsdisziplin. Tabletop-Übungen mit Geschäftsführung, ISB/CISO, IT, Recht, PR und Fachbereichen zeigen gnadenlos, ob Zuständigkeiten klar sind, Meldewege funktionieren, Entscheidungen getroffen werden, ohne in Endlosschleifen zu geraten. Die Unternehmensleitung verantwortet:

Wer hier vorbereitet ist, reduziert Schäden, schützt Reputation und erfüllt Pflichten.

Metriken und Berichte: Sicherheit messbar machen

Was das Management misst, wird gemacht. Gute Kennzahlen sind wenige, belastbare und trendfähige Indikatoren, die Wirkung abbilden:

Solche KPIs gehören auf die Agenda von Vorstandssitzungen – quartalsweise mindestens.

Budget, Business Case und Cyberversicherung

Sicherheit kostet – aber Vorfälle kosten mehr. Die Unternehmensleitung muss Investitionen priorisieren, die Risiken messbar senken und Betriebseffizienz steigern: Identity und MFA, Vulnerability/Patch-Automation, Backup-Immutability und Restore-Tests, SIEM/SOAR mit klaren Use-Cases, Härtungs- und Baseline-Programme, DevSecOps-Automationen. Cyberversicherungen können finanzielle Folgen abfedern, ersetzen aber keine Kontrollen; im Gegenteil: Versicherer verlangen Reifegrade und verweigern Leistungen bei grober Fahrlässigkeit.

Menschen befähigen: Rollen, Schulung, Anreize

Ohne Menschen scheitert jede Kontrolle. Führung bedeutet, Ressourcen für rollenbasierte Schulung bereitzustellen: Management-Briefings (Risiken, Meldepflichten, Krisenrollen), Entwicklertrainings (sichere Patterns, SBOMs), Administratoren (Härtung, Logging, Forensik-Basics), Fachbereiche (Datenklassifikation, sichere Kollaboration). Positives Verhalten gehört anerkannt: Meldungen von Schwachstellen, gute Praxis in Teams, Champions-Programme. Verbote allein erzeugen Umgehungsstrategien – sinnvolle, nutzerfreundliche Lösungen erzeugen Akzeptanz.

Operative Eckpfeiler, die Chefs kennen sollten

Es hilft, wenn Führungskräfte die großen Stellhebel kennen:

Diese Säulen liefern die höchste Risikoreduktion pro investiertem Euro.

Ein 100-Tage-Programm für Vorstände

Wer morgen anfangen will, beginnt so:

Nach 100 Tagen liegen sichtbare Fortschritte vor – und ein Takt, der Resilienz erzeugt.

Häufige Fehlannahmen – und was stattdessen gilt

Praxisbeispiel: Wenn Lieferkette und Kultur entscheiden

In einem international tätigen Unternehmen kam es zu einem gravierenden Datendiebstahl. Ursache war kein direkter Angriff auf die IT-Infrastruktur, sondern ein kompromittierter Account eines externen Wartungsdienstleisters. Die technische Sicherheitsarchitektur war grundsätzlich solide, doch das Lieferantenmanagement hatte versäumt, Sicherheitsanforderungen vertraglich zu fixieren, Nachweise einzufordern und privilegierte Zugänge regelmäßig zu rezertifizieren. Hinzu kam eine Kultur, in der Ausnahmen großzügig, aber unbefristet gewährt wurden. Erst nachdem der Vorstand das Thema zur Chefsache erklärte, wurden Tiering, Mindestanforderungen, Rezertifizierung und Notfall-Exit-Strategien verbindlich; parallel wurden Admin-Zugriffe auf PAM und MFA umgestellt. Ergebnis: Angriffsfläche reduziert, Auditbefunde geschlossen, erneute Vorfälle aus der Richtung blieben aus. Der Unterschied lag nicht in einem „magischen Tool“, sondern in Führung, Klarheit und Konsequenz.

Fazit: Entscheidungen fallen nicht im Serverraum, sondern im Vorstandsbüro

Die IT kann schützen, was ihr anvertraut wird. Sie kann Systeme härten, Netzwerke überwachen und Vorfälle analysieren. Doch die Entscheidung, was geschützt werden soll, welche Risiken akzeptabel sind und welche Prioritäten gelten, fällt nicht im Serverraum, sondern im Vorstandsbüro. Informationssicherheit ist Strategie, Governance und Kultur – und damit Chefsache. Nicht als Sonntagsrede, nicht als Unterschrift unter Policies, sondern als gelebte Führungsaufgabe mit Zielen, Kennzahlen, Ressourcen, Vorbildfunktion und Konsequenz.

Wer diesen Anspruch annimmt, erntet mehr als Compliance: schnellere Reaktion im Ernstfall, geringere Ausfallzeiten, robustere Lieferketten, vertrauenswürdigere Produkte – und ein Fundament, auf dem Innovation sicher wachsen kann. In einer Welt, in der digitale Risiken komplexer und vernetzter werden, wird genau das zum Wettbewerbsvorteil. Führung macht den Unterschied. Und Informationssicherheit beginnt – und gelingt – an der Spitze.

Verwandte Beiträge