D

ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

1) Von der Regel zum Rhythmus: Governance wird zur Betriebsdisziplin

Compliance war eine Disziplin des „Nachweisens“. Governance 2025 ist eine Disziplin des Tuns. Der Unterschied klingt subtil, ist aber grundlegend:

• Compliance fragt: „Ist das Verfahren vorhanden, dokumentiert, freigegeben?“
• Governance fragt: „Passiert das Richtige – jetzt? Und belegen die Daten, dass es wirkt?“

Damit rutscht Governance aus dem Quartalskalender in den Tagesbetrieb. Nicht, weil Prüfer ungeduldig geworden sind, sondern weil Geschäft und Risiko keine Pausen kennen. Lieferkette, Cloud, KI-gestützte Entscheidungen, bedrohte Perimeter, neue Meldepflichten – alles hängt zusammen. Eine Entscheidung „veraltet“ in Wochen, ein Vorfall skaliert in Stunden, ein Datenfluss kippt in Minuten. Governance, die nur dokumentiert, ohne zu steuern, bleibt 2025 kosmetisch.

Die praktische Übersetzung lautet: Continuous Controls Monitoring statt Stichprobe, Policy-as-Code statt PDF, Runbook + Telemetrie statt Präsentation, Lessons Learned mit Terminen statt Maßnahmenliste ohne Datum. Wer das einmal lebt, spürt die Entlastung: Dieselben Daten, die den Betrieb führen, tragen die Prüfung. Dieselben Routinen, die Vorfälle eindämmen, füttern die Management-Berichte. Governance wird vom Aufsatz zum Betriebssystem.

2) Das neue Panorama: Fünf Treiber, die Governance neu ordnen

a) Resilienz als Regulierungsprinzip

DORA, NIS2 und sektorspezifische Aufsichten verlagern den Fokus: weg von Einzelkontrollen, hin zur Fähigkeit, Störungen zu verkraften. Das ist kein rhetorischer Trick, sondern eine Beweislastumkehr: „Zeigen Sie, wie Sie innerhalb definierter Zeitfenster wieder handlungsfähig sind. Üben Sie das. Messen Sie das.“ Resilienz ist – messbar – der neue Kern.

b) Verantwortung der Führung

Die Zeiten, in denen „das die IT macht“, sind vorbei. Governance ist Chefsache – mit persönlicher Haftung in einigen Regimen. Vorstände und Geschäftsführungen müssen Risiken verstehen, Prioritäten setzen, Zielbilder vorgeben und Wirksamkeit einfordern. Nicht Mikrosteuerung, aber Entscheidungsfähigkeit unter Zeitdruck – und der Wille, Konflikte klar zu lösen (Verfügbarkeit vs. Sicherheit, Wachstum vs. Kontrolle, Tempo vs. Nachweis).

c) Software- und Lieferkettenabhängigkeit

Wertschöpfung ist heute zusammengesetzt: Cloud-Services, KI-Modelle, Open-Source-Bibliotheken, Drittland-Provider, Integratoren. Governance muss beweisen, dass diese Kette beherrscht ist: SBOM (Software Bill of Materials), VEX (Vulnerability Exploitability eXchange), signierte Builds, Attestierungen, forensische Zugriffspfade, Exit-Szenarien. Verträge ohne operatives Echo taugen 2025 nichts.

d) „Hard Rules“ für KI und Produkte

Mit dem AI Act und dem Cyber Resilience Act verschiebt sich Governance in die Produktentwicklung hinein. Sicherheit, Daten- und Modell-Governance sind Designparameter – vor dem Vertrieb, vor dem Rollout. Risikomodell, Testkaskaden, Data Governance, Human Oversight, Security-by-Design: Das sind keine ISO-Fußnoten mehr, sondern Markteintrittsbedingungen.

e) Nachweisökonomie

Prüfungen, Audits, Versicherungen, Kunden- und Partner-Due-Diligence verlangen nicht mehr bloß ein „Ja, haben wir“, sondern maschinell prüfbare Evidenz: Telemetrie, Logs, Metriken, Attestierungen, reproduzierbare Zustände. Wer das liefert, verhandelt Preise und Fristen. Wer es nicht liefert, verhandelt Ausreden.

3) Von Checklisten zur Choreografie: So sieht Governance 2025 in der Praxis aus

Es gibt keinen Königsweg – aber es gibt Muster, die funktionieren.

Governance-Architektur in drei Schichten

1. Principles & Intent: klare, von der Führung gesetzte Leitplanken („Wir priorisieren Sicherheit kritischer Prozesse vor Office-Komfort“, „KI-Modelle ohne nachvollziehbare Trainingsdaten kommen nicht in Produktion“).
2. Policy-as-Code: die Übersetzung in maschinenlesbare Regeln (Zugriff, Segmentierung, Deployment-Kriterien, Schwellen für Meldungen, Abhängigkeiten).
3. Evidenz & Rhythmus: Kennzahlen, die nicht nur „nice to know“ sind, sondern Entscheidungen auslösen (KRIs mit Eskalationslogik, SLOs mit Konsequenzen, Dashboards, die nicht dekorieren, sondern steuern).

So entstehen Governance-Loops: Regeln → Umsetzung → Messung → Korrektur. Nicht einmalig, sondern als Routine.

Vier wiederkehrende Bausteine

(1) Rollen & RACI, die im Ernstfall halten
Sobald mehrere Pflichtthemen zusammenlaufen – Sicherheitsvorfall, Lieferkettenstörung, datenschutzrechtliche Meldung, Resilienztest – scheitern Organisationen nicht an Know-how, sondern an Zuständigkeiten. Ein gutes RACI trennt klar: Wer entscheidet? Wer meldet? Wer spricht extern? Wer dokumentiert? Wer macht den Cutover? Und es funktioniert nur, wenn es geübt ist.

(2) Evidenz statt Erzählung
„Wir haben segmentiert“ ist eine Erzählung. Beweis ist: Konfigurations-Snapshots, Laufzeit-Telemetrie, automatisierte Tests, die die Isolation messen, und eine Historie, die zeigt, wann wer was geändert hat. Gleiches gilt für KI: Modellkarten, Data Provenance, Evaluationsergebnisse, Bias-Analysen, Rollback-Pfade, Human-in-the-loop-Nachweise.

(3) Laufende Überwachung – aber zielgerichtet
Continuous Controls Monitoring ist kein Alibi, um mehr Dashboards zu bauen. Es dient KRI-Steuerung: wenige, scharf definierte Risikokennzahlen mit Triggern. Beispiel:

• Mean Time to Detect & Decide bei Vorfällen,
• Anteil ungepatchter kritischer Systeme über Grenzwert X,
• Zeit vom Lieferanten-PSIRT-Hinweis bis zur eigenen Risikobewertung,
• Latenz-P99 in Slices, die kritische Prozesse tragen,
• KI-Inferenzabweichungen gegenüber Referenz (Drift).

(4) Üben, messen, verbessern
Resilienz ist ohne Proben Illusion. Tabletop-Übungen mit anschließender Härtung, technische Chaos-Tests in kontrollierten Fenstern, Melde-Drills mit echten Fristen und Formatvorgaben. Jede Übung bekommt Metriken und Folgemaßnahmen. Erst dann entsteht die Lernkurve, auf die Aufsichten und Kunden schauen.

4) Governance trifft Produkt: AI Act & CRA als Katalysator

Für viele Unternehmen ist 2025 der Moment, in dem Governance tiefer in die Produktentstehung greift als je zuvor.

KI: Vom PoC zur pflichtigen Nachvollziehbarkeit

Wer KI einsetzt, muss je nach Risikoklasse belegen: woraus das Modell entstanden ist (Datenquellen, Herkunft, Lizenz), wie es evaluiert wurde (Ziele, Fehlerraten, Bias), wie es überwacht wird (Drift, Anomalien), wie Menschen eingreifen (Oversight), wie Sicherheit eingebaut ist (Angriffsvektoren, Robustheit), und wie ein Rollback funktioniert. Das ist kein Papierakt, sondern MLOps-Governance: versionierte Pipelines, reproduzierbare Trainings, signierte Artefakte, Audit-Trails.

Governance-Falle: Teams, die großartige Modelle bauen – und keinerlei Evidenzkette hinterlassen. Das kippt in der Prüfung. Lösung: „Governance by default“ in die Toolchain packen. Nicht später „erfassen“, sondern immer mitproduzieren.

Cyber Resilience Act: Sicherheit als Produktmerkmal – und Verpflichtung

Der CRA dreht die Perspektive: Nicht der Betreiber allein trägt die Sicherheit, sondern auch der Hersteller. Pflicht: Security by Design, definierte Updatefenster, Schwachstellenmanagement, SBOM. Für Unternehmen, die Produkte entwickeln oder OEMs zuarbeiten, heißt das: Governance gehört in die Lieferkette. Ohne SBOMs, Attestierungen und PSIRT-Prozesse wird der Vertrieb zäher, die Haftung höher.

5) Lieferkette: Der blinde Fleck, der keiner mehr sein darf

„Third Parties“ sind inzwischen oft das systemische Risiko. Governance 2025 misst weniger, was im Vertrag steht, und mehr, was passiert, wenn es brennt. Vier Prüfsteine:

1. Transparenz: Wer sind die kritischen Anbieter? Wessen Ausfall legt Prozesse lahm? Ein zentrales Register, das lebt, mit Kritikalität und Abhängigkeiten – nicht als PDF, sondern als Datenbank.
2. Evidenzforderungen: SBOM, VEX, PSIRT-Feeds, Attestierungen, Audit-Feeds (z. B. Admin-Events, Sicherheitsmetriken), forensische Zugänge mit Fristen.
3. Melde- und Forensikrechte: Recht, früh informiert zu werden, in definierten Formaten. Recht, Forensikdaten zu erhalten. Pflicht, strukturiert zurückzumelden, wenn man selbst betroffen ist.
4. Exit-Mechanismen: Portabilität von Daten und Konfiguration, Shadow-Run-Szenarien, Rollback-Fähigkeit. Mindestens jährlich in einem „Exit-Probe light“ getestet.

Die Governance-Frage ist nie „Vertrauen wir?“, sondern: „Können wir führen?“

6) Daten-Governance: Weniger behalten, besser entscheiden

Zwischen Data Act, CSRD, Datenschutzrecht, Branchennormen und KI-Pflichten verschiebt sich der Fokus: Nicht maximal „haben“, sondern gezielt halten – mit Zweckbindung, klaren Löschregeln, Edge-first-Strategien (wo sinnvoll) und Transparenz gegenüber Betroffenen und Auditoren.

Wer Datenflüsse modelliert (Data Lineage), Anreicherungen dokumentiert, Aufbewahrungen begründet und Prozesse für Korrektur/Löschung übt, gewinnt doppelt: weniger Risiko, mehr Nutzung. Denn Daten, die man rechtssicher beherrscht, darf man auch einsetzen – etwa für KI, Prozessoptimierung, Resilienz-Analytik.

7) Metrics that Matter: Kennzahlen, die Führung ermöglichen

Viele Dashboards sind schön, aber wirkungslos. Governance 2025 braucht wenige, scharf geschnittene Metriken mit klaren Schwellen, die automatisch eskalieren:

• Resilienz: Time-to-Detect, Time-to-Decide, Time-to-Contain, Time-to-Recover pro Kritikalitätsklasse.
• Kontrollwirksamkeit: Anteil Kontrollen mit Echtzeit-Überwachung; Rate „rote Ampeln“ ohne Reaktion > x Minuten.
• Lieferkette: PSIRT-Signal-Lag (Zeit von Zuliefererhinweis bis interne Risikobewertung), Mean Time to Patch bei Drittkomponenten.
• KI-Governance: Drift-Metriken, False-Positive/-Negative-Entwicklung, Zeit bis Human Oversight entscheidet, Anteil nachvollziehbarer Model Decisions in kritischen Pfaden.
• Daten-Governance: Anteil Datensätze mit vollständiger Lineage, SLA-Treue bei Auskunft/Löschung, Zweckbindungs-„Lecks“.
• Compliance-Tempo: „Time to Proof“ – Zeit, bis angeforderte Evidenzen qualitätsgesichert vorliegen.

Diese Kennzahlen gehören nicht in einen Audit-Anhang, sondern ins Steuerungscockpit der Organisation.

8) Kultur: Der härteste Teil – und der wirkungsvollste

Governance scheitert selten an Technik. Sie scheitert an Schweigen, Schönfärben, Zuständigkeitsverdunstung. Die wirksamsten kulturellen Muster sind unspektakulär:

• Fehler normalisieren, Verschweigen sanktionieren. Wer früh meldet, wird geschützt. Wer spät vertuscht, nicht.
• Melden üben. Nicht nur Security-Incidents, auch Datenpannen, KI-Aussetzer, Lieferantenprobleme.
• Entscheiden unter Unsicherheit. Führungskräfte lernen, mit 70 % Information eine gute Entscheidung zu treffen – und sie später zu revidieren, wenn 100 % vorliegen.
• Default Offenheit. Gegenüber Aufsichten, Kunden, Partnern – mit Fakten, nicht mit Prosa.

Kultur zeigt sich an Kleinigkeiten: Werden Lessons Learned umgesetzt? Werden Widersprüche adressiert? Wird „Nein“ gesagt, wenn ein Risiko nicht mehr vertretbar ist? 2025 sind diese Antworten spürbar – intern wie extern.

9) Von „compliant“ zu „fähig“: Der Organisationsentwurf

Wer Governance als Kompetenz entwirft, baut vier Fähigkeitscluster:

1. Risk & Resilience Engineering – beherrscht Szenarien, baut Notfallpfade, orchestriert Übungen, leitet KRIs ab, coacht Fachbereiche.
2. Product & AI Governance – verankert Security-by-Design, Data-Governance, Modellnachweise, MLOps-Kontrollen, CRA-Pflichten.
3. Third-Party Leadership – führt Provider und Lieferanten operativ, fordert Evidenz, betreibt Exit- und Interconnect-Proben, hält Verträge lebendig.
4. Evidence & Assurance – betreibt Mess- und Beweisfabriken: Telemetrie, SBOM/VEX, Attestierung, forensische Pfade, „Time to Proof“.

Diese Cluster brauchen Mandat und Schnittstellen: zu IT/OT, zu Recht/Compliance, zu Einkauf/Partnern, zu Produkt/Entwicklung – und zum Vorstand.

10) Praktische Roadmap: 180 Tage, die sich lohnen

Tag 1–30: Lagebild & Klartext

• Kritische Prozesse und Abhängigkeiten kartieren (technisch, organisatorisch, extern).
• Pflichtenlandkarte konsolidieren (Resilienz, Melden, Produkt, Daten).
• Drei KRIs pro Cluster festlegen, Eskalationslogik definieren.
• RACI für Vorfälle und Meldungen aktualisieren, unterschreiben, kommunizieren.

Tag 31–90: Evidenz & Proben

• Policy-as-Code für zwei zentrale Bereiche pilotieren (z. B. Zugriffsmanagement, Change).
• Continuous Controls Monitoring für Top-10-Kontrollen aktivieren.
• Tabletop-Übungen: Lieferkettenvorfall, KI-Fehleinschätzung, Datenpanne – mit Zeitvorgaben und Berichtsformaten.
• SBOM/VEX-Prozess mit zwei Kernprodukten/Applikationen starten.

Tag 91–180: Skalieren & verankern

• Edge-/Cloud-/On-Prem-Telemetry in ein zentrales Evidenz-Backbone führen (mit Zugriffskonzept).
• Provider-/Integratoren-SLA um Auditfeeds, PSIRT, Exit-Proben, Forensikzugriffe erweitern.
• „Time to Proof“-Ziel: relevante Nachweise binnen 48 Stunden liefern können.
• Quartalsweise Governance-Reviews mit KRIs, Lessons Learned, Roadmap-Updates.

Das ist keine Raketenwissenschaft – es ist Disziplin. Und sie zahlt sich nach innen (Tempo, Klarheit), nach außen (Vertrauen, Verhandlungsposition) und in der Prüfung (Sicherheit) aus.

11) Typische Fehltritte – und bessere Alternativen

• Fehltritt: Policies als PDF, die niemand operationalisiert.
  Besser: Policies als Code + Abnahmetests, die scheitern dürfen – bevor Produktion scheitert.
• Fehltritt: Third Party risk als Fragebogen-Marathon.
  Besser: Weniger Fragen, mehr Datenfeeds (PSIRT, SBOM/VEX, Admin-Events), klare Fristen, geübter Exit.
• Fehltritt: KI-Governance als Ethik-Workshop ohne Toolchain.
  Besser: Model Cards, Data Lineage, Versionierung, automatisierte Evaluationsläufe, Oversight-Playbooks.
• Fehltritt: Resilienz als Dokument.
  Besser: Resilienz als Kalendereintrag: Proben, Metriken, Nacharbeiten – mit Vorstandsreporting.
• Fehltritt: „Compliance erledigt – fertig.“
  Besser: „Evidenz eingerichtet – jetzt beschleunigen wir das Geschäft darauf.“

12) Das Versprechen hinter der Mühe: Geschwindigkeit durch Klarheit

Governance 2025 wirkt nach außen streng – und ist innerlich befreiend. Wenn Rollen klar, Metriken knapp, Evidenzen automatisiert und Proben Routine sind, verschwinden die Reibungen, die Teams ausbremsen: Wer darf entscheiden? Wer muss zustimmen? Haben wir die Daten? Können wir belegen, was wir tun? Der Antwortzyklus wird kurz. Entscheidungen werden wieder möglich, auch unter Ungewissheit. Und genau das unterscheidet resilient geführte Organisationen von formal korrekten Apparaten.

Die Welt verlangt mehr als Compliance, weil sie mehr Komplexität liefert. Die gute Nachricht: Die Werkzeuge sind da – von Telemetrie bis Policy-as-Code, von SBOM bis Model Card, von Chaos-Test bis Tabletop. Was fehlt, ist selten Technik. Es ist der Entschluss, Governance als Fähigkeit zu bauen.

Wer ihn trifft, verabschiedet sich nicht von Regeln – er verwirklicht sie. Jeden Tag. Und genau das ist der Unterschied, der 2025 zählt.