Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Die Cloud ist längst kein Zukunftsthema mehr, sondern Alltag. Unternehmen aller Größenordnungen verlagern Daten, Anwendungen und ganze Infrastrukturen in die Cloud – aus guten Gründen: Flexibilität, Skalierbarkeit, schnellere Time-to-Market und planbarere Kosten. Doch wo Geschwindigkeit und Dynamik steigen, wachsen auch die Risiken. Viele Organisationen gehen Cloud Security noch immer zu intuitiv an – ohne eindeutige Ziele, ohne messbare Kontrollen, ohne gelebte Verantwortlichkeiten. Die Folge: Fehlkonfigurationen bleiben unentdeckt, Identitäten sind überprivilegiert, Protokolle fehlen, Nachweise für Compliance sind lückenhaft. Wer Cloud Security ernst nimmt, braucht mehr als Tools – er braucht einen Plan: klar, wiederholbar, auditierbar.

Ziele und Schutzbedarfe: Was wirklich geschützt werden muss

Der wirksamste erste Schritt ist eine Schutzbedarfsanalyse mit eindeutiger Priorisierung. Typische Klassen sind:

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physisch, digital oder organisatorisch – werden damit zur Achillesferse. Wer sie nur verwaltet, statt sie aktiv zu führen und zu prüfen, sammelt Risiken an genau den Stellen, die Angreifer lieben: dort, wo viele Pfade zusammenlaufen, Privilegien sich bündeln, Transparenz abnimmt und Verantwortung verschwimmt.

Dieser Beitrag blickt hinter die Buzzwords, ordnet typische Schwachstellen, zeigt konkrete Angriffswege – und vor allem: er macht greifbar, wie „Vertrauen, aber prüfen“ als Führungsprinzip funktioniert. Nicht als lähmendes Misstrauen, sondern als strukturierte, messbare Praxis, die Resilienz schafft.

Es gibt Momente, in denen Regulierung den Kurs einer ganzen Branche verändert. Der Cyber Resilience Act (CRA) ist so ein Moment. Er verschiebt Cybersicherheit vom „nice to have“ zum Marktzugangskriterium – und zwingt Hersteller, Integratoren und Importeure, das zu tun, was sie lange als Kür betrachtet haben: Lieferketten sichtbar machen, Updates beherrschbar ausrollen, Sicherheitslücken professionell managen und offen darüber reden. Wer den CRA auf „mehr Dokumentation“ reduziert, verkennt den Kern. In Wahrheit fordert er ein neues Betriebssystem für Produktorganisationen: kontinuierlich, datenbasiert, kollaborativ. Drei Bausteine entscheiden dabei über Erfolg oder Scheitern: SBOM, Patch-Logistik und Coordinated Vulnerability Disclosure (CVD).

Dieser Artikel erzählt, warum genau diese Bausteine den Unterschied machen, wie man sie so aufsetzt, dass sie nicht zur Bürokratie, sondern zur Wettbewerbsstärke werden, und wieso Transparenz in der Lieferkette künftig über Deals entscheidet – ganz unabhängig davon, ob Ihr Produkt ein Smart-Home-Router, eine industrielle Steuerung, eine Unternehmenssoftware oder ein medizinisches Gerät ist.

Es beginnt selten mit einer strategischen Entscheidung. Eher mit einem Link im Chat, einer Browser-Erweiterung, einem „Nur mal ausprobieren“ in der Mittagspause. Eine Kollegin lädt ein PDF in einen Online-Assistenten, um eine Zusammenfassung für das Weekly zu bekommen. Jemand anders installiert ein Add-on, das E-Mails „schnell in gut“ umformuliert. Ein drittes Team lässt eine automatisch generierte Präsentation gegen ein paar Stichpunkte entstehen. Und ehe man sich versieht, arbeitet ein Unternehmen mit einem unsichtbaren, wachsenden Geflecht aus generativen KI-Diensten, Prompt-Sammlungen, Agenten, Plugins, mobilen Apps, Browser-Extensions und eingebauten „Assistenz-Features“ in bestehender Software. Was als Bequemlichkeit begann, ist plötzlich ein Sicherheits-, Compliance- und Governance-Thema ersten Ranges: Schatten-IT 2.0.

Schatten-IT war lange ein bekanntes Muster: private Cloud-Speicher, inoffizielle Chat-Gruppen, selbst beschaffte SaaS-Abos. Die neue Welle unterscheidet sich in drei entscheidenden Punkten. Erstens: Reibungslosigkeit. Generative KI ist nur einen Prompt entfernt – ohne Onboarding, ohne Integration, ohne Anleitung. Zweitens: Einbettung. KI-Funktionen sind nicht nur eigene Produkte, sie tauchen als Schalter in den Tools auf, die ohnehin genutzt werden. Drittens: Wirkungstiefe. Wo Schatten-IT früher „nur“ Daten bewegte, entscheidet Schatten-IT 2.0 mit: Sie schreibt, priorisiert, bewertet, plant, antwortet, generiert Code, schlägt Workflows vor. Sie ist nicht nur Datentransport, sondern Handlungsapparat. Und genau deshalb verlangt sie einen anderen, reiferen Blick.