GRC – Governance, Risk & Compliance – galt jahrelang als vernünftiger Dreiklang, in der Praxis aber oft als Dreifaltigkeit der Silos. Governance schrieb Richtlinien, Risk malte Heatmaps, Compliance pflegte Ordner – jede Disziplin korrekt im eigenen Kosmos, selten im Gleichklang. Das Ergebnis: viele Aktivitäten, wenig Wirkung. Heute, mit überlappenden Aufsichten (DORA, NIS2, AI Act, CRA, CSRD), komplexen Lieferketten und softwaregetriebener Wertschöpfung, bricht dieses Modell sichtbar. Was fehlt, ist kein weiterer Standard, sondern eine Arbeitsweise, die GRC zu einem System macht: aus einem Guss geplant, aus Daten gespeist, im Betrieb verankert, mit Nachweisen, die aus dem Tun entstehen – nicht aus dem Nachzeichnen. Dieser Beitrag zeigt, wie die Integration gelingt: organisatorisch, technisch, kulturell. Und warum „integriert“ nicht bedeutet, alles zu zentralisieren, sondern Schnittstellen so zu gestalten, dass Arbeit fließt.

1) Warum die alte GRC-Logik scheitert – und zwar zuverlässig

Silos sind bequem. Jedes Team setzt seine Tools, seine Taxonomie, seine KPIs. Doch drei strukturelle Brüche machen das alte Modell unhaltbar:

E s gibt ein Wort, das in vielen Unternehmen noch immer unterschätzt wird, obwohl es über Budgets, Zeitpläne und im Zweifel über die eigene Lizenz zum Geschäft entscheidet: Vorbereitung. Nicht im Sinne eines last-minute „Ordner-Pimpings“ vor dem Prüftermin, sondern als betriebliche Fähigkeit, die jeden Tag wirkt: Nachweise aus dem Betrieb heraus zu erzeugen, konsistent zu halten und auf Abruf bereitzustellen – ohne Hauruckaktionen, ohne Nachtschichten, ohne kollektives Überzeugungstheater. Genau diese Fähigkeit beschreibt „Audit Ready 2026“. Vorbereitung ist dann keine Kür mehr, sondern Pflichtprogramm: strategisch, operativ, messbar. Wer sie beherrscht, spart Zeit, reduziert Risiken, gewinnt Vertrauen – und kann sich aufs Geschäft konzentrieren, statt auf Panikfolien.

Die Lage ist eindeutig: Mit DORA, NIS2, AI Act, Cyber Resilience Act, CSRD, steuerlichen Digitalpflichten, neuen Prüfungsstandards und sektoralen Aufsichten hat sich die Taktung der Prüfungen erhöht und die Beweislast verschoben. Es reicht nicht mehr, zu sagen „wir haben etwas umgesetzt“. Gefordert sind Evidenzen, die zeigen, dass es wirkt – und zwar kontinuierlich. Auditfähigkeit ist damit kein Projektziel, sondern ein Betriebszustand. Dieser Beitrag erklärt, warum 2026 die Zäsur markiert, wo die alte „Auditvorbereitung“ endgültig scheitert, wie „Always Audit Ready“ praktisch aussieht, welche Metriken zählen, wie Lieferketten eingebunden werden, welche Anti-Patterns man vermeiden muss, und wie sich in 180 Tagen ein Fundament legen lässt, das hält.

D ie Zeiten, in denen IT-Sicherheit als rein technisches Thema in einem abgegrenzten Bereich „passierte“, sind vorbei. Mit NIS2 ist Cybersicherheit keine Frage von Tools und Firewalls mehr, sondern eine Frage der Führung: Prioritäten setzen, Risiken akzeptieren oder vermeiden, Budgets lenken, Lieferketten führen, Meldeketten beherrschen, Beweise liefern. NIS2 rückt damit eine unbequeme Wahrheit in den Mittelpunkt: Sicherheit ist Governance. Und Governance ist Chefsache. Wer Cybersicherheit weiterhin als Spezialdisziplin delegiert und im Jahresbericht mit ein paar Schlagworten abräumt, wird in der neuen Aufsichtswelt scheitern – nicht an einer fehlenden Lösung, sondern an der fehlenden Fähigkeit, wirksam zu steuern und nachweisbar zu handeln.

Dieser Beitrag zeigt, was „live“ unter NIS2 praktisch bedeutet: welche Pflichten wirken, wo Organisationen typischerweise stolpern, wie Verantwortlichkeiten aussehen, welche Metriken zählen, wie Lieferketten wirklich geführt werden, wie Incident-Management unter Zeitdruck funktioniert – und wie man das Thema aus der Ecke holt, ohne die gesamte Organisation zu lähmen. Kurz: Wie man Chefsache gestaltet.

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physisch, digital oder organisatorisch – werden damit zur Achillesferse. Wer sie nur verwaltet, statt sie aktiv zu führen und zu prüfen, sammelt Risiken an genau den Stellen, die Angreifer lieben: dort, wo viele Pfade zusammenlaufen, Privilegien sich bündeln, Transparenz abnimmt und Verantwortung verschwimmt.

Dieser Beitrag blickt hinter die Buzzwords, ordnet typische Schwachstellen, zeigt konkrete Angriffswege – und vor allem: er macht greifbar, wie „Vertrauen, aber prüfen“ als Führungsprinzip funktioniert. Nicht als lähmendes Misstrauen, sondern als strukturierte, messbare Praxis, die Resilienz schafft.