Es gibt Momente, in denen Regulierung den Kurs einer ganzen Branche verändert. Der Cyber Resilience Act (CRA) ist so ein Moment. Er verschiebt Cybersicherheit vom „nice to have“ zum Marktzugangskriterium – und zwingt Hersteller, Integratoren und Importeure, das zu tun, was sie lange als Kür betrachtet haben: Lieferketten sichtbar machen, Updates beherrschbar ausrollen, Sicherheitslücken professionell managen und offen darüber reden. Wer den CRA auf „mehr Dokumentation“ reduziert, verkennt den Kern. In Wahrheit fordert er ein neues Betriebssystem für Produktorganisationen: kontinuierlich, datenbasiert, kollaborativ. Drei Bausteine entscheiden dabei über Erfolg oder Scheitern: SBOM, Patch-Logistik und Coordinated Vulnerability Disclosure (CVD).

Dieser Artikel erzählt, warum genau diese Bausteine den Unterschied machen, wie man sie so aufsetzt, dass sie nicht zur Bürokratie, sondern zur Wettbewerbsstärke werden, und wieso Transparenz in der Lieferkette künftig über Deals entscheidet – ganz unabhängig davon, ob Ihr Produkt ein Smart-Home-Router, eine industrielle Steuerung, eine Unternehmenssoftware oder ein medizinisches Gerät ist.

Es beginnt selten mit einer strategischen Entscheidung. Eher mit einem Link im Chat, einer Browser-Erweiterung, einem „Nur mal ausprobieren“ in der Mittagspause. Eine Kollegin lädt ein PDF in einen Online-Assistenten, um eine Zusammenfassung für das Weekly zu bekommen. Jemand anders installiert ein Add-on, das E-Mails „schnell in gut“ umformuliert. Ein drittes Team lässt eine automatisch generierte Präsentation gegen ein paar Stichpunkte entstehen. Und ehe man sich versieht, arbeitet ein Unternehmen mit einem unsichtbaren, wachsenden Geflecht aus generativen KI-Diensten, Prompt-Sammlungen, Agenten, Plugins, mobilen Apps, Browser-Extensions und eingebauten „Assistenz-Features“ in bestehender Software. Was als Bequemlichkeit begann, ist plötzlich ein Sicherheits-, Compliance- und Governance-Thema ersten Ranges: Schatten-IT 2.0.

Schatten-IT war lange ein bekanntes Muster: private Cloud-Speicher, inoffizielle Chat-Gruppen, selbst beschaffte SaaS-Abos. Die neue Welle unterscheidet sich in drei entscheidenden Punkten. Erstens: Reibungslosigkeit. Generative KI ist nur einen Prompt entfernt – ohne Onboarding, ohne Integration, ohne Anleitung. Zweitens: Einbettung. KI-Funktionen sind nicht nur eigene Produkte, sie tauchen als Schalter in den Tools auf, die ohnehin genutzt werden. Drittens: Wirkungstiefe. Wo Schatten-IT früher „nur“ Daten bewegte, entscheidet Schatten-IT 2.0 mit: Sie schreibt, priorisiert, bewertet, plant, antwortet, generiert Code, schlägt Workflows vor. Sie ist nicht nur Datentransport, sondern Handlungsapparat. Und genau deshalb verlangt sie einen anderen, reiferen Blick.

Sicherheit riecht nach Serverraum, nach kalter Luft und blau blinkenden LEDs. Sicherheit klingt nach Alarmen, Logfiles, SIEM-Dashboards und Patches. Und Sicherheit sieht aus wie ein Login-Bildschirm, der nach Multi-Factor fragt. Das alles ist richtig – und doch gefährlich unvollständig. Denn die meisten Vorfälle beginnen nicht am Bildschirm. Sie beginnen an Türen, Drehkreuzen, in Aufzügen, an Lieferzonen, in Abstellräumen, bei Paketannahmen, in Parkhäusern, auf Flughäfen, an Hotelrezeptionen – und in Koffern. Wer heute über Resilienz spricht, muss Sicherheit von außen nach innen denken: vom Gehweg bis zum Kernel, von Kabeln bis Koffern. Physische Sicherheit ist nicht das Nebenfach der Cyber-Disziplin, sondern ihre erste Grenze und ihr letzter Beweis. Sie entscheidet darüber, ob Ihre kryptographisch perfekte Welt der Zugangscodes und Zertifikate in der Wirklichkeit standhält – wenn jemand die Tür offenhält, den Patchschrank aufhebelt, den Koffer stiehlt oder die falsche Person mit Warnweste durchwinkt.

Der alte Perimeter – Zäune, Pförtner, Zutrittskarten – war für eine Welt gemacht, in der Menschen fünf Tage die Woche in ein Büro kamen, Akten in einem Archiv lagen, Server in einem Raum brummten. Diese Welt gibt es nicht mehr. Heute entstehen dynamische Perimeter: Co-Working-Flächen neben dem Stammhaus, Außenlager in Drittländern, Field-Service im Kundenwerk, Homeoffice in Mietwohnungen, Meetings im Flughafenhotel, Notebooks im Bordgepäck. Gebäude sind vernetzte Maschinen – mit Aufzugsteuerungen, Video-Management, Zutrittskontrolle, Heizung, Klima, Beleuchtung. Jedes System hat eine IP, ein Update-Fenster, Protokolle, Passwörter. Wer physische Sicherheit weiter als „Schloss und Riegel“ betrachtet, übersieht die Konvergenz: Gebäudetechnik, Menschen, Prozesse und IT sind heute ein einziges, zusammenhängendes System. Und genau so muss man es steuern.

Es gibt Jahre, in denen Governance wie ein gepflegter Maschinenraum wirkt: saubere Schaltbilder, klare Zuständigkeiten, geölte Prozesse, Prüfzeichen am richtigen Ort. Und es gibt Jahre, in denen das gleiche Bild plötzlich alt aussieht. 2026 ist so ein Jahr. Die Architektur der Kontrolle – Regeln, Freigaben, Checklisten – bewährt sich weiterhin, aber sie reicht nicht mehr aus, um Organisationen durch eine Welt zu steuern, in der digitale Abhängigkeiten unübersichtlich, Lieferketten fragil, regulatorische Erwartungen dynamisch und Technologien wie KI, Cloud und vernetzte Produkte zum Taktgeber geworden sind. Der Satz „Kontrolle allein reicht nicht“ klingt wie eine Plattitüde. In Wahrheit markiert er einen Wendepunkt: Governance verschiebt sich von der Frage „Ist es freigegeben?“ zu „Hält es unter Last – und können wir das beweisen, während wir uns anpassen?“

Der Bruch mit der Kontrolllogik

Die Klassik der Governance wurde von zwei Grundgedanken getragen: Erstens lässt sich Risiko durch Regeln und Rollen beherrschen. Zweitens genügt es, die Einhaltung in Zyklen zu prüfen – Jahresabschluss, Auditplan, Projektgate. Das funktionierte, solange Veränderung langsam und Abhängigkeiten überschaubar waren. Heute kollidieren beide Annahmen mit der Praxis. Veränderungen passieren kontinuierlich (Feature-Rollouts, Infrastruktur-Drifts, Datenströme), und Abhängigkeiten ziehen systemische Effekte nach sich (ein Ausfall in der Lieferkette, ein Software-Bug, eine kompromittierte Identität). Kontrolle bleibt nötig – aber sie ist nicht mehr die Königsdisziplin. Die neue Frage lautet: Wie bleibt die Organisation handlungsfähig, obwohl Kontrolle versagen kann – und wie lernt sie schneller als die Welt sich ändert?

Es knirscht selten laut, wenn es passiert. Kein großer Knall, keine rot blinkenden Warnlampen. Stattdessen: eine kleine Konfigurationsänderung bei einem Dienstleister, ein unscheinbares Update, eine freundliche E-Mail eines „Partners“, ein Browser-Plugin aus einem Hersteller-Marketplace. Wochenlang wirkt alles normal, die Dashboards bleiben grün. Und doch hat sich die Risikolage grundlegend verschoben – nur eben nicht dort, wo das eigene SOC hinschaut. Die Schwachstelle liegt außerhalb des Perimeters, außer Reichweite der üblichen Telemetrie und häufig auch jenseits der eigenen Zuständigkeiten. Genau dort, wo moderne Wertschöpfung in der Praxis stattfindet: bei Third Parties.

Dass Drittparteien zur Achillesferse werden, ist keine überraschende Schlagzeile – aber die Mechanik dahinter wird in vielen Unternehmen unterschätzt. Third Parties stehen mitten in unseren Prozessen, tragen weitreichende Berechtigungen, hosten Daten, signieren Updates, verwalten Identitäten, triagieren Tickets, betreiben Infrastruktur und liefern das, was Kundinnen und Kunden direkt erleben: Verfügbarkeit, Geschwindigkeit, Qualität. In dieser Rolle sind sie nicht „außen“, sondern innen – oft mit mehr Rechten, mehr Einblick und mehr Steuerungsmacht als das, was wir im eigenen Haus für selbstverständlich halten.