Es beginnt selten mit einem großen Knall. Eher wie leises Rauschen, das den Alltag überlagert: neue Richtlinien, ergänzende Leitfäden, Updates zu bekannten Prozessen, veränderte Freigabeschritte, Lernmodule, Bestätigungs-Buttons, anstehende Audits, Hinweis auf geänderte Meldewege, strengere Dokumentationspflichten, zusätzliche Kontrollen. Jedes einzelne Element wirkt vernünftig. Zusammengenommen entsteht ein Klima steter Überforderung. Man arbeitet „unter Aufsicht“, aber nicht mehr mit Aufsicht. Und irgendwann fällt der Satz, den Führungskräfte am häufigsten hören und am ungernsten ernst nehmen: „Es ist einfach zu viel.“ Was wie Jammern klingt, ist in Wirklichkeit ein Organisationssignal von hoher Relevanz: Compliance fatigue – die Ermüdung durch Übermaß an Regeln, Nachweisen und Pflichten – mindert Wirksamkeit, erhöht Fehlerrisiken, begünstigt Umgehungspfade und frisst Kulturvertrauen auf. Dieser Beitrag erklärt, warum die Müdigkeit entsteht, wie sie sich zeigt, welche Folgeschäden sie anrichtet, und vor allem, wie Unternehmen den Schalter von Erschöpfung zu Ermöglichung umlegen: mit weniger Lärm, klareren Entscheidungen, verständlichen Regeln, automatisierten Nachweisen und einer Führung, die nicht „mehr“ verlangt, sondern besser.

Warum gute Absichten schlechte Effekte haben

Die Logik ist verführerisch: Mehr Regulierung, mehr Risiken, mehr Reputationsdruck – folglich braucht es mehr Richtlinien, mehr Kontrollen, mehr Schulungen, mehr Nachweise. In der Summe entsteht jedoch keine Sicherheit, sondern Verwaltung der Angst. Jede neue Vorgabe konkurriert um Aufmerksamkeit, kognitive Kapazität und Zeitfenster, die ohnehin knapper werden. Mitarbeitende erleben eine stete Verschiebung vom Tätigsein zum Belegen des Tätigseins. Wenn das Verhältnis kippt, tritt ein paradoxes Phänomen ein: Je intensiver Kontrolle eingefordert wird, desto wahrscheinlicher wird das Kontrollversagen – nicht aus Widerstand, sondern aus Erschöpfung.

D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

Wer 5G richtig verstanden hat, weiß: Der Sprung zur nächsten Mobilfunkgeneration wird nicht durch ein größeres Balkendiagramm im Speedtest definiert, sondern durch einen Architekturwechsel. 6G verspricht kein bloßes „Mehr“ an Bandbreite, sondern ein „Anders“: Netze, die sehen, hören, orten, interpretieren und entscheiden; Netze, die nicht nur Daten transportieren, sondern Bedeutung übertragen; Netze, die so eng mit Sensorik, KI und Edge-Rechenleistung verzahnt sind, dass sie zu einem operativen Sinnesorgan für Wirtschaft und Gesellschaft werden. Genau darin liegt der Kern der kommenden Welle – und die Frage, wie Unternehmen sich heute schon auf die Möglichkeiten und Pflichten von morgen vorbereiten.

Warum 6G mehr ist als „5G, aber schneller“

Die Versuchung ist groß, 6G unter die Überschrift „Gigabit mal zwei“ zu stellen. Doch dieser Blick greift zu kurz. Schon 5G hat den Paradigmenwechsel eingeleitet: weg vom „best effort“-Funk, hin zu planbaren Eigenschaften (Latenz, Jitter, Verfügbarkeit) per Network Slicing und Edge Computing. 6G setzt genau dort an – und verschiebt die Grenzwerte in vier Richtungen:

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.