Es klingt immer überzeugend, wenn Unternehmen ihre Governance herausstellen: aktuelle Richtlinien, detailreiche Prozesslandkarten, sauber benannte Rollen, ein Gremium für jedes Thema. Und doch bleibt in vielen Häusern das gleiche Gefühl zurück: Warum ändert das alles so wenig am Alltag? Warum geraten Entscheidungen ins Stocken, obwohl die Regeln klar sind? Warum werden Risiken sauber beschrieben, aber zu spät adressiert? Warum explodieren Vorfälle in Kosten, obwohl alle ihre Pflichten kennen? Der Grund liegt selten in mangelndem Willen, fast nie im Fehlen von Papier – er liegt in der Lücke zwischen Policy und Praxis. Governance wirkt erst, wenn sie nicht nur sagt, was sein soll, sondern wie es zur richtigen Zeit am richtigen Ort geschieht, messbar, wiederholbar, beweisbar. Dieser Beitrag zeichnet eine Landkarte, wie man diese Lücke schließt: von der Sprache zur Ausführbarkeit, von der Absicht zur Evidenz, von der Gremienroutine zum operativen Takt, von der Einzellösung zur unternehmensweiten Lernschleife.

Warum gute Policies oft wenig bewegen

Richtlinien sind Versprechen. Sie definieren Erwartungen, beschreiben Grenzen, sichern Pflichten ab. In der Praxis prallen sie jedoch auf drei unsichtbare Wände. Erstens ist die kognitive Last zu hoch: Mitarbeitende sollen komplexe, juristisch präzise Texte erinnern und in Sekunden auf reale Situationen übertragen – unter Zeitdruck, mit unvollständiger Information, über Systemgrenzen hinweg. Zweitens fehlt die Anschlussfähigkeit: Selbst exzellent formulierte Policies enden an der Schranke zum Tagesgeschäft, wenn Systeme, Workflows und Verträge nicht so gestaltet sind, dass das Richtige durch das Doing passiert. Drittens fehlt die Konsequenz: Wo Verstöße folgenlos bleiben, wo Ausnahmen nicht ablaufen, wo Eskalationen aus Höflichkeit vertagt werden, verliert Governance ihre Schärfe. Sie wird zur höflichen Bitte. Policies, die bewegen sollen, müssen daher Verständlichkeit, Ausführbarkeit und Konsequenz vereinen – sonst bleiben sie gute Literatur.

D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Es gab eine Zeit, in der Cybersecurity vor allem als Schutzdisziplin verstanden wurde: Systeme härten, Angriffe blockieren, Daten vor unerlaubtem Zugriff bewahren. Überschaubare Perimeter, klar definierte Netzgrenzen, ein Katalog an „Best Practices“ – und möglichst wenige Überraschungen. Diese Zeit ist vorbei. Je stärker digitale Infrastrukturen miteinander verflochten sind, desto offensichtlicher wird: Perfekter Schutz existiert nicht. Angriffe werden erfolgreicher, Lieferketten komplexer, Abhängigkeiten enger – und der Schaden, wenn etwas schiefgeht, größer. Die Aufsicht reagiert: Nicht mehr reiner Schutz, sondern Resilienz steht im Mittelpunkt. Widerstandsfähigkeit wird zur eigentlichen Währung der digitalen Governance. Das ist kein semantischer Wechsel, sondern ein Paradigmenbruch mit tiefen Folgen für Strategie, Organisation, Technik und Kultur.

Warum Schutz allein nicht mehr reicht

Die altbekannte Verteidigungslogik – verhindern, abwehren, abschotten – bleibt wichtig, aber sie stößt an harte physikalische Grenzen. Erstens, weil die Angriffsfläche exponentiell wächst: Cloud, SaaS, APIs, mobile Arbeit, OT/IoT, Datenökosysteme. Zweitens, weil Angreifer industrialisiert vorgehen: Toolkits, Ransomware-as-a-Service, Initial Access Broker, Supply-Chain-Taktiken. Drittens, weil digitale Abhängigkeiten zu systemischen Effekten führen: Fällt ein zentraler Dienstleister aus, trifft das in Stunden ganze Wertschöpfungsketten. Resilienz stellt daher eine andere Frage als klassischer Schutz: Wie bleibt das Unternehmen handlungsfähig, obwohl Schutzmaßnahmen versagen können? Die Antwort betrifft Architektur (Entkopplung, Redundanz), Organisation (Entscheidungsrechte, Eskalationsregeln), Menschen (Kompetenz, Übung) und Evidenz (Nachweis, dass es im Ernstfall funktioniert).

Es fängt – wie vieles in der Informationssicherheit – nicht mit einem großen Plan an, sondern mit Frust. Frust darüber, dass Unternehmen immer wieder an denselben Stellen getroffen werden. Frust darüber, dass dicke Ordner voller Richtlinien kaum helfen, wenn ein Angreifer mit banalen Mitteln durch eine unentdeckte Fernwartungsschnittstelle spaziert. Frust darüber, dass jede Organisation aufwendig eigene Kataloge schreibt, während die Kriminellen längst arbeitsteilig, wiederholbar und effizient vorgehen. Aus diesem Frust entsteht eine Idee, die zunächst beinahe unverschämt schlicht wirkt: Statt noch ein Rahmenwerk, noch eine Norm, noch eine Auslegungshilfe zu veröffentlichen, bündeln wir das, was wirklich wirkt, und bringen es in eine priorisierte Reihenfolge. Keine Theorielehre, sondern ein Programm. Kein schönes Plakat, sondern eine Handlungsanweisung. Aus dieser Idee wurden erst die „Top 20 Critical Security Controls“ – und im nächsten Schritt das, was wir heute als CIS Controls kennen.

Die Ausgangslage: Zu viel Theorie, zu wenig Wirkung

Die frühen 2000er-Jahre sind eine Zeit des Aufbruchs – und der Ernüchterung. Die Sicherheitsgemeinde verfügt über Rahmenwerke en masse: ISO/IEC 27001 mit seinem Managementansatz, NIST SP 800-53 mit seinem umfassenden Kontrollkatalog, COBIT für Governance, ITIL für Serviceprozesse. All das ist wertvoll. Doch im Maschinenraum der Unternehmen bleiben immer wieder dieselben Lücken offen: nicht inventarisierte Systeme, veraltete Software, grob fahrlässige Standardkonfigurationen, allzu großzügige Administratorrechte, schwache Protokollierung, zu seltene Auswertung. Wer ein Incident-Response-Team begleitet, erkennt Muster. Wer viele Reaktionen begleitet, erkennt immer dieselben Muster.