Wenn Führung zählt

In einer zunehmend vernetzten und volatilen Welt ist Informationssicherheit nicht länger nur ein Thema der IT-Abteilung. Wer heute ein Unternehmen verantwortet, steht in der Pflicht, Sicherheit ganzheitlich zu denken – strategisch, organisatorisch und operativ.

Informationssicherheit: Fundament moderner Unternehmensführung

Informationssicherheit ist die Fähigkeit, vertrauliche, integre und verfügbare Informationen zu schützen. Diese Definition klingt technisch – doch dahinter steht nichts Geringeres als der Schutz der Handlungsfähigkeit eines Unternehmens. Wenn kritische Informationen (z. B. Kundendaten, interne Pläne, Kommunikation oder operative Systeme) kompromittiert sind, steht nicht nur ein einzelner Geschäftsbereich, sondern unter Umständen das gesamte Unternehmen still.

Dabei zeigt sich in der Praxis oft: Informationssicherheit scheitert nicht an der Technik, sondern an mangelndem Bewusstsein, unklaren Zuständigkeiten und fehlender Verankerung im Top-Management.

Ein verbreiteter Irrtum: Informationssicherheit garantiere vollständigen Schutz. Tatsächlich ist sie eher als Verzögerungstaktik im Sinne einer strategischen Verteidigung zu verstehen. Informationssicherheit verschafft Zeit, um auf Störungen zu reagieren, Angriffe zu erkennen und Gegenmaßnahmen einzuleiten. Dieser Ansatz ähnelt militärischen Verteidigungsstrategien: Der Gegner wird nicht unbedingt vollständig gestoppt – aber durch mehrschichtige Schutzmaßnahmen, Barrieren und Frühwarnsysteme wird dessen Vorankommen verlangsamt, die eigene Reaktionszeit verlängert und der Schaden minimiert.

„Fundierte Untersuchungen (z. B. auf Nasdaq) zeigen: Nur Chefetagen, die Informationssicherheit als Führungsverantwortung begreifen, schaffen belastbare Resilienz.“

„Der IT‑Grundschutz des BSI dient Unternehmen als Blaupause für eine strukturierte, mehrere Ebenen umfassende Sicherheitsarchitektur.“

Die Verbindung zu BCM und Krisenmanagement

Business Continuity Management (BCM) und Krisenmanagement sind eng verwoben mit der Informationssicherheit – und dennoch werden diese Disziplinen oft isoliert betrachtet. Dabei gilt:

• BCM sichert die Fortführung kritischer Geschäftsprozesse auch im Störfall. Doch ohne geschützte und verfügbare Informationen ist kein Notbetrieb möglich.

• Krisenmanagement steuert das Unternehmen in akuten Ausnahmesituationen – doch wenn Entscheidungsgrundlagen manipuliert, Kommunikationswege kompromittiert oder Systeme ausgefallen sind, wird jede Reaktion erschwert oder sogar unmöglich.

Informationssicherheit ist somit kein Nebenschauplatz, sondern integraler Bestandteil von Resilienz. Und sie ist – im strategischen Sinn – Teil der Verteidigungsarchitektur eines Unternehmens.

„Datenschutzverantwortung ohne funktionierendes BCM ist kaum realisierbar.“ – MoreThanDigital

„Ein ganzheitliches Business Continuity Management System kann als Brücke zwischen [digitaler und physischer] Welt fungieren und Resilienz ganzheitlich stärken.“ – Patrick Theuer, Deutsche Bahn AG (NIS-2 Congress)

Strategische Perspektive aus Staat und Sicherheitsbehörden

Auch staatliche Organisationen denken Verteidigung längst als Gesamtsystem:

• Das Cyber-Abwehrzentrum (Cyber-AZ) verknüpft BSI, BND, BfV, Bundeswehr und weitere Stellen zur kooperativen Lagebeurteilung und Reaktion.

• Der Bundesnachrichtendienst (BND) identifiziert Cyberangriffe auf kritische Infrastrukturen frühzeitig und schützt durch gezielte Informationsführung.

• Der IT-Grundschutz des BSI bietet Unternehmen und Behörden eine mehrstufige Methode zur Umsetzung und Auditierung von Sicherheitsmaßnahmen.

„Das Cyber-AZ zeigt: Nur eine verzahnte Strategie aller staatlichen Akteure – analog zum BCM im Unternehmenskontext – schafft wirksame Cyber-Resilienz.“

„Der BND identifiziert Angriffe auf kritische Infrastrukturen frühzeitig – ein Beispiel für strategische Informationsführung auf staatlicher Ebene.“

Erkenntnisse aus dem Blickwinkel eines Anti-Terror-Beauftragten

Spannend wird der Blick über den Tellerrand: Anti-Terror-Experten, die staatlich oder unternehmensnah Bedrohungsszenarien analysieren, weisen regelmäßig auf einen gemeinsamen Nenner hin: Informationsführung entscheidet über Reaktionsfähigkeit.

• In der Terrorabwehr ist die verlässliche Kommunikation entscheidend – genau wie im Krisenstab eines Unternehmens.

• Die Verfügbarkeit entscheidungsrelevanter Daten ist essenziell – sowohl im Sicherheitsdienst wie im Mittelstand.

• Und: Fehlende Lagebilder führen zu Fehleinschätzungen, was oft gefährlichere Folgen hat als die eigentliche Bedrohung.

Diese Perspektive hilft, Informationssicherheit neu zu denken: nicht als Technikprojekt, sondern als elementare Führungsaufgabe mit direkter Parallele zu militärischer Planung. Dabei rückt ein Aspekt in den Mittelpunkt: Zeitgewinn. Systeme, Prozesse und Schutzmaßnahmen sollen nicht primär einen Angriff verhindern, sondern so viel Zeit wie möglich verschaffen, um kontrolliert und geordnet zu reagieren. Informationssicherheit ist somit ein strategischer Zeit-Puffer, der über das Überleben der Organisation in der Krise entscheidet.

„Verlässliche Kommunikationsstrukturen sind entscheidend für Reaktionsfähigkeit – sowohl im militärischen Kontext als auch in der zivilen Krisenbewältigung.“ – Prof. Christian Reuter, TU Darmstadt (Wikipedia)

Aktuelle Lage in Deutschland und der EU: Eine Realität im Wandel

Die Bedrohungslage ist real und zunehmend professionell. Allein in Deutschland wurden 2024 über 131.000 Cybercrime-Fälle registriert, mit einem wirtschaftlichen Gesamtschaden von 178 Mrd. €. Ransomware-Angriffe, Deepfakes und hybride Bedrohungen durch pro-russische Hacktivisten nehmen drastisch zu. Europol warnt: Staatlich unterstützte Angriffe verschmelzen mit organisierter Kriminalität – eine Entwicklung, die strategische Verteidigungsansätze erfordert.

Parallel dazu hat die EU mit der NIS‑2-Richtlinie, dem Digital Operational Resilience Act (DORA) und dem Cyber Resilience Act (CRA) eine klare Botschaft gesendet: Informationssicherheit ist kein IT-Standard mehr – sie ist Bestandteil unternehmerischer Sorgfaltspflicht und Führungsverantwortung.

„Eine Konvergenz von NIS‑2, DORA, CRA zwingt Unternehmen zu operativer Resilienz und strategischer Vorbereitung.“ – Francesco Faenzi (LinkedIn)

Organisationen sind gefordert, ihre digitale Infrastruktur nicht nur compliant, sondern wehrhaft zu gestalten. Das bedeutet: Früherkennung, Notfallszenarien, Kommunikationssicherung und systematische Verteidigungsarchitektur als strategischer Dauerzustand.

„Offline-Kontaktdaten und der Schutz digitaler Versorgungsketten sind essenziell – insbesondere bei flächendeckenden Schadensereignissen.“ – Timo Kob, HiSolutions/BSI (matrix.ag)

🔗 Das schwächste Glied bestimmt die Kette

Ein weitverbreitetes Missverständnis in Unternehmen lautet: „Wenn es zu kompliziert wird, ziehe ich mich zurück“ oder „Ich gehe einfach ins Ausland, da ist weniger Regulierung“. Doch das greift zu kurz – denn in einer digital vernetzten Welt bleibt jedes Unternehmen Teil einer globalen Liefer- und Kommunikationskette. Wer ausfällt, beschädigt nicht nur sich selbst, sondern löst unter Umständen eine Kettenreaktion aus, die Partner, Kunden, Dienstleister oder sogar kritische Infrastrukturen betrifft.

Das schwächste Glied ist nicht nur Einfallstor – es ist Zündfunke für Dominoeffekte.

Verantwortung endet also nicht an der eigenen Firewall oder am Landesgrenzübertritt. Entscheider tragen strategisch Verantwortung für ihre Rolle im Gesamtsystem – auch wenn sie sich vermeintlich „zurückziehen“. Denn das digitale Ökosystem verzeiht keine Lücken. Und genau deshalb ist Informationssicherheit heute auch geopolitisch, wirtschaftlich und ethisch von Bedeutung.

Was Unternehmensentscheider jetzt tun sollten

1. Informationssicherheit im Führungskreis verankern – nicht als IT-Thema, sondern als Teil der Unternehmenssteuerung.

2. BCM und Informationssicherheit verzahnen – ein Notfallkonzept ohne digitale Absicherung ist wertlos.

3. Krisenkommunikation üben – mit realistischen Szenarien und Fokus auf Kommunikations- und Datenverfügbarkeit.

4. Mitarbeitende sensibilisieren – Informationssicherheit beginnt beim täglichen Handeln jedes Einzelnen.

5. Verteidigungsfähigkeit aufbauen – Informationssicherheit als strukturierte, mehrschichtige Abwehrstrategie verstehen.

Fazit

Informationssicherheit ist mehr als Schutz vor Hackerangriffen. Sie ist das Rückgrat für handlungsfähige Organisationen – in der Krise wie im Alltag. Wer Informationssicherheit strategisch denkt und mit BCM sowie Krisenmanagement kombiniert, schafft Resilienz – nicht nur gegen digitale, sondern gegen alle Formen von Störungen. Dabei gilt: Sicherheit schafft keine Perfektion, sondern Handlungsspielräume.

Der Schutz von Informationen ist kein technisches Ziel, sondern Voraussetzung unternehmerischer Entscheidungsfähigkeit – und vor allem ein strategisches Mittel zur Zeitgewinnung und Verteidigung.

🔔 Call to Action:

Handeln verschafft Zeit zum Handeln. Der Schlüssel zur erfolgreichen Krisenbewältigung liegt in der Vorbereitung – und in der Bereitschaft, Verantwortung zu übernehmen. Seien Sie nicht das schwache Glied in der Kette. Überprüfen Sie jetzt Ihre Sicherheitsstrategie, Ihre Notfallpläne und Ihre Informationslage. Wie schnell könnten Sie im Ernstfall reagieren – und wie lange würde Ihr Unternehmen durchhalten?

➡️ Lassen Sie uns sprechen. Gemeinsam stärken wir Ihre digitale Verteidigungsarchitektur – strategisch, wirksam, verantwortungsvoll.

📚 Quellenverzeichnis / Referenzen

1. Cybercrime-Lage Deutschland (2024)

   • BKA Cybercrime-Lagebild: bka.de

   • Bitkom Wirtschaftsschaden 2024: bitkom.org

2. Strategische Verteidigung & Behördenstruktur

   • Cyber-Abwehrzentrum (BSI, BND, BfV, Bundeswehr etc.): bsi.bund.de

   • Bundesnachrichtendienst (BND): bnd.bund.de

   • Bundesamt für Sicherheit in der Informationstechnik (BSI): bsi.bund.de

3. Verteidigung auf Bundeswehrebene

   • Cyber- und Informationsraum der Bundeswehr: de.wikipedia.org

   • MAD: de.wikipedia.org

4. Wirtschaftliche Verantwortung / Nasdaq

   • Board-Verantwortung für Cybersecurity: nasdaq.com

5. EU-Regulierung

   • NIS‑2-Richtlinie: eur-lex.europa.eu

   • DORA (Digital Operational Resilience Act): eur-lex.europa.eu

   • Cyber Resilience Act (CRA): ec.europa.eu

6. Expertenaussagen im Artikel

   • Prof. Christian Reuter (TU Darmstadt): de.wikipedia.org

   • Timo Kob (HiSolutions/BSI): matrix.ag

   • Francesco Faenzi: LinkedIn

   • Patrick Theuer (NIS-2 Congress): nis-2-congress.com

   • MoreThanDigital zu BCM und Datenschutz: morethandigital.info

7. Bildquelle: KI-generierte Illustration, erstellt mit OpenAI DALL·E auf Basis eines konzeptionellen Szenarios zum Thema digitale Verteidigung, Informationssicherheit und systemische Verwundbarkeit (Stand: Juli 2025). Keine reale Darstellung. Nur symbolisch.
   
   

Verfasser: Markus Wortmann, Gründer & Strategieberater bei FormigaCrew
Veröffentlicht: Juli 2025
Kontakt: info@formigacrew.com | LinkedIn-Profil