Cybersicherheit ist kein IT-Projekt – sondern eine Management-Entscheidung

In vielen Unternehmen ist Cybersicherheit organisatorisch klar verortet – in der IT. Firewalls, Backups, Monitoring, externe Dienstleister. Auf den ersten Blick wirkt diese Zuordnung logisch. In der Praxis führt sie jedoch zu einem gefährlichen Missverständnis.

Cyberrisiken sind keine rein technischen Risiken. Sie betreffen den Geschäftsbetrieb, die Lieferfähigkeit, die Reputation und im Ernstfall die persönliche Haftung der Geschäftsleitung. Wer Cybersicherheit ausschliesslich an die IT delegiert, delegiert Verantwortung – ohne die Konsequenzen zu delegieren.

Genau hier liegt der Kern des Problems.

Was Cybersicherheit wirklich betrifft

Ein erfolgreicher Cyberangriff ist selten ein technisches Einzelereignis. Er ist fast immer die Folge von Entscheidungen oder von fehlenden Entscheidungen:

  • Welche Geschäftsprozesse sind kritisch und müssen priorisiert geschützt werden?
  • Welche Risiken akzeptieren wir bewusst und welche nicht?
  • Welche Abhängigkeiten bestehen zu Cloud-Anbietern, Lieferanten oder Dienstleistern?
  • Wer entscheidet im Krisenfall und auf welcher Grundlage?

Diese Fragen kann keine IT-Abteilung allein beantworten. Sie sind Teil der Unternehmenssteuerung und gehören damit klar in die Verantwortung der Geschäftsleitung.

Haftung beginnt nicht beim Angriff, sondern bei der Organisation

Ein verbreiteter Irrtum lautet: „Für Cyber ist die IT verantwortlich.“

Rechtlich und organisatorisch ist das nicht haltbar.

Die Geschäftsleitung trägt die Gesamtverantwortung für:

  • die Organisation des Unternehmens,
  • ein angemessenes Risikomanagement,
  • die Einhaltung regulatorischer Anforderungen.

Dazu gehören heute explizit auch Cyber- und Informationsrisiken. Vorgaben wie der IKT-Minimalstandard oder ISO 27001 fordern keine perfekten technischen Lösungen, sondern nachvollziehbare Entscheidungen, klare Zuständigkeiten und ein wirksames Steuerungsmodell.

Im Schadenfall wird nicht gefragt, welches Tool fehlte, sondern:

  • ob Risiken bekannt waren,
  • ob Verantwortlichkeiten klar geregelt waren,
  • ob Entscheidungen dokumentiert und angemessen getroffen wurden.

Delegation ist notwendig, aber nur mit klarer Entscheidungslogik

Natürlich muss und soll die Geschäftsleitung Cybersicherheit nicht operativ umsetzen. Delegation ist richtig und notwendig. Entscheidend ist jedoch, was delegiert wird und was nicht.

Nicht delegierbar sind:

  • die Definition der Risikobereitschaft,
  • die Priorisierung kritischer Geschäftsprozesse,
  • die Festlegung von Verantwortlichkeiten,
  • die Steuerung und Kontrolle der Massnahmen.

Delegierbar sind:

  • die operative Umsetzung,
  • technische Detailentscheide,
  • der Betrieb von Sicherheitsmassnahmen.

Fehlt diese Trennung, entstehen typische Symptome:

  • Die IT soll „Sicherheit machen“, ohne Entscheidungsrahmen.
  • Risiken werden technisch beschrieben, aber nicht geschäftlich bewertet.
  • Massnahmen bleiben liegen, weil Prioritäten unklar sind.

Cybersicherheit wird dann teuer, ineffizient und im Ernstfall wirkungslos.

Die Rolle der Geschäftsleitung: Drei konkrete Aufgaben

Cybersicherheit als Führungsaufgabe bedeutet nicht mehr Arbeit, sondern bessere Steuerung. In der Praxis bewähren sich drei klare Aufgaben der Geschäftsleitung:

  1. Risiken verstehen und nicht Technik beherrschen: Die Geschäftsleitung muss Risiken in einer Sprache verstehen, die Entscheidungen ermöglicht. Nicht „Zero Trust“ oder „SIEM“, sondern Auswirkungen auf Umsatz, Betrieb, Haftung und Reputation.
  2. Verantwortung klar zuweisen: Wer ist wofür zuständig? Wer bereitet Entscheidungen vor? Wer berichtet regelmässig? Unklare Rollen sind eines der grössten Risiken in KMU.
  3. Entscheidungen sichtbar machen: Dokumentierte Entscheide, priorisierte Massnahmen und regelmässige Reviews schaffen Nachvollziehbarkeit – intern wie extern.

Warum externe Unterstützung oft der entscheidende Hebel ist

Viele KMU stehen vor einem strukturellen Dilemma: Die Verantwortung liegt bei der Geschäftsleitung, das Know-how jedoch nicht immer im Unternehmen.

Modelle wie CISO-as-a-Service schliessen diese Lücke. Sie schaffen:

  • eine klare Sicherheitsverantwortung,
  • eine Übersetzung zwischen Technik und Management,
  • eine kontinuierliche Steuerung statt punktueller Aktion.

Entscheidend ist nicht die Form, sondern die Wirkung: Klarheit, Priorität und Verlässlichkeit.

Sicherheit entsteht durch Führung, nicht durch Tools

Cybersicherheit wirkt nur dann nachhaltig, wenn sie dort verankert ist, wo Entscheidungen getroffen werden. Nicht als IT-Thema, sondern als Bestandteil guter Unternehmensführung.

Unternehmen, die das erkennen, gewinnen:

  • mehr Kontrolle über Risiken,
  • bessere Entscheidungsgrundlagen,
  • weniger operative Überraschungen,
  • und spürbar mehr Ruhe im Alltag.

Möchten Sie Klarheit darüber gewinnen,

  • welche Cyberrisiken für Ihr Unternehmen wirklich relevant sind,
  • wer wofür Verantwortung trägt,
  • und wo Delegation sinnvoll – oder gefährlich . ist?

Vereinbaren Sie ein unverbindliches Erstgespräch und gewinnen Sie Klarheit über Rollen, Verantwortung und Entscheidungslogik in Ihrer Cybersicherheit.