Wenn Unternehmen über Cybersecurity sprechen, höre ich in der Geschäftsleitung oft den gleichen Satz: Das ist doch Sache der IT. Nach mehreren Jahren Tätigkeit im Security-Umfeld kann ich sagen, genau hier liegt das Problem.

Meine Erfahrung aus Assessments

Im Rahmen von Assessments sehe ich regelmässig, dass die Geschäftsleitung Cyberrisiken nicht kennen oder sie unterschätzen.

Noch kritischer, es fehlt oft eine klare Verantwortlichkeit in der GL. Niemand übernimmt die Rolle des „Kümmerers“, der Informationssicherheit konsequent vorantreibt. Das führt dazu, dass Sicherheitsinitiativen im Silo bleiben, dass Technik zwar vorhanden ist, aber die strategische Klammer fehlt.

Ich habe Projekte gesehen, in denen technisch alles auf dem neuesten Stand war. Doch im Ernstfall wäre niemand aus der GL in der Lage gewesen, schnell und fundiert zu entscheiden, wie reagiert werden muss. Das kostet Zeit, Geld und Reputation.

Warum Sicherheit Führungsaufgabe ist

Informationssicherheit ist nicht nur ein IT-Thema, sondern ein Unternehmensrisiko. Ein Cyberangriff kann die Wertschöpfungskette unterbrechen, vertrauliche Daten kompromittieren und regulatorische Folgen nach sich ziehen. Das bedeutet, es geht nicht um Firewalls, sondern um Business Continuity und Vertrauen.

ISO-27001 und der IKT-Minimalstandard formulieren das glasklar, die oberste Leitung trägt Verantwortung. Meine Erfahrung zeigt, dass dort, wo die Geschäftsleitung hinter dem Thema steht, sind Sicherheitsinitiativen erfolgreich. Wo sie sich entzieht, bleiben die Massnahmen reaktiv und unvollständig.

Typische Fehlannahmen, die ich immer wieder höre

  • „Wir sind zu klein, um interessant zu sein.“
    In meiner Praxis sehe ich, dass gerade KMU ins Visier geraten, weil sie oft leichter angreifbar sind.
  • „Wir haben Tools, das reicht.“
    Technik ist nur so gut wie die Menschen und Prozesse dahinter.
  • „Wir machen das, wenn mal mehr Budget da ist.“
    Angriffe warten nicht auf Budgetzyklen.

Drei Fragen, die sich jede GL stellen sollte

In meiner langjährigen Praxis habe ich drei einfache Fragen entwickelt, die sich Führungskräfte regelmässig stellen sollten:

  • Wer in unserer GL trägt Verantwortung für Informationssicherheit?
    Ohne klaren Verantwortlichen bleibt alles an der IT hängen und verliert den strategischen Fokus.
  • Welche Cyberrisiken bedrohen unsere kritischen Geschäftsprozesse?
    Es geht nicht um technische Schwachstellenlisten, sondern um die Frage: Welche Prozesse sind die kritischsten fürs Unternehmen?
  • Wie verankern wir Informationssicherheit in unserer Strategie?
    Sicherheit ist kein Projekt, sondern Teil der Unternehmens-DNA. Nur so entsteht Resilienz.

Fazit aus meiner langjährigen Erfahrung

Ich habe in meiner Laufbahn diverse Sicherheitsvorfälle gesehen. Die Technik hat fast nie versagt. Gescheitert ist es dort, wo Führungskräfte das Thema nicht verstanden oder nicht ernst genug genommen haben.

Wer Informationssicherheit als Chefsache begreift, schafft mehr als Compliance. Er schützt die Zukunftsfähigkeit des Unternehmens.