Wenn Verantwortung delegiert wird, ohne gesteuert zu werden

Viele Unternehmen haben ihre IT ganz oder teilweise an externe Dienstleister ausgelagert. Das schafft Effizienz, reduziert interne Aufwände und bringt spezialisiertes Know-how ins Haus. Gleichzeitig entsteht jedoch ein verbreitetes Missverständnis – mit der Delegation operativer Aufgaben werde auch die Verantwortung für Risiken, Sicherheit und Stabilität abgegeben.

Genau hier liegt der Kern vieler Governance-Probleme. Cyber- und Informationssicherheitsrisiken lassen sich nicht auslagern. Die Verantwortung bleibt stets bei der Geschäftsleitung. Governance bedeutet deshalb nicht Kontrolle im Detail, sondern klare Steuerung über Rollen, Erwartungen und Entscheidungsmechanismen.

Dieser Beitrag zeigt praxisnah auf, wie eine wirksame Governance zwischen Geschäftsleitung, IT und externen Dienstleistern aufgebaut wird und weshalb „Steuerung statt Delegation“ mehr ist als ein Schlagwort.

Governance richtig verstanden

Governance beschreibt den Ordnungsrahmen, innerhalb dessen Entscheidungen getroffen, Risiken gesteuert und Verantwortung wahrgenommen wird. Im Kontext der Informations- und Cybersicherheit geht es insbesondere um drei Fragen:

  • Wer trägt die Verantwortung für Risiken und Prioritäten?
  • Wer bereitet Entscheidungsgrundlagen auf?
  • Wer setzt definierte Massnahmen um?

Ein zentrales Prinzip dabei: Verantwortung und Entscheidungsbefugnis müssen zusammengehören. Wird diese Trennung nicht sauber geregelt, entstehen blinde Flecken – insbesondere bei Cyberrisiken.

Die Rolle der Geschäftsleitung: Verantwortung bleibt unteilbar

Die Geschäftsleitung trägt die Gesamtverantwortung für den Fortbestand des Unternehmens. Dazu gehören auch IT-Ausfälle, Cyberangriffe, regulatorische Verstösse oder Reputationsschäden.

Ihre Kernaufgaben in der Governance sind:

  • Festlegung der Risikotoleranz und strategischen Leitplanken
  • Priorisierung von Massnahmen entlang der Geschäftsziele
  • Sicherstellung von Compliance und regulatorischer Konformität
  • Kontrolle, ob Risiken verstanden, bewertet und adressiert werden

Wichtig: Die Geschäftsleitung muss nicht technisch entscheiden. Sie muss jedoch sicherstellen, dass sie entscheidungsfähig ist. Dafür braucht sie verständliche, konsolidierte und regelmässige Entscheidungsgrundlagen.

In vielen Organisationen fehlt genau das – Cyberrisiken werden als technische Details wahrgenommen und damit implizit der IT oder dem Dienstleister überlassen.

Die Rolle der IT: Umsetzung, Betrieb und Übersetzung

Die interne IT oder IT-Verantwortlichen sind für den stabilen Betrieb der Systeme zuständig. Sie kennen die technische Realität, Abhängigkeiten und Schwachstellen.

Ihre Governance-Rolle umfasst:

  • Technische Bewertung von Risiken und Massnahmen
  • Umsetzung und Betrieb der definierten Sicherheitsmassnahmen
  • Eskalation relevanter Risiken an die Geschäftsleitung
  • Übersetzung technischer Sachverhalte in Auswirkungen auf Betrieb, Kosten und Verfügbarkeit

Problematisch wird es, wenn die IT gleichzeitig strategische Priorisierung übernehmen soll, ohne dazu legitimiert oder befähigt zu sein. Dann entsteht eine Grauzone zwischen Technik und Führung – mit hohem Risiko für Fehlentscheide oder Nicht-Entscheide.

Die Rolle externer IT-Dienstleister: Ausführung statt Steuerung

Externe IT-Dienstleister sind zentrale Partner für Betrieb, Support und oft auch Sicherheit. Ihre Stärke liegt in der Umsetzung – nicht in der unternehmerischen Verantwortung.

Typische Aufgaben externer Dienstleister sind:

  • Betrieb von Infrastruktur und Applikationen
  • Umsetzung vereinbarter Sicherheitsmassnahmen
  • Unterstützung bei Projekten und technischen Entscheidungen
  • Meldung von Incidents und Auffälligkeiten

Was sie jedoch nicht leisten können – und auch nicht sollten – ist die Priorisierung von Geschäftsrisiken oder die Festlegung der Risikostrategie. Ein Dienstleister optimiert innerhalb seines Vertragsrahmens. Unternehmensrisiken gehen darüber hinaus.

Wird Governance faktisch an den Dienstleister delegiert, entscheidet dieser implizit über Prioritäten – meist aus technischer oder wirtschaftlicher Sicht, nicht aus strategischer.

Typische Governance-Fehler aus der Praxis

  1. „Unser IT-Dienstleister kümmert sich um Security“ – Sicherheit wird als Leistungsbaustein betrachtet, nicht als Führungsaufgabe.
  2. Keine klare Risikoverantwortung – Unklar, wer Risiken bewertet, akzeptiert oder eskaliert.
  3. Technische Reports ohne Entscheidungsrelevanz – Die Geschäftsleitung erhält Statusberichte, aber keine Entscheidungsgrundlagen.
  4. Incident-Reaktion ohne Führung – Im Ernstfall fehlen Entscheidungswege, Rollen und Prioritäten.

Diese Muster finden sich besonders häufig in KMU, aber auch in grösseren Organisationen mit ausgelagerter IT.

Steuerung statt Delegation – ein praxistaugliches Governance-Modell

Ein wirksames Governance-Setup trennt klar zwischen Verantwortung, Steuerung und Umsetzung:

Geschäftsleitung

  • Definiert Ziele, Risikotoleranz und Prioritäten
  • Trifft Entscheide auf Basis verständlicher Berichte

Sicherheitsverantwortung (z. B. CISO oder CISO-as-a-Service)

  • Konsolidiert Risiken, bewertet Auswirkungen
  • Bereitet Entscheidungsgrundlagen vor
  • Überwacht Wirksamkeit der Massnahmen

IT und Dienstleister

  • Setzen Massnahmen um
  • Liefern technische Informationen und Status
  • Melden Abweichungen und Vorfälle

Gerade hier bewährt sich ein Modell wie CISO-as-a-Service – als verbindendes Element zwischen Führung, IT und externen Partnern. Die Rolle sorgt dafür, dass Governance nicht theoretisch bleibt, sondern im Alltag wirkt.

Relevanz für Regulierung und Haftung

Regulatorische Vorgaben wie der IKT-Minimalstandard oder ISO 27001 fordern explizit eine klare Rollen- und Verantwortlichkeitsstruktur. Im Schadensfall stellt sich nicht die Frage, welcher Dienstleister zuständig war – sondern ob die Geschäftsleitung ihre Sorgfaltspflicht wahrgenommen hat.

Governance ist damit kein bürokratischer Selbstzweck, sondern ein zentrales Element der Unternehmensführung und Risikovorsorge.

Governance schafft Entscheidungsfähigkeit

Steuerung statt Delegation bedeutet nicht mehr Aufwand, sondern mehr Klarheit. Unternehmen, die Governance bewusst gestalten,

  • reduzieren operative und strategische Risiken
  • erhöhen ihre Entscheidungsfähigkeit im Ernstfall
  • schaffen Transparenz zwischen Management, IT und Partnern
  • stärken Vertrauen gegenüber Kunden, Behörden und Verwaltungsrat

Cyber- und Informationssicherheit funktionieren nur dann nachhaltig, wenn Verantwortung dort wahrgenommen wird, wo sie hingehört – bei der Führung.