Informationssicherheit ist kein IT-Thema – sondern Unternehmensverantwortung

Ein Anruf nach dem GAU

Ein Unternehmen ruft an. Ransomware. Produktion steht. Die erste Frage: „Wie konnte das passieren?“
Die bessere wäre gewesen: „Warum haben wir vorher nichts getan?“

Viele Unternehmen behandeln Informationssicherheit noch immer wie eine Pflichtübung – etwas, das man tut, weil es eben gefordert wird. Dass es dazu oft regulatorischen Druck braucht, ist bedauerlich – aber angesichts der menschlichen Schwächen im Umgang mit Statistik und Risiko auch kaum verwunderlich.

Die meisten Menschen sind schlicht nicht besonders gut darin, abstrakte Wahrscheinlichkeiten zu verstehen oder langfristige Risiken realistisch einzuschätzen. Das gilt nicht nur individuell, sondern auch auf Organisationsebene: Informationssicherheitsrisiken wirken oft diffus, technisch, weit entfernt vom Kerngeschäft – und erscheinen im hektischen Alltag selten dringlich.

Doch genau hier setzt Informationssicherheit an: als systematischer Versuch, Risiken sichtbar und steuerbar zu machen. Und zwar nicht nur dann, wenn ein Auditor es verlangt, sondern kontinuierlich, vorausschauend und im Dienste der eigenen Geschäftsziele.

Informationssicherheit ist mehr als Technik

Trotzdem wird Informationssicherheit in vielen Organisationen weiterhin als reines IT-Problem verstanden. Wenn über „Security“ gesprochen wird, heißt es schnell: „Wir brauchen eine neue Firewall“ oder „Wir müssen endlich EDR ausrollen.“ Was gut gemeint ist, greift jedoch zu kurz. Denn: Informationssicherheit ist keine Werkzeugkiste – sie ist eine strategische Aufgabe.

Die richtige Reihenfolge lautet nicht: Tool kaufen, Haken setzen, sicher fühlen. Sondern: Risiken verstehen, Bedarfe ableiten, passende Maßnahmen identifizieren – und erst dann über Tools nachdenken. Wer Sicherheit nur technisch begreift, verpasst die Chance, sie wirtschaftlich, prozessorientiert und unternehmensweit zu gestalten.

Vibe Security statt Risikosteuerung

Leider handeln viele Unternehmen noch immer nach dem Prinzip der „Vibe Security“:

Vibe Security (Substantiv, ironisch): Sicherheitsmaßnahmen, die eingeführt werden, weil sie „richtig wirken“, populär sind oder von anderen übernommen werden – nicht weil sie zum Risiko oder Bedarf des Unternehmens passen. Gegenteil: risikobasierte Informationssicherheit.

Die lautesten Risiken erhalten Aufmerksamkeit („squeaky wheel gets the grease“), während die strukturellen Schwachstellen im Dunkeln bleiben. Security wird dann zu einem aktionistischen Reagieren – statt zu einem geplanten Handeln. Das führt nicht nur zu Ineffizienz, sondern auch zu einem trügerischen Gefühl von Sicherheit.

ISMS: Notwendigkeit, kein Luxus

Ein funktionierendes Informationssicherheitsmanagement (ISMS) ist deshalb kein Luxus, sondern betriebliche Notwendigkeit. Und es ist in jeder Branche relevant – nicht nur dort, wo IT eine zentrale Rolle spielt.

Auch ein mittelständischer Serviettenhersteller kann Opfer eines Ransomware-Angriffs werden – und im schlimmsten Fall Insolvenz anmelden, weil die Produktion stillsteht. Dieses Unternehmen hätte mit hoher Wahrscheinlichkeit nicht unter die Vorgaben von NIS2 gefallen. Dennoch zeigt der Fall deutlich, dass ein strukturiertes Sicherheitsmanagement – wie es NIS2 fordert – auch in solchen Fällen enormen Nutzen gebracht hätte. Denn Ransomware interessiert sich nicht für Schwellenwerte oder Branchenzuordnungen – nur für verwundbare Systeme.

Ein ISMS dient dazu, Risiken bewusst zu machen, sie zu bewerten und auf dieser Grundlage informierte Entscheidungen zu treffen. Wer die Risiken kennt, kann sie akzeptieren, vermeiden, mindern oder übertragen. Wer sie nicht kennt, handelt blind – und das kann teuer werden. Und das betrifft nicht nur Cyberbedrohungen, sondern auch menschliche Fehler, organisatorische Mängel oder mangelhafte Zugriffskontrollen. Sicherheit ist niemals nur Technologie – sie ist immer auch Kultur, Struktur und Prozess.

Was kostet es, nichts zu tun?

Informationssicherheit ist nicht nur ein Schutzmechanismus – sie ist auch ein Instrument zur Kostensteuerung. In einem funktionierenden ISMS orientieren sich Maßnahmen am tatsächlichen Schutzbedarf des Unternehmens und seiner Assets. Das bedeutet: Investitionen fließen gezielt dorthin, wo sie notwendig und sinnvoll sind. Gleichzeitig werden überdimensionierte oder unnötige Maßnahmen vermieden – was in Summe häufig sogar zu geringeren Gesamtkosten führt.

Ein oft gehörtes Argument lautet: „Wir können uns das nicht leisten.“ Doch das Gegenteil ist richtig: Informationssicherheit spart Geld – nicht in Form von unmittelbarer Rendite, sondern durch vermeidbare Schäden.

Ein ISMS hilft dabei, Sicherheitsmaßnahmen nicht nach Bauchgefühl, sondern entlang des tatsächlichen Risikoprofils zu priorisieren. Controls werden nicht eingeführt, weil sie „modern“ sind, sondern weil sie helfen, die Annualized Loss Expectancy (ALE) – also die zu erwartenden jährlichen Kosten eines Risikos – zu senken. Die entscheidende Frage lautet also nicht: „Was kostet das?“ – sondern: „Was kostet es uns, wenn wir nichts tun?“

Regulierung als Katalysator

Regulierung wie NIS2 ist daher nicht nur Zwang, sondern eine Chance. Sie zwingt Unternehmen dazu, sich mit Risiken auseinanderzusetzen, bevor der Schaden eintritt. Das ist unbequem, aber langfristig gesund.

In gewisser Weise muss man Unternehmen zum eigenen Glück zwingen. Denn ohne externen Anstoß bleiben viele Risiken unsichtbar – und damit auch unadressiert. Dabei ist es keineswegs Ziel der Regulierung, perfekte Sicherheit zu erzwingen. Vielmehr geht es darum, strukturiertes Risikobewusstsein und dokumentierte Entscheidungsfähigkeit zu etablieren – genau das, was ein gutes ISMS ohnehin leisten sollte.

Sicherheit muss nicht perfekt sein

Informationssicherheit bedeutet nicht, jedes Risiko auszuschließen. Es bedeutet, Risiken zu kennen und in den richtigen Kontext zu setzen. Es ist absolut legitim, Risiken zu akzeptieren – sofern dies bewusst geschieht und innerhalb des unternehmerisch vertretbaren Rahmens.

Informationssicherheit muss nicht perfekt sein, sondern ausreichend. Doch dafür braucht es ein System. Einen Rahmen. Eine Strategie. Es geht nicht um maximale Sicherheit, sondern um angemessene Sicherheit im Verhältnis zu Geschäftsmodell, Risikobereitschaft und Schutzbedarf.

Ein funktionierendes ISMS gedeiht dabei nicht in Silos, sondern in einer Unternehmenskultur, die Verantwortung und Offenheit fördert. Sicherheit ist kein Fremdkörper im Unternehmen – sie ist Teil seiner Identität.

Governance statt Papiertiger

Informationssicherheit ist also nicht die Aufgabe der IT. Sie ist eine Frage der Governance – und damit Chefsache. Denn ohne klare Zuständigkeit, definierte Ziele und ein gemeinsames Verständnis von Risiko bleibt Sicherheit ein Papiertiger. Oder schlimmer noch: ein Flickwerk aus Maßnahmen, das sich sicher anfühlt, aber keine echte Sicherheit schafft.

Gute Security Governance definiert, wer welche Verantwortung trägt, wie Risiken eskaliert werden und auf Basis welcher Kriterien Entscheidungen getroffen werden. Sie verankert Informationssicherheit in der Unternehmensführung – dort, wo sie hingehört.

Bewusste Entscheidungen statt Checkbox-Compliance

Ein reifes ISMS wählt nur solche Maßnahmen, die im Verhältnis zum geschützten Asset sinnvoll sind. Entweder weil die Kosten tragbar und der Schutz notwendig ist – oder weil man sich bewusst dagegen entscheidet. In jedem Fall aber wird bewusst entschieden.

Genau das unterscheidet Security Governance von bloßer Compliance. Denn Checkbox-Compliance spart vielleicht kurzfristig Aufwand – langfristig aber erhöht sie die Unsicherheit, weil sie Risiken nicht adressiert, sondern nur dokumentiert.

Fazit: Informationssicherheit ist Führungsverantwortung

Informationssicherheit ist kein Verzicht, sondern Steuerung. Kein Kostenpunkt, sondern Investition. Und letztlich: keine IT-Angelegenheit, sondern Unternehmensverantwortung.

Wer das verstanden hat, handelt nicht aus Angst, sondern aus Einsicht – und legt damit den Grundstein für Resilienz, Vertrauen und nachhaltigen Erfolg.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert