Mit Dora und NIS 2 rücken Cyberrisiken auf die Agenda der C-Suite. Dringlicher wird dadurch der Abschied von veralteten Steuerungsmodellen und Silostrukturen klassischer Governance-Ansätze sowie der Blick auf neue Lösungsmöglichkeiten wie Cyber Risk Quantification.
Gehackte Systeme: Ransomware-Angriffe können für millionenschwere Geschäftsunterbrechungen mit klarer Schadenssumme sorgen.
Sashkinw / Getty Images / iStock
Mit den Richtlinien "Network and Information Security Directive 2 (NIS 2)" und "Digital Operational Resilience Act (Dora)" stellt die EU klar: Cybersicherheit ist kein rein technisches Thema mehr, sondern ein unternehmensweites Führungs- und Reputationsrisiko. Während NIS 2 insbesonders kritische Infrastrukturen (Kritis) adressiert, verlangt Dora zusätzlich von Finanzunternehmen, dass sie Cyber- und Resilienzrisiken erkennen und regelmäßig testen. Beide Richtlinien verlagern die Verantwortung zunehmend an das Management. Dabei ist das persönliche Risiko der C-Suite bei Verstößen nicht gering: Es kann zu finanziellen Sanktionen führen und bei besonders gravierenden Fällen entziehen Aufsichtsbehörden den Entscheidungsträgern sogar vorübergehend die Führungsfunktion.
Für viele Konzerne stellen diese Richtlinien eine große Herausforderung dar, da ihr System bis heute in klassischen Governance-, Risk- und Compliance-Strukturen (GRC-Strukturen) verankert ist. Risiken werden leider noch in Tabellen dokumentiert, Policies einmal jährlich überprüft und interne Audits als formale Pflichtübungen abgearbeitet. Die Verantwortung für Cybersicherheit verteilt sich dabei auf unterschiedliche Unternehmenssektoren. Eine übergreifende Koordination fehlt häufig, ebenso wie ein gemeinsames Verständnis der Bedrohungslage oder eine einheitliche Risikobewertung.
Warnungen aus der IT sind nur schwer greifbar
Zugleich lassen sich technische Schwachstellen kaum in geschäftsrelevante Auswirkungen übersetzen. Warnungen aus der IT erreichen das Management häufig als schwer greifbare Detailinformationen. Da Cybersicherheit vielerorts noch als operative Aufgabe gilt und nicht als strategische Führungsverantwortung, ist die Anbindung an die Geschäftsleitung oftmals nur punktuell.
Die Lücke zwischen regulatorischem Anspruch und realer Umsetzung wird damit zum strategischen Risiko, und zwar nicht nur im Krisenfall, sondern bereits in der täglichen Steuerung von Sicherheits- und Investitionsentscheidungen. Die zentrale Frage lautet also zum einen: Ist die Organisation compliant? Und zum anderen: Versteht das Management die konkreten Cyberrisiken und hat es ein nachvollziehbares, belastbares Umsetzungsprogramm aufgestellt?
Ein kleiner Fehler kann große Auswirkungen haben
Ein Beispiel dafür, wie selbst ein vermeintlich kleiner Fehler große Wirkung entfalten kann, ist der Crowdstrike-Vorfall, der im Juli 2024 in aller Munde war. Ein fehlerhaftes Software-Update des Security-Anbieters legte weltweit über 8,5 Millionen Windows-Geräte lahm. Das hatte Folgen für zentrale Unternehmensbereiche in Branchen wie Luftfahrt, Gesundheitswesen und Finanzdienstleistungen. Der Vorfall zeigt auf, dass es keine gezielte Cyberattacke braucht, um massive Betriebsunterbrechungen auszulösen. Auch technische Pannen oder interne Systemfehler können enorme Schäden verursachen.
Der Crowdstrike-Fall macht deutlich: Cyberrisiken müssen im Gesamtkontext statt als Einzelrisiken betrachtet werden, um sie unternehmensweit erfassen und sich dafür wappnen zu können. Dabei ist ein Top-Down-Ansatz zum Einstufen von Cyberbedrohungen gefordert. Das beginnt damit, die übergeordneten Geschäftsziele eines Unternehmens zu identifizieren und anschließend Cyberrisiken anhand ihres potenziellen wirtschaftlichen Einflusses auf diese Ziele zu bewerten. Dieser Überblick ermöglicht es, Cyberrisiken in direkten Bezug zu strategischen Zielen zu setzen und die eigene Risikobereitschaft realistisch einzuordnen. Auf dieser Basis lassen sich fundierte Entscheidungen darüber treffen, ob bestehende Maßnahmen ausreichen oder Anpassungen notwendig sind. Im genannten Beispiel hätte eine frühzeitige Analyse des unternehmensweiten Cyberrisikos dabei helfen können, die Auswirkungen von Betriebsunterbrechungen besser vorhersehen, steuern und koordinieren können.
Cyber Risk Quantification ist ein vielversprechender Ansatz
Das Beispiel sowie die regulatorischen Anforderungen machen deutlich: Klassische GRC-Ansätze stoßen in ihrer bisherigen Form an Grenzen. Tabellenbasierte Risikoregister, jährlich aktualisierte Policies und rein dokumentenzentrierte Prüfpfade reichen nicht mehr aus. Gefordert ist eine Lösung, die Risiken unternehmensweit nicht nur klar überwacht und priorisiert, sondern auch das C‑Level gezielt mit den Informationen versorgt, die es braucht, um Strategien anzupassen und Ressourcen effizient einzusetzen.
Ein vielversprechender Ansatz ist die Cyber Risk Quantification: Statt Risiken abstrakt zu beschreiben, werden sie mit Blick auf Eintrittswahrscheinlichkeit, potenziellen Schäden und Unternehmensgröße in konkrete finanzielle Szenarien übersetzt. So lassen sich etwa Ransomware-Angriffe nicht nur als Bedrohung der Datenintegrität, sondern als millionenschwere Geschäftsunterbrechung mit klarer Schadenssumme modellieren. Egal ob ein kleiner interner Fehler, der zu unerwarteten Konsequenzen führt, oder ein raffinierter, gezielter Cyberangriff: Für das Management entstehen mit einem Top-Down-Cyberrisk-Quantification-Ansatz greifbare Entscheidungsgrundlagen, die sich mit anderen Business-Risiken vergleichen und priorisieren lassen.
Solch eine Governance-Architektur ist nicht nur regulatorisch konform, sie begründet auch ein strategisches Fundament: Budgets und Boards verstehen, dass Cybersecurity-Investitionen keine Kostenstelle, sondern eine Risikobewältigung sind. Damit wird Cyberresilienz zum integralen Bestandteil unternehmerischer Zukunftsfähigkeit.
