Datum:
Wir sitzen in der Businesslounge eines großen deutschen Flughafens, als wir ein Gespräch zweier Manager über einen Cyberangriff bei einem Wettbewerber mithören. Zwei Monate Produktionsausfall, zwei Milliarden Euro Schaden. Die Reaktion der beiden neben uns ist typisch: die eigene IT hinterfragen, neue Firewalls, zusätzliche Budgets. „Dann muss aber auch mal Schluss sein“, sagt einer.
Hier beginnt das Missverständnis. Digitale Resilienz ist kein Investitionsprojekt mit Enddatum. Sie ist eine unternehmerische Daueraufgabe – und eine Führungsfrage.
Mehr als IT-Sicherheit
Unternehmen haben Geschäftsmodelle, Prozesse und Wertschöpfungsketten konsequent digitalisiert. Effizienz, Skalierbarkeit und Transparenz sind gestiegen – ebenso wie die Abhängigkeit von IT-Systemen. Fällt die IT aus, steht nicht nur ein Supportprozess still, sondern im Zweifel Produktion, Logistik oder Vertrieb.
Trotz aller Digitalisierung und Entwicklung werden auch heute noch landläufig technische Schutzmaßnahmen als Resilienz missverstanden. Firewalls, Monitoring, Verschlüsselung. Alles zweifelsohne notwendig – und doch ist nicht allein die Fähigkeit, Angriffe erfolgreich zu verhindern als Resilienz zu sehen, vielmehr ist es die Fähigkeit, Störungen zu verkraften und den Betrieb kontrolliert fortzuführen – auch wenn Schutzmechanismen versagen.
Robustheit ist wichtig. Entscheidend ist jedoch: Was passiert, wenn sie nicht ausreicht? Wer steuert im Krisenfall? Wie lange lassen sich kritische Leistungen aufrechterhalten? Welche Prioritäten gelten dann?
Verantwortung des Top-Managements
Digitale Resilienz beginnt im Vorstand und Aufsichtsrat. Cyberrisiken sind Geschäftsrisiken – mit Auswirkungen auf Umsatz, Reputation, Regulierung und persönliche Haftung. Mit NIS-2, DORA und verschärften Anforderungen an das Risikomanagement ist die Erwartung an Leitungsorgane klar.
Resiliente Organisationen beantworten auf Leitungsebene zentrale Fragen:
- Welche Systeme sind tatsächlich geschäftskritisch?
- Welche Abhängigkeiten bestehen zu Dienstleistern, Cloud-Anbietern oder Schlüsselpersonen?
- Wie lange darf ein System ausfallen, bevor existenzielle Schäden drohen?
- Welche Prozesse müssen priorisiert wieder anlaufen?
- Wer trifft im Krisenfall verbindliche Entscheidungen – auf welcher Informationsbasis?
Cyberkrisen scheitern selten an fehlender Technik. Sie scheitern an unklaren Zuständigkeiten, unvorbereiteten Führungskräften und Strukturen, die ausschließlich auf Effizienz im Normalbetrieb ausgerichtet sind. Wer nur auf maximale Auslastung optimiert, schafft keine Puffer für Ausnahmesituationen.
Backups, Redundanzen und Notbetriebsfähigkeiten sind daher strategische Voraussetzungen unternehmerischer Souveränität. Sie kosten Geld – kaufen aber Zeit. Und Zeit ist in der Krise die knappste Ressource. Investitionen müssen deshalb auch unter dem Aspekt der Überlebensfähigkeit bewertet werden.
Abhängigkeiten verstehen – Wertschöpfung sichern
Ein Kernbaustein digitaler Resilienz ist Transparenz. Viele Unternehmen verfügen über detaillierte Kenntnisse einzelner Prozesse und kennen auch die jeweils notwendigen Systeme, können aber nicht prozessübergreifend identifizieren, welche Systeme von besonderer Wichtigkeit sind.
Oft wird erst im Ernstfall sichtbar, wie eng Prozesse, Datenflüsse und externe Partner verflochten sind. Ein scheinbar peripheres System wird zum Nadelöhr. Eine kleine Änderung bei einem Dienstleister legt eine Lieferkette lahm.
Resiliente Unternehmen führen konsequent belastbare Business-Impact-Analysen durch. Sie quantifizieren Auswirkungen, definieren Wiederanlaufziele und entwickeln realistische Notfall- und Notbetriebsmodelle. Entscheidend ist Klarheit in der Priorisierung. Was zuerst wieder laufen muss, ist keine IT-, sondern eine strategische Entscheidung.
Entscheiden unter widrigen Umständen
Cybervorfälle verlaufen dynamisch. Informationen sind unvollständig und verändern sich laufend. Entscheidungen müssen unter Zeitdruck getroffen werden – mit hoher Tragweite und öffentlicher Aufmerksamkeit.
Das widerspricht dem Ideal vollständiger Informationsbasis und sorgfältiger Abwägung. In der Krise ist Perfektion kein realistisches Ziel – Handlungsfähigkeit jedoch schon.
In der Luftfahrt unterstützt etwa die Methode „FOR-DEC“ strukturierte Entscheidungen unter Stress: Fakten sammeln, Optionen entwickeln, Risiken bewerten, entscheiden und Umsetzung kontrollieren. Solche Ansätze lassen sich auf Unternehmen übertragen.
Führungskräfte müssen trainieren, in Ausnahmesituationen strukturiert zu denken, Verantwortung zu übernehmen und Entscheidungen transparent zu vertreten – auch bei lückenhafter Informationslage. Krisenfähigkeit entsteht im Training, nicht im Ernstfall. Planspiele, Simulationen und klare Eskalationsmechanismen sind Investitionen in Führungsqualität.
Kommunikation als Resilienzfaktor
Wenn Systeme ausfallen, entsteht schnell ein Informationsvakuum. Mitarbeiterinnen und Mitarbeiter wissen nicht, wie sie weiterarbeiten sollen. Kundinnen und Kunden erhalten widersprüchliche Aussagen. Medien spekulieren.
Kommunikation wird oft als nachgelagerte Aufgabe betrachtet. Tatsächlich entscheidet sie mit darüber, ob Vertrauen erhalten bleibt oder dauerhaft Schaden nimmt. Resiliente Unternehmen verfügen über abgestimmte Kommunikationsstrategien, definierte Sprecherrollen und klare Freigabeprozesse. Sie kommunizieren transparent über Bekanntes – und ehrlich über Unklarheiten.
Gerade intern ist Klarheit entscheidend, um Orientierung zu geben und Gerüchte zu vermeiden. Wer in der Krise schweigt, überlässt anderen die Deutungshoheit.
Strategische Aufgabe für Entscheiderinnen und Entscheider
Für operative Verantwortungsträger sowie Aufsichts- und Beiräte bedeutet digitale Resilienz, das Thema regelmäßig und strukturiert zu adressieren – nicht nur in Form von Budgetfreigaben, sondern als strategischen Dialog:
- Ist die Risikolage transparent und aktuell bewertet?
- Gibt es ein belastbares Krisen- und Notfallmanagement?
- Werden Szenarien realistisch geübt?
- Sind Verantwortlichkeiten klar geregelt – auch mit externen Partnern?
Digitale Resilienz ist Teil guter Corporate Governance. Sie stärkt nicht nur die Widerstandsfähigkeit gegen Cyberangriffe, sondern erhöht die strategische Flexibilität insgesamt. Wer gelernt hat, mit digitalen Störungen umzugehen, ist auch auf andere Disruptionen besser vorbereitet.
Kultur und Lernfähigkeit
Zu guter Letzt ist digitale Resilienz auch eine Frage der Unternehmenskultur. Dürfen Risiken offen adressiert werden? Werden Schwachstellen gemeldet – oder aus Angst verschwiegen?
Organisationen mit konstruktiver Fehlerkultur erkennen Probleme früher und reagieren schneller. Sicherheitsvorfälle werden nicht primär als Schuldfrage behandelt, sondern als Lernanlass.
Resilienz endet nicht mit der Wiederherstellung des Betriebs. Der eigentliche Mehrwert entsteht danach. Jede Krise offenbart implizite Annahmen, Entscheidungswege und strukturelle Schwächen. Resiliente Organisationen werten Vorfälle systematisch aus, passen Notfallpläne an und entwickeln ihre Governance weiter. Resilienz ist ein kontinuierlicher Verbesserungsprozess.
Fazit: Souveränität im Ausnahmezustand
Wir steigen selbstverständlich in ein Flugzeug, weil wir darauf vertrauen, dass nicht nur im Normalbetrieb alles funktioniert, sondern auch für den Ausnahmefall vorgesorgt ist. Redundanzen, Checklisten, Training und klare Verantwortlichkeiten schaffen Sicherheit – nicht die Illusion völliger Fehlerfreiheit.
Unternehmen können von diesem Prinzip lernen. Digitale Resilienz bedeutet nicht, jeden Angriff zu verhindern. Sie bedeutet, auch im Ausnahmezustand steuerungsfähig zu bleiben, Entscheidungen zu treffen und Verantwortung zu übernehmen.
Oder, um es mit der Frage aus der Flughafenlounge zu sagen: Die entscheidende Frage ist nicht, ob es zu einer Störung kommt, sondern, ob wir vorbereitet sind, wenn doch.
