In den meisten Geschäftsführungen steht Cybersecurity unter Sonstiges. Gleich nach dem Parkplatzkonzept.
Denken Sie an Ihre letzte Geschäftsführungssitzung. Auf der Tagesordnung: Umsatz, ein Personalthema, die Investition in die neue Linie. Wo stand Cybersecurity? Bei den meisten Mittelständlern gar nicht. Oder unter Sonstiges.
Vor Kurzem saß ich beim Tag der Industrie im selben Raum wie der Bundeskanzler, die halbe Bundesregierung und die Vorstände der Konzerne, deren Namen jeder kennt. Dort fiel ein Satz, der nach Konsens klingt und in Wahrheit eine Rechnung ist: Sicherheit, Innovation und Wettbewerbsfähigkeit gehören zusammen. Diesen Satz löst niemand in Berlin ein. Sie tun es montags, in Ihrem Sitzungsprotokoll. Oder Sie brechen ihn.
Montag, 9 Uhr, die Probe aufs Exempel
Stellen Sie sich vor, der Berliner Satz wäre in Ihrem Haus ernst gemeint. Dann läge montags etwas auf dem Tisch, das heute fast nirgends darauf liegt. Kein Sondertermin nach dem Vorfall, sondern ein fester Slot. Ein Mittelständler mit ein paar Hundert Beschäftigten, eine Produktionslinie, die nicht stillstehen darf, ein Lieferant, ohne den nichts läuft. Ihr IT-Leiter legt eine Zahl auf den Tisch: so gut ist das Unternehmen geschützt, nicht besser. Eine Kennzahl, kein Bauchgefühl. Und am Ende fällt eine Entscheidung, die Geld kostet und einen Termin trägt.
Das ist die ganze Probe. Passiert das nicht, war der Satz nur ein Satz.
Warum es montags fast nie passiert
Im Mittelstand ist Cybersecurity delegiert, nicht verantwortet. Eine Person in der IT trägt sie. Dazu ein Stapel Werkzeuge, über Jahre gewachsen: ein Scanner hier, eine Lösung da, jede einzeln sinnvoll angeschafft, zusammen ein Flickenteppich, den niemand mehr überblickt. Den Rest erledigt das Bauchgefühl, weil ein belastbares Ist-Bild fehlt.
Das war jahrelang vernünftig. Cybersecurity war wirklich Technik: Firewall, Backups, Patches. Wer das der IT überließ, handelte richtig. Die Technik ist dieselbe geblieben. Was sich verschoben hat, ist der Einsatz. Wenn die Produktionslinie nach einem Angriff drei Wochen steht, ist das keine IT-Panne mehr, sondern eine Frage des Überlebens.
Stellen Sie heute in der Geschäftsführung die Frage, wie sicher Sie wirklich sind. Sie bekommen keine belastbare Antwort. Was Sie haben, ist eine Sammlung von Tools und die Annahme, dass sie reicht. Geprüft hat das niemand.
Der Budgettest
Echte Führungsverantwortung erkennt man nicht am Panel und nicht am Bekenntnis. Man erkennt sie an der nächsten Budgetentscheidung. Echte Führung schreibt Sicherheit in den Plan, bevor ein Vorfall sie erzwingt. Wer erst dann an eine Zahl denkt, hat die Frage längst an die IT delegiert.
Auf der Bühne in Berlin fiel der zweite Satz des Tages: Cybersecurity ist nicht nur IT, sie ist Führungsverantwortung. Was das konkret heißt, entscheidet sich in Ihrer Budgetrunde. Es heißt nicht, einen Vortrag abzunicken und sich gut zu fühlen. Es heißt: ein Ist-Bild verlangen, eine Roadmap mit Terminen und Budget genehmigen, beim nächsten Mal nachhalten, ob umgesetzt wurde, was genehmigt war. Zwei davon kann jeder Geschäftsführer am Montag tun, ganz ohne Sicherheitsstudium.
Wer delegiert, sobald es Geld kostet, hat es nie zur Chefsache gemacht. Auf der Bühne kostet das Wort nichts. In der Budgetrunde schon. Dort entscheidet sich, ob es ernst war.
Souveränität ist Ihre Risikofrage, nicht die der Politik
Digitale Souveränität klingt auf dem Podium nach Geopolitik. In Ihrer Sitzung ist sie eine simple Inventurfrage. An wie vielen einzelnen Anbietern hängt Ihr Betrieb? Was passiert, wenn einer ausfällt, gehackt wird oder schlicht den Preis diktiert? Der eine Cloud-Anbieter, ohne den Ihre Auftragsabwicklung stillsteht, ist genau so ein Punkt.
Wer seine Widerstandsfähigkeit an einzelne Anbieter ausgelagert hat, hält sie nicht mehr selbst in der Hand. Sie merken es erst im Ernstfall. Dann ist Umsteuern zu spät. Souveränität heißt heruntergebrochen: eine ehrliche Liste Ihrer Lieferanten und Abhängigkeiten, die ein Geschäftsführer ohne Sicherheitsstudium liest und versteht. NIS-2 macht daraus eine Pflicht mit Haftung. Und Haftung lässt sich nicht mitdelegieren. Sie bleibt oben.
Was hier fehlt, ist kein weiteres Werkzeug. Es fehlt ein belastbares Ist-Bild und ein Prozess, der dranbleibt. Genau das macht Cybervize: nicht das zehnte Tool, sondern eine Plattform und ein Assessment mit echter Begleitung, das aus dem Ist-Bild eine NIS-2-Roadmap mit Terminen macht. Wir nehmen der Geschäftsführung die Verantwortung nicht ab. Wir bereiten sie so auf, dass sie sich tragen lässt, ohne dass die Geschäftsführung selbst zur Sicherheitsexpertin werden muss.
Der kleine Anbieter am großen Tisch, und warum das die Pointe ist
Jetzt zurück nach Berlin. Cybervize ist ein junges Start-up, das die wenigsten im Raum kannten, und saß trotzdem mit Kanzler, Bundesregierung und DAX-Spitzen am selben Tisch. Den Zugang verdanke ich dem CISPA Helmholtz-Zentrum für Informationssicherheit und Jürgen Philippi.
Das ist die eigentliche Pointe. Wenn Cybersecurity auf diese Ebene gehört, neben Industriepolitik und Wettbewerbsfähigkeit, dann gehört sie erst recht in jede Geschäftsführung darunter. Der Tisch in Berlin ist das Symbol. Beglichen wird die Rechnung eine Ebene tiefer, tausendfach, in den mittelständischen Betrieben, die zusammen mehr Wertschöpfung tragen als jeder DAX-Konzern. Zwischen dem Kabinettstisch und Ihrem Montagmorgen liegt eine Lücke. Diese Lücke schließt kein Gipfel in Berlin. Sie schließt sich in Ihrer Sitzung am Montag, oder gar nicht.
Die eine Frage für Ihre nächste Sitzung
Hat Ihre nächste Geschäftsführungssitzung einen Punkt Cybersecurity, mit Namen, Zahl und Termin? Wenn nicht, kennen Sie die Antwort schon. Mehr müssen Sie nicht wissen, um zu sagen, ob der Satz aus Berlin in Ihrem Haus gilt oder nur dort gefallen ist.