Datenstrategie vor Compliance: Warum Unternehmen nicht wissen, wo ihre Daten liegen
Wo liegen Ihre kritischen Daten?
Ein IT-Leiter stellte letzte Woche eine Frage, die er selbst nicht beantworten konnte: "Wissen wir eigentlich, wo unsere Daten liegen?" Er meinte es als rhetorische Frage. Die Antwort war trotzdem: Nein.
Drei Cloud-Anbieter. Zwei KI-Tools im produktiven Einsatz. Ein Incident-Response-Plan, der schlicht "die IT" als Verantwortlichen nennt. Keine Datenkarte. Kein Verzeichnis. Keine klare Ownership. Das ist kein Einzelfall – es ist das Standardbild in mittelstaendischen Unternehmen heute.
Das stille Kontrollvakuum
Wer Daten nicht kontrolliert, kontrolliert im Digitalen gar nichts. Das klingt dramatisch. Es ist aber nuchterne Realitaet.
Jede strategische Entscheidung – Einkaufsoptimierung, Kundenanalyse, Prognosemodell – basiert auf Daten. Wenn niemand weiss, welche Daten wo verarbeitet werden, wer Zugriff hat und wie aktuell sie sind, dann sind diese Entscheidungen auf Sand gebaut. Nicht aus Nachlassigkeit. Aus strukturellem Kontrollverlust.
Die meisten Unternehmen haben dieses Problem nicht bewusst ignoriert. Sie sind hineingewachsen. Jede neue Cloud-Applikation, jede KI-Integration, jeder neue Dienstleister hat die Datenlage komplexer gemacht – ohne dass jemand das Gesamtbild aktualisiert haette.
Was NIS-2 konkret fordert
Genau diese drei Punkte sind Pflichtinhalt unter NIS-2, Artikel 21:
Erstens: Unternehmen muessen wissen, wo ihre kritischen Daten liegen. Nicht grob, sondern nachweisbar dokumentiert.
Zweitens: Es muss klar sein, wer Zugriff auf diese Daten hat – mit rollenbasierter Zuordnung, nicht pauschal "die IT".
Drittens: Zugriffskontrollen muessen regelmaessig geprueft werden. Ein Verzeichnis ohne Pruefzyklus ist Papier.
Wer diese drei Punkte nicht nachweisen kann, hat nicht nur ein Sicherheitsproblem. Er hat ein Compliance-Problem gegenueber der Aufsicht – und ein Haftungsproblem bei Vorfaellen.
Der strukturierte Workshop-Tag
Ein Datenverzeichnis aufzusetzen dauert keine Wochen. Es dauert einen strukturierten Workshop-Tag – wenn die richtige Methodik dahintersteht.
Was in diesem Workshop entsteht: Eine priorisierte Uebersicht aller kritischen Datenklassen. Fuer jede Klasse: Speicherort, Verarbeitungskontext, Zugriffsberechtigte und letzte Pruefung. Verantwortlichkeiten sind klar zugeordnet, keine kollektive Schulter.
Das Ergebnis ist kein perfektes Verzeichnis nach ISO-Standard. Es ist ein belastbares Fundament. Eine Arbeitsgrundlage, die sofort Entscheidungen ermoeglicht: Welche Daten sind kritisch? Wo besteht heute Handlungsbedarf? Was muss vor einer NIS-2-Pruefung nachgezogen werden?
Vom Verzeichnis zur Kontrolle
Die eigentliche Wirkung eines Datenverzeichnisses entfaltet sich erst im Betrieb. Nicht beim Erstellen.
Wenn ein Vorfall passiert – und er wird passieren – dann entscheidet die Geschwindigkeit der Schadenseingrenzung ueber die Hoehe des Schadens. Mit einem aktuellen Verzeichnis weiss das Incident-Response-Team in Minuten, welche Systeme betroffen sind, welche Daten potenziell exfiltriert wurden und welche Kunden informiert werden muessen.
Ohne dieses Verzeichnis beginnt die eigentliche Krisenarbeit erst mit der Bestandsaufnahme. Das kostet Zeit. Zeit, die Angreifer nutzen.
Die naechste sinnvolle Handlung
Wann habt ihr zuletzt geprueft, ob ihr wisst, wo eure kritischen Daten liegen?
Wenn die Antwort laenger als drei Sekunden dauert oder mit "vermutlich" beginnt – dann ist heute der richtige Tag, um das zu aendern. Nicht mit einem grossen Projekt. Mit einem Workshop-Tag und der Entscheidung, Kontrolle ernst zu nehmen.