"Sicherheit? Haben wir implementiert": Vier Routinen für echte Cyber-Resilienz

"Sicherheit? Haben wir implementiert." Dieser Satz fiel in einem Erstgespräch mit einem CEO. Drei Fragen später war es still im Raum. Nicht weil die Fragen unangenehm waren – sondern weil keine der Antworten da war. Cybersicherheit, die einmal eingerichtet und seitdem nicht mehr gepflegt wurde, ist keine Sicherheit. Sie ist eine Illusion mit Verfallsdatum.

Die stille Illusion der implementierten Sicherheit

In vielen mittelständischen Unternehmen existiert eine verbreitete, aber gefährliche Überzeugung: Sicherheit ist etwas, das man einrichtet. Eine Firewall wird konfiguriert, ein Antivirenprogramm installiert, ein ISMS aufgebaut – und dann ist Sicherheit "implementiert". Diese Sichtweise verkennt die dynamische Natur von Cybersicherheit grundlegend.

Angreifer entwickeln sich ständig weiter. Neue Schwachstellen entstehen täglich. Die eigene Infrastruktur verändert sich durch neue Systeme, neue Mitarbeitende und neue Prozesse. Sicherheit ohne kontinuierliche Pflege und regelmäßige Überprüfung ist wie ein Auto ohne Wartung: Es fährt – bis es nicht mehr fährt. Und meistens fährt es nicht mehr, wenn man es am wenigsten gebrauchen kann.

Kontrolle ist Wiederholung, nicht Absicht

Der entscheidende Unterschied zwischen einem sicheren und einem unsicheren Unternehmen liegt nicht in der einmaligen Entscheidung für Sicherheitsmaßnahmen, sondern in der Regelmäßigkeit, mit der diese Maßnahmen gelebt werden. Kontrolle entsteht durch Wiederholung – nicht durch gute Absichten.

Vier Routinen sind dabei besonders kritisch für echte Cyber-Souveränität im Regelbetrieb:

Berechtigungsreviews: Mitarbeiterwechsel, Projektübergaben und veränderte Rollen führen dazu, dass Zugriffsrechte im Laufe der Zeit vom ursprünglichen Bedarf abweichen. Jemand, der das Unternehmen verlassen hat, sollte keinen Zugriff mehr haben. Jemand, der die Abteilung gewechselt hat, braucht andere Rechte als zuvor. Regelmäßige Reviews – mindestens quartalsweise – stellen sicher, dass nur die Menschen Zugriff auf Systeme haben, die ihn tatsächlich brauchen. Berechtigungsreviews "wenn Zeit ist" finden in der Praxis nicht statt.

Patch- und Vulnerability-Management: Bekannte Schwachstellen sind der häufigste Angriffsvektor in der Praxis. Ein strukturierter Patch-Prozess, der nicht von einzelnen Personen abhängt, sondern als Routine funktioniert, reduziert das Angriffsfenster erheblich. Heldentum ist kein Prozess.

Recovery-Tests mit dokumentierten Ergebnissen: Backup-Systeme nützen nichts, wenn die Wiederherstellung nicht funktioniert oder inakzeptabel lange dauert. Recovery-Tests müssen regelmäßig durchgeführt und echte Ergebnisse dokumentiert werden: Testdatum, tatsächliche Recovery-Zeit, gefundene Probleme, eingeleitete Maßnahmen. Ein Plan ohne Testergebnis ist eine Annahme.

Incident-Übungen vor dem Vorfall: Wer wartet, bis ein Vorfall eintritt, um zu lernen, wie er damit umzugehen ist, lernt zu spät und zu teuer. Regelmäßige Übungen stärken die Handlungsfähigkeit und decken Lücken auf, solange sie noch geschlossen werden können.

Die versteckte Gefahr: Wenn Routinen verschoben werden

Die größte Gefahr für Sicherheitsroutinen ist nicht die aktive Entscheidung, sie abzuschaffen. Es ist das stille Verschieben unter Stress. "Diese Woche haben wir keine Zeit für den Berechtigungsreview" klingt nach einem vernünftigen Kompromiss. Wenn daraus "dieser Monat" und schließlich "dieses Quartal" wird, entsteht eine Kontrolllücke, die sich schleichend zu einem erheblichen Risiko entwickelt.

Die Frage, welche Sicherheitsroutine als Erste verschoben wird, wenn es stressig wird, ist eine der wichtigsten Fragen für die Resilienz eines Unternehmens. Die Antwort darauf gibt Aufschluss darüber, wo die tatsächlichen Schwachstellen liegen – nicht die dokumentierten, sondern die gelebten.

Vier Fragen, die jeder CEO beantworten können sollte

Wann war der letzte Berechtigungsreview, und wer hat ihn verantwortet? Wann wurde die Wiederherstellung zuletzt getestet, und was war das Ergebnis? Wann war die letzte Krisenübung, und welche Erkenntnisse wurden gewonnen? Welche Sicherheitsroutine wurde zuletzt verschoben – und warum?

Für Unternehmen unter NIS-2-Pflicht sind diese Fragen nicht rhetorischer Natur. Die Richtlinie fordert explizit kontinuierliche und regelmäßige Überprüfung der Sicherheitsmaßnahmen. Einmalige Implementierung ohne fortlaufende Pflege erfüllt diese Anforderung nicht. Echte Cyber-Souveränität entsteht durch strukturierte Taktung – feste Rhythmen für Reviews, Tests und Übungen, die nicht von der Auslastung des Unternehmens abhängen.