Cybervize - Cybersecurity Beratung
Alle Artikel

Warum Governance-Programme an Woche 6 scheitern

Alexander Busse·7. April 2026
Warum Governance-Programme an Woche 6 scheitern

Die meisten Programme sterben nicht am Start. Sie sterben an Woche 6.

Wenn aus Initiative Regelbetrieb werden müsste, aber niemand Zeit freischaufelt. Wenn das Steering Committee nicht mehr tagt. Wenn die erste Euphorie dem Tagesgeschäft weicht. Dann bleibt Souveränität ein Projektordner.

Initiative ist kein Regelbetrieb

Das ist das zentrale Missverständnis in vielen Governance-Programmen. Der Start gelingt: Budget bewilligt, Sponsor an Bord, erste Maßnahmen umgesetzt. Aber nachhaltiges Governance entsteht nicht durch einen erfolgreichen Kickoff. Es entsteht durch Wiederholung.

Kontrolle ist eine Gewohnheit. Und Gewohnheiten schlagen Folien.

Warum Programme an Woche 6 scheitern

Der Bruch kommt selten dramatisch. Er kommt schleichend.

Das erste Review wird verschoben. Das zweite fällt ganz aus. Die verantwortliche Person wechselt die Abteilung. Das Tool, das eigentlich die Nachweise liefern sollte, wurde noch nicht konfiguriert. Die Logs sind da, aber keiner schaut rein.

Was fehlte, war keine Ambition. Was fehlte, war ein verbindlicher Rhythmus, der auch dann funktioniert, wenn die Energie nachlässt.

Der Minimalstandard im Regelbetrieb

Sustainable Governance braucht keinen maximalen Aufwand. Es braucht einen minimalen, aber verbindlichen Rhythmus.

Fünf Elemente haben sich als besonders wirksam erwiesen, auch bei knappen Ressourcen:

Berechtigungsreviews

Monatlich oder vierteljährlich, je nach Risikoprofil. Wer hat Zugriff auf was, und ist das noch begründet? Kein komplexes Tool notwendig. Eine Tabelle mit Verantwortlichem und Datum reicht für den Anfang.

Vulnerability- und Patch-Takt

Nicht jede Schwachstelle muss sofort geschlossen werden. Aber jede muss bewertet werden, und es muss eine definierte Frist und ein Verantwortlicher existieren. Ohne Takt entsteht technische Schuld, die sich still ansammelt.

Recovery-Test

Einmal im Quartal: Ist das Backup wiederherstellbar? Wird der Test dokumentiert? Gibt es Maßnahmen aus dem Ergebnis? Ein ungetestetes Backup ist kein Backup. Es ist eine Hoffnung.

Incident-Übung

Ein Tabletop reicht, wenn er wirklich stattfindet. Einmal im Halbjahr, mit den richtigen Personen im Raum. Die Frage ist nicht, ob alles perfekt läuft. Die Frage ist, ob die Organisation unter Druck handlungsfähig bleibt.

Audit-Export

Logs, Freigaben und Reviews müssen abrufbar sein. Nicht wenn ein Audit angekündigt wird, sondern kontinuierlich. Was nicht dokumentiert ist, hat nicht stattgefunden.

Was bewusst weggelassen werden darf

Nicht alles muss sofort gebaut werden. Wer mit knappen Ressourcen startet, sollte priorisieren: Was ist das größte Risiko? Was ist bereits teilweise vorhanden? Was fordert die Regulierung zuerst?

Ein gut funktionierender Patch-Takt mit klarem Verantwortlichen ist mehr wert als fünf angefangene Prozesse ohne Eigentümer.

Kontrolle als Gewohnheit

Nachhaltiges Governance entsteht nicht durch ein großes Projekt. Es entsteht durch viele kleine, wiederholbare Handlungen, die zur Gewohnheit werden.

Das ist keine schlechte Nachricht. Es ist eine gute. Denn Gewohnheiten lassen sich aufbauen, auch mit begrenztem Budget, auch in kleinen Teams, auch parallel zum Tagesgeschäft.

Der erste Schritt ist nicht der schwierigste. Der schwierigste Schritt ist der von der Initiative in den Regelbetrieb. Wer diesen Schritt bewusst plant, hat das Wichtigste bereits richtig gemacht.

Zurück zur Übersicht

Weitere Artikel

NIS-2 aufschieben: Warum Warten teurer wird als Starten

Wer NIS-2 aufschiebt, zahlt später mehr. Ressourcen werden knapper, Preise steigen und Behörden bauen Prüfkapazitäten auf. Der erste Schritt dauert zwei Stunden.

7. April 2026

NIS-2 in 6 Wochen: Der Sprint, der beim Vorstand ankommt

Wie ein strukturierter 6-Wochen-Sprint mehr NIS-2-Fortschritt liefert als ein 200-Seiten-Konzept. Woche für Woche, mit messbarem Output und einem Vorstandsbericht, der ankommt.

3. April 2026

Datenstrategie vor Compliance: Warum Unternehmen nicht wissen, wo ihre Daten liegen

Viele Unternehmen koennen nicht beantworten, wo ihre kritischen Daten liegen. Was das fuer NIS-2 bedeutet und wie ein Workshop-Tag Klarheit schafft.

2. April 2026

Passende Leistungen

Virtual CISO (vCISO)

Strategische Sicherheitsführung auf C-Level, flexibel und kosteneffizient.

Mehr erfahren

AI Security Governance

Sichere KI-Nutzung mit Governance-Frameworks und Risikobewertung.

Mehr erfahren

Cybersecurity Assessment

Umfassende Analyse Ihrer IT-Sicherheitslage mit konkretem Maßnahmenplan.

Mehr erfahren

Passende Podcast-Folgen

Diese Episoden vertiefen das Thema weiter.

Awareness & Kultur

Warum kluge Menschen auf Phishing reinfallen

Mit Jill Wick, Wirtschaftspsychologin (FH) aus Zürich und Expertin für Security Awareness

37 minAnhoeren
Awareness & Kultur

Die Stimme lügt nie – Kommunikation als Schlüssel zur Cybersicherheit

Mit Mandy Brandt, Sprecherin

24 minAnhoeren
Awareness & Kultur

Florian Jörgens | Vorwerk | Sensibilisierung ist der Schlüssel zur Cybersicherheit

Mit Florian Jörgens, Vorwerk

34 minAnhoeren