Solange alles läuft, ist IT unsichtbar, genau das ist das Problem
IT ist wichtig. Aber solange die IT und die damit verbundenen Abläufe funktioniert, wird sie meist wenig gesehen und darin besteht eine große Gefahr. Dabei bietet die IT eigentlich gerade derzeit so viele Chancen. Ich habe einige IT- ler aus Wirtschaft und Verwaltung nach typischen Sätzen gefragt, die sie in diesem Kontext oft hören, heraus kam diese (verkürzte) kleine Liste:
Klassische Aufschubsätze: •„Das hat im Moment keine Priorität.“ • „Dafür haben wir aktuell keine Kapazitäten.“ • „Das machen wir im nächsten Haushaltsjahr.“ • „Erst mal abwarten.“ • „Das läuft doch ohne Ausfälle.“
Budget- & Zuständigkeitssätze: • „Dafür ist aktuell kein Budget vorgesehen.“ • „Das fällt nicht in meinen Verantwortungsbereich.“ • „Das müsste jemand anders entscheiden.“ • „Dafür brauchen wir erst einen Beschluss.“ • „Das ist Sache der IT.“
Verharmlosung von Risiken: • „So schlimm wird es schon nicht kommen.“ • „Uns hat es bisher ja auch nicht getroffen.“ • „Wir sind dafür eigentlich zu klein / zu unattraktiv.“ • „Das passiert doch nur bei großen Konzernen.“ • „Wir haben doch ein Backup/ eine Firewall.“
Scheinsicherheit: • „Wir haben dafür ein Konzept.“ • „Das steht so in der Richtlinie.“ • „Das ist dokumentiert.“ • „Dafür gibt es einen Prozess.“ • „Das ist geregelt.“
Und natürlich die Krisenfallsätze, wenn es zu spät ist: • „Warum hat uns das niemand früher gesagt?“ • „Aber das hätten Sie doch verhindern müssen!“ • „Wie konnte das passieren?“ • „Jetzt müssen wir schnell entscheiden.“ • „Wer ist eigentlich verantwortlich?“
Hört sich schlimm an? Ja, wobei in vielen Unternehmen und Verwaltungen ist das Bewusstsein für IT-Sicherheit grundsätzlich vorhanden. Risiken sind bekannt, Hinweise werden gegeben, Budgets angemahnt. Doch im Alltag konkurriert Sicherheit mit Fachprojekten, Haushaltsrunden, politischen Vorgaben und kurzfristigem Erfolgsdruck. Die Folge ist häufig leider die Vertagung.
Bis der Ernstfall eintritt.
Dann zeigt sich, dass es nicht nur um Technik geht, sondern um Organisation. Neben Sicherheitslücken treten strukturelle Schwächen zutage: unklare Zuständigkeiten, nicht definierte Entscheidungswege, fehlende Eskalationsmechanismen. Wer trifft im Krisenfall welche Entscheidung? Wer trägt Verantwortung? Wer darf Systeme abschalten, externe Unterstützung beauftragen oder nach außen kommunizieren?
In vielen Organisationen bleiben diese wichtigen Fragen zumindest in Teilen offen. Ransomware-Angriffe, Systemausfälle oder Datenverluste folgen dabei oft demselben Muster:
Solange nichts passiert, bleibt IT-Sicherheit ein nachgelagertes Thema. Erst im Stillstand wird sichtbar, was der Aufschub tatsächlich kostet, finanziell, organisatorisch und in der öffentlichen Wahrnehmung.
Der notwendige Perspektivwechsel besteht darin, IT nicht als reine Kostenstelle zu betrachten, sondern als Absicherung der eigenen Handlungsfähigkeit. Ähnlich wie bei Versicherungen zeigt sich ihr Wert nicht im Alltag, sondern im Schadensfall.
Organisationen, die diesen Ansatz verfolgen, handeln entsprechend anders:
1. Sie testen realistische Krisen- und Ausfallszenarien.
2. Sie definieren Rollen, Verantwortlichkeiten und Entscheidungsbefugnisse eindeutig im Voraus.
3. Sie investieren präventiv, bevor Systeme, Prozesse oder Dienstleistungen zum Stillstand kommen.
Was darüber hinaus häufig fehlt, sind belastbare Strukturen jenseits von Konzeptpapieren. Sicherheit endet nicht mit einer Richtlinie, Arbeitsanweisung oder einem Beschluss. Vielmehr braucht die Einrichtung realistischer Test- und Übungsumgebungen, in denen Angriffe, Ausfälle und Wiederanläufe praktisch erprobt werden, regelmäßige Audits, die nicht nur formale Anforderungen prüfen, sondern die tatsächliche Wirksamkeit von Maßnahmen, sowie geprüfte Sicherheitskonzepte, die im operativen Betrieb verankert sind. Erst wenn Sicherheitsmaßnahmen getestet, überprüft und kontinuierlich weiterentwickelt werden, entsteht echte Resilienz. Natürlich ist auch hier das Ergebnis ist kein absoluter Schutz, das wäre ein ebenso gefährlicher Irrglauben, aber es ist Kontrolle und genau da liegt dann der entscheidende Unterschied.
Handlungsfähigkeit statt Stillstand.
Struktur statt Chaos.
Führung statt reiner Reaktion.