Digitale Resilienz wird im Mittelstand fast überall an die IT delegiert — und ist damit selten wirklich strategisch geklärt. Wenn der Vorfall kommt (Ransomware, Lieferanten-Ausfall, Cloud-Störung), zeigt sich, was die Geschäftsleitung tatsächlich klar entschieden hatte. Welche fünf Fragen jetzt beantwortet werden müssen.
In meinen Mandaten erlebe ich digitale Resilienz oft als blindes Feld der Geschäftsleitung. „Das macht die IT“ oder „Wir haben einen externen Dienstleister“ — beides sind ehrliche Antworten, die aber die strategische Verantwortung verschieben, statt sie zu klären. Wenn der Schaden eintritt, wird klar: Die Geschäftsleitung hatte nie wirklich entschieden, welches Risiko akzeptabel ist.
Das ist kein Vorwurf an einzelne Geschäftsführer. Es ist ein Strukturproblem: Digitale Resilienz klingt technisch — also landet sie beim CTO oder beim externen IT-Dienstleister. Dabei sind die entscheidenden Fragen keine technischen. Sie sind unternehmerische. Wer kritische Systeme, Datensensibilität und Entscheidungsrollen nicht vor dem Vorfall klärt, trifft diese Entscheidungen unter maximaler Zeitnot, in maximaler Unsicherheit, mit maximaler Sichtbarkeit nach außen. Das ist der teuerste Zeitpunkt, um anfangen zu denken.
Dabei ist die Ausgangslage im Mittelstand nicht hoffnungslos — sie ist lösbar. Die meisten Unternehmen, mit denen ich arbeite, haben funktionierende IT-Teams, gute externe Dienstleister und ein grundsätzliches Bewusstsein für das Thema. Was fehlt, ist der strategische Rahmen: Wer hat was entschieden? Welches Risiko ist bewusst akzeptiert worden? Welche Lücken sind bekannt und werden in Kauf genommen — und welche sind schlicht nicht auf dem Radar? Diese Fragen lassen sich in einem halben Tag klären. Die meisten Unternehmen klären sie erst nach dem ersten Vorfall.
Fünf Geschäftsführungs-Fragen
Frage 1: Welche Systeme sind wirklich kritisch? Wenn ERP, CRM oder Produktions-Steuerung 48 Stunden ausfallen — was kostet das konkret? Welche Auswirkungen hat das auf Kunden, Lieferanten, Mitarbeiter? Diese Frage muss die Geschäftsleitung beantworten können, nicht die IT.
Der Grund, warum das so selten passiert: Die meisten Unternehmen haben über Jahre Systeme angehauft, ohne sie je zu priorisieren. In der Wahrnehmung der Geschäftsleitung gilt alles als „wichtig“. Aber wenn im Ernstfall Systeme schrittweise hochgefahren werden müssen — in welcher Reihenfolge? Wer diese Antwort nicht vorbereitet hat, entscheidet unter Druck emotional. Das ist der falsche Zeitpunkt und der teuerste Entscheidungsmodus.
Frage 2: Welche Daten würden uns wirklich treffen? Bei einem Datenleck — welche Daten wären existenzbedrohend? Welche unangenehm, aber tragbar? Ohne diese Klärung ist jede Schutz-Strategie beliebig.
Viele Mittelständler halten Kunden-Daten, Lieferanten-Konditionen, Entwicklungs-Dokumentation und Personalakten auf denselben Systemen — ohne je klassifiziert zu haben, was davon unter DSGVO meldepflichtig ist und was darüber hinaus strategisch sensibel wäre. Beides ist ernst zu nehmen, aber anders. Wer nicht trennt, kann auch keine differenzierte Schutzstrategie bauen: Was muss zwingend verschlüsselt sein? Was darf in der Cloud liegen? Was bleibt on-premise? Jede dieser Entscheidungen setzt die Klassifikation voraus.
Frage 3: Welche Investitions-Schwerpunkte folgen daraus? Wenn die kritischen Systeme klar sind, müssen die Investitionen dort konzentriert sein. Im Mittelstand sehe ich häufig das Gegenteil: Budgets werden flach über alle Systeme gestreut, statt fokussiert dort, wo der Schaden am größten wäre.
Das ist nachvollziehbar: Wer nicht priorisiert hat, kann auch nicht fokussieren. Und IT-Dienstleister, die im Stundenmodell beraten, haben strukturell keinen Anreiz zur Priorisierung — sie beraten lieber umfassend. Was nicht falsch ist. Aber Ihr Budget ist endlich. Zweihunderttausend Euro IT-Sicherheitsbudget, breit gestreut auf vierzig Systeme, kauft wenig echte Resilienz. Dasselbe Budget, fokussiert auf die fünf kritischen Systeme, ist ein fundamental anderes Gespräch.
Frage 4: Welche Lieferanten-Abhängigkeiten haben wir? Cloud-Dienste, Software-Anbieter, Telekommunikation. Was passiert, wenn ein Schlüssel-Anbieter ausfällt? Diese Frage wurde 2024 nach mehreren großen Cloud-Ausfällen schmerzhaft aktuell.
Der CrowdStrike-Vorfall im Juli 2024 legte innerhalb von Stunden 8,5 Millionen Windows-Systeme lahm — darunter Flughäfen, Krankenhäuser, Banken. Im Mittelstand war die Reaktion sehr unterschiedlich: Wer seine Abhängigkeiten kannte, konnte schnell entscheiden. Wer sie nicht kannte, verbrachte die ersten Stunden damit, überhaupt zu verstehen, was betroffen war. Diese Lücke — zwischen Vorfall und Lagebild — ist die teuerste Phase. Nicht weil in dieser Zeit der Angriff weiterläuft, sondern weil in dieser Zeit keine Entscheidungen getroffen werden können.
Frage 5: Wer entscheidet im Vorfall? Wenn der Vorfall kommt, muss klar sein: Wer kommuniziert mit Kunden? Wer mit Behörden? Wer mit der Versicherung? Wer entscheidet, ob der Betrieb auf Notfall-Prozesse umgestellt wird? Diese Klärung gehört vor den Vorfall, nicht danach.
Im Ernstfall verdichtet sich Zeit. Was normalerweise in Meetings über mehrere Tage entschieden wird, muss plötzlich in Minuten entschieden werden — von Menschen, die gleichzeitig unter Druck stehen. Wer die Rollen nicht vorher definiert hat, entscheidet im Chaos. Das wird sichtbar: Kunden, die widersprüchliche Informationen erhalten. Behörden, die zu spät informiert werden. Versicherungen, die berechtigte Ansprüche ablehnen, weil Meldepflichten nicht fristgerecht erfüllt wurden.
Dabei geht es nicht darum, einen perfekten Krisenplan zu schreiben. Es geht darum, dass im Vorfall drei Menschen wissen, was sie zu tun haben — ohne erst eine Schlüsselliste suchen zu müssen.
Zwei Fälle aus der Praxis
Fall 1: Sechs Tage ERP-Ausfall, 340.000 Euro Schaden. Ein Maschinenbau-Unternehmen mit knapp zweihundert Mitarbeitern wurde Opfer eines Ransomware-Angriffs über eine kompromittierte VPN-Verbindung eines Subunternehmers. Das ERP-System war sofort unbrauchbar. Was folgte, war nicht der Angriff selbst — der war handwerklich nicht besonders ausgefeilt. Was folgte, waren die Konsequenzen fehlender Vorab-Entscheidungen.
Die Geschäftsleitung wusste nicht, welche Backup-Strategie die IT hatte — und ob die Backups selbst kompromittiert waren. Der externe IT-Dienstleister wurde informiert, aber wer intern entscheidungsbefugt war, blieb unklar. Kunden wurden erst nach sechsunddreißig Stunden informiert, was in mehreren Fällen zu Stornierungen führte. Die technische Wiederherstellung dauerte sechs Tage. Der direkte Schaden belief sich auf 340.000 Euro — davon ein Drittel nicht versichert, weil Meldepflichten nicht fristgerecht erfüllt worden waren. Die Cyber-Versicherung hatte eine Vierundzwanzig-Stunden-Meldefrist. Die Geschäftsleitung wusste davon nichts.
Die Ursache war kein technisches Versagen. Es war ein Governance-Versagen: keine Priorisierung kritischer Systeme, kein Krisenplan, keine Rollenzuweisung — und ein Versicherungsvertrag, den niemand wirklich gelesen hatte.
Fall 2: Cloud-Ausfall, drei Stunden Informationsvakuum. Ein mittelständisches Logistikunternehmen mit mehreren Niederlassungen nutzte für Auftragssteuerung und Kundenkommunikation einen SaaS-Anbieter, dessen Rechenzentrum in einem großen europäischen Cloud-Vorfall betroffen war. Der Ausfall dauerte vier Stunden. Was ihn teuer machte, war nicht die Dauer — es war das Informationsvakuum.
Die Geschäftsleitung erfuhr vom Ausfall erst nach drei Stunden — von einem Schlüsselkunden, der anrief und fragte, warum keine Lieferbestätigungen kamen. Es gab keinen internen Eskalationspfad für Lieferanten-Ausfälle. Die Disponenten wussten nicht, ob sie auf Papier-Prozesse umsteigen oder warten sollten. Jeder Standort entschied anders. Nach Wiederherstellung mussten die divergierenden Datenbestände mühsam zusammengeführt werden: zwei Arbeitstage Aufwand, eine Kundenbeziehung, die danach nie mehr dieselbe war.
Kein außergewöhnlicher Vorfall. Kein existenzieller Schaden. Aber vollständig vermeidbares Chaos — wenn eine einzige Frage vorab beantwortet worden wäre: Was tun wir, wenn Anbieter X vier Stunden ausfällt?
Beide Fälle haben eines gemeinsam: Die technischen Maßnahmen waren vorhanden. Backups, Versicherungen, Dienstleister — alles existierte. Was fehlte, waren die unternehmerischen Entscheidungen dahinter: Prioritäten, Rollen, Spielregeln für den Ernstfall. Diese Entscheidungen lassen sich nicht an die IT delegieren. Sie gehören in die Geschäftsleitung.
Was nicht funktioniert
Drei häufige Muster — und warum sie scheitern.
Vollständige Delegation an die IT. Die IT entscheidet operativ, aber nicht strategisch. IT-Leiter sind in der Regel gut ausgebildet für technische Entscheidungen. Welches Risiko das Unternehmen insgesamt tragen kann oder will, ist aber keine technische Entscheidung — sie ist eine unternehmerische. Wenn die IT allein entscheidet, was geschützt wird, entscheidet sie nach technischer Logik, nicht nach Geschäfts-Logik. Das erzeugt Schutz an der falschen Stelle: gute Absicherung von Systemen, die im Ernstfall sekundär sind, und blinde Flecken dort, wo es zählt.
Investitions-Hagel ohne Priorisierung. Ohne Fokus wird viel investiert, ohne dass das Risikoprofil sinkt. Das verbreitete Muster im Mittelstand: jedes Jahr leicht erhöhtes IT-Budget, neue Tools beschafft, Schulungen absolviert — aber weil nie entschieden wurde, was wirklich kritisch ist, fließt das Budget in viele kleine Maßnahmen, die kein kohärentes Schutzniveau erzeugen. Sie kaufen Sicherheitsgefühl. Nicht Sicherheit.
Krisenpläne, die nie geübt wurden. Ein Plan, der im Ordner liegt, ist im Ernstfall meistens unbrauchbar. Nicht weil er inhaltlich falsch ist, sondern weil Menschen unter Stress Routinen brauchen, keine Dokumente. Eine Checkliste, die dreimal im Trockenlauf durchgespielt wurde, funktioniert in Stunde zwei eines echten Vorfalls. Eine, die zum ersten Mal aufgeschlagen wird, nicht.
Die Lösung ist kein aufwändiges Planspiel, sondern ein regelmäßiges Gespräch: Was passiert, wenn Szenario X eintritt — wer informiert wen, wer entscheidet was, welche Notfall-Prozesse greifen? Sechzig Minuten, zweimal im Jahr. Das ist der Unterschied zwischen einem Plan, der theoretisch existiert, und einer Organisation, die im Vorfall funktioniert.
Praxis-Checkliste: Was heute in 90 Minuten geht
Digitale Resilienz klingt nach einem Jahresprojekt. Der erste Schritt ist es nicht. Mit neunzig Minuten und den richtigen Fragen können Sie heute einen Ausgangspunkt schaffen, der mehr wert ist als viele IT-Sicherheitskonzepte, die ich kenne — weil er von der Geschäftsleitung getragen wird, nicht von der IT allein.
Die folgenden sechs Punkte sind keine vollständige Risikoanalyse. Sie sind der Startpunkt für ein Gespräch, das in den meisten Mittelstands-Geschäftsleitungen noch nicht stattgefunden hat. Dauer: neunzig Minuten. Teilnehmer: Geschäftsleitung und IT-Leitung. Ergebnis: eine handgeschriebene Liste, die im Vorfall mehr wert ist als ein Hundert-Seiten-Konzept.
- Kritische Systeme benennen. Welche drei bis fünf Systeme würden bei 48-Stunden-Ausfall den größten Schaden verursachen? Aufschreiben — mit konkreter Schadenschätzung in Euro.
- Kritische Daten klassifizieren. Welche Daten sind DSGVO-meldepflichtig bei Leck? Welche darüber hinaus strategisch sensibel (Kalkulation, Entwicklung, Verträge)? Beides trennen.
- Schlüssel-Anbieter inventarisieren. Welche externen Cloud-, Software- und TK-Anbieter sind für kritische Systeme notwendig? Für jeden: Was ist der Notfall-Plan bei Ausfall?
- Rollen im Vorfall festlegen. Wer kommuniziert mit Kunden, wer mit Behörden, wer mit der Cyber-Versicherung? Namen, nicht Funktionsbezeichnungen. Und: Wer vertritt wen?
- Versicherungsvertrag prüfen. Welche Meldefristen hat die Cyber-Versicherung? Was ist versichert, was ausgeschlossen? Diese Lektüre kostet dreißig Minuten und verhindert das teuerste Missverständnis im Vorfall.
- Trockenlauf-Termin festlegen. Datum in den Kalender: Szenario-Gespräch, sechzig Minuten, die richtigen Personen. Nicht als große Übung — als gemeinsames Durchspielen eines konkreten Worst Case.
Diese Checkliste ist kein Ersatz für eine professionelle Risikoanalyse. Aber sie ist der Unterschied zwischen einer Geschäftsleitung, die strategisch entschieden hat, und einer, die im Vorfall zum ersten Mal anfängt zu denken. Und dieser Unterschied zeigt sich nicht im ruhigen Betrieb — er zeigt sich in den ersten zwei Stunden, wenn etwas schiefläuft.
Stolpersteine: Wo es trotzdem schief läuft
Selbst wenn die Geschäftsleitung die richtigen Fragen stellt, gibt es Muster, die gute Absichten zunichte machen.
Die Klausur passiert einmal — und dann nie wieder. Digitale Resilienz ist kein Projekt mit Abschlussdatum. Die Bedrohungslage ändert sich, Systeme ändern sich, Lieferanten ändern sich. Was 2023 richtig war, kann 2025 falsch sein. Eine jährliche Überprüfung — nicht als IT-Audit, sondern als Geschäftsführungs-Gespräch über Prioritäten — ist kein Aufwand. Sie ist das Minimum.
IT und Geschäftsleitung reden nicht die gleiche Sprache. Wenn die Geschäftsleitung nach kritischen Systemen fragt und die IT mit Architekturbeschreibungen antwortet, schläft der Dialog ein. Die IT braucht die Frage in unternehmerischen Begriffen: Was kostet uns der Ausfall in Euro pro Tag? Was ist der Worst Case für unsere drei größten Kunden? Wer stellt diese Fragen — wenn nicht die Geschäftsleitung?
Cyber-Versicherung als Alibi. Eine Cyber-Versicherung ist sinnvoll. Sie ist aber kein Ersatz für Resilienz. Sie zahlt nicht alles, hat Meldepflichten, die im Vorfall oft verletzt werden, und ihr Abschluss setzt voraus, dass Sie die Grundfragen bereits beantwortet haben. Wer eine Versicherung kauft und glaubt, das Thema sei damit erledigt, stellt im Vorfall fest, dass genau das nicht abgedeckt ist, was eingetreten ist — weil er beim Abschluss nicht wusste, was er absichern muss.
Verantwortung lässt sich nicht outsourcen. „Dafür haben wir einen externen IT-Dienstleister“ ist die häufigste Antwort in Mittelstands-Geschäftsleitungen zum Thema Resilienz. Aber der externe Dienstleister ist Dienstleister — er ist nicht verantwortlich für Ihre unternehmerischen Prioritäten. Er kann technisch exzellent arbeiten und trotzdem scheitern, wenn er nicht weiß, welche Systeme bei Ihnen wirklich kritisch sind und wer im Vorfall entscheidet. Diese Information können Sie nicht delegieren. Sie müssen sie selbst kennen.
Was die Geschäftsleitung jetzt tun kann
Drei Schritte aus meiner Praxis — in dieser Reihenfolge. Sie ersetzen keine umfassende Sicherheitsarchitektur, aber sie schaffen die Grundlage, auf der alles andere aufbaut: eine Geschäftsleitung, die weiß, was zu schützen ist, wer entscheidet, und wo das Budget konzentriert gehört.
Erstens: 90-Minuten-Klausur mit IT-Leitung und Geschäftsleitung. Die fünf Fragen oben werden bearbeitet — schriftlich. Das Ergebnis ist kein Konzept, sondern eine Liste: was ist kritisch, wer entscheidet was, wo liegt der nächste Investitions-Fokus. Wenn diese Liste auf einer Seite Platz hat, haben Sie die Klausur gut gemacht.
Zweitens: Eine konkrete Investitions-Prioritätenliste — basierend auf der Klausur, nicht auf Tool-Listen. IT-Dienstleister präsentieren gerne Roadmaps mit vielen Produkten. Was fehlt, ist die Priorisierung. Erstellen Sie sie selbst — oder beauftragen Sie sie explizit, basierend auf Ihrer Kritikalitätsliste.
Drittens: Ein Trockenlauf-Termin pro Halbjahr. Was passiert, wenn ein bestimmtes Szenario eintritt? Diese Übung deckt Lücken auf, die kein Plan-Dokument zeigt. Sie muss nicht groß sein — sechzig Minuten, ein Szenario, die richtigen Personen im Raum. Das reicht, um zu wissen, ob der Plan funktioniert oder nur gut klingt.
Ihr PCG-Vorsprung: Digitale Resilienz als Geschäftsführungs-Thema begleite ich oft als Sparring-Partner — mit Fokus auf strategische Klärung, nicht auf technische Detail-Beratung. Mehr zu meiner Strategiebegleitung.
Ihr nächster Schritt
Wenn digitale Resilienz in Ihrer Geschäftsleitung mehr Annahme als Entscheidung ist — vereinbaren Sie ein kostenfreies Erstgespräch.
