Digitale Resilienz wird im Mittelstand fast überall an die IT delegiert — und ist damit selten wirklich strategisch geklärt. Wenn der Vorfall kommt (Ransomware, Lieferanten-Ausfall, Cloud-Störung), zeigt sich, was die Geschäftsleitung tatsächlich klar entschieden hatte. Welche fünf Fragen jetzt beantwortet werden müssen.
In meinen Mandaten erlebe ich digitale Resilienz oft als blindes Feld der Geschäftsleitung. „Das macht die IT" oder „Wir haben einen externen Dienstleister" — beides sind ehrliche Antworten, die aber die strategische Verantwortung verschieben, statt sie zu klären. Wenn der Schaden eintritt, wird klar: Die Geschäftsleitung hatte nie wirklich entschieden, welches Risiko akzeptabel ist.
Fünf Geschäftsführungs-Fragen
Frage 1: Welche Systeme sind wirklich kritisch? Wenn ERP, CRM, Produktions-Steuerung 48 Stunden ausfallen — was kostet das? Welche Auswirkungen hat das auf Kunden, Lieferanten, Mitarbeiter? Diese Frage muss die Geschäftsleitung beantworten können, nicht die IT.
Frage 2: Welche Daten würden uns wirklich treffen? Bei einem Datenleck — welche Daten wären existenzbedrohend? Welche unangenehm, aber tragbar? Ohne diese Klärung ist jede Schutz-Strategie beliebig.
Frage 3: Welche Investitions-Schwerpunkte folgen daraus? Wenn die kritischen Systeme klar sind, müssen die Investitionen dort konzentriert sein. Im Mittelstand sehe ich häufig: Investitionen werden flach über alle Systeme gestreut, statt fokussiert dort, wo es zählt.
Frage 4: Welche Lieferanten-Abhängigkeiten haben wir? Cloud-Dienste, Software-Anbieter, Telekommunikation. Was passiert, wenn ein Schlüssel-Anbieter ausfällt? Diese Frage wurde 2024 nach mehreren großen Cloud-Ausfällen schmerzhaft aktuell.
Frage 5: Wer entscheidet im Vorfall? Wenn der Vorfall kommt, muss klar sein: Wer kommuniziert mit Kunden? Wer mit Behörden? Wer mit der Versicherung? Diese Klärung gehört vor den Vorfall, nicht danach.
Was nicht funktioniert
Drei häufige Muster.
Vollständige Delegation an die IT. Die IT entscheidet operativ, aber nicht strategisch.
Investitions-Hagel ohne Priorisierung. Ohne Fokus wird viel investiert, ohne dass das Risiko sinkt.
Krisenpläne, die nie geübt wurden. Ein Plan, der nicht im Trockenlauf getestet wurde, ist im Ernstfall meistens unbrauchbar.
Was die Geschäftsleitung jetzt tun kann
Drei Schritte aus meiner Praxis.
Erstens: 90-Minuten-Klausur mit IT-Leitung und Geschäftsleitung. Die fünf Fragen oben werden bearbeitet — schriftlich.
Zweitens: Eine konkrete Investitions-Prioritätenliste — basierend auf der Klausur, nicht auf Tool-Listen.
Drittens: Ein Trockenlauf-Termin pro Halbjahr. Was passiert, wenn ein bestimmtes Szenario eintritt? Diese Übung deckt Lücken auf, die kein Plan-Dokument zeigt.
Ihr PCG-Vorsprung: Digitale Resilienz als Geschäftsführungs-Thema begleite ich oft als Sparring-Partner — mit Fokus auf strategische Klärung, nicht auf technische Detail-Beratung. Mehr zu meiner Strategiebegleitung.
Ihr nächster Schritt
Wenn digitale Resilienz in Ihrer Geschäftsleitung mehr Annahme als Entscheidung ist — vereinbaren Sie ein kostenfreies Erstgespräch.
