In einer sich schnell verändernden Unternehmenslandschaft konzentrieren sich die Prioritäten der Vorstände für 2025 und 2026 auf eine Reihe von Schlüsselbereichen, um die Widerstandsfähigkeit und das Wachstum der Unternehmen in einem unsicheren Marktumfeld zu gewährleisten. Dazu gehören die Verbesserung der Unternehmensführung, das Risikomanagement, die Einführung neuer Technologien, die Beziehungen zu allen Interessengruppen und die Nachhaltigkeit. Angesichts dieser komplexen Herausforderungen ist es wichtig zu verstehen, dass die Cybersicherheit kein separates, technisches Problem ist, sondern ein grundlegendes Element, das jede dieser strategischen Prioritäten untermauert. Leider herrscht in vielen Unternehmen immer noch ein gefährliches Denken vor, das Cybersicherheit eher als Betriebskosten denn als strategische Investition in die Zukunft des Unternehmens betrachtet.
Digitale Herausforderung an der Spitze des Vorstandes
Oft sind die Vorstände in Bezug auf ihre Fähigkeit, eine Krise zu bewältigen, etwas zu selbstbewusst. Die Studie von PwC zeigt, dass fast alle befragten Direktoren davon überzeugt sind, dass ihr Vorstand in der Lage ist, das Unternehmen erfolgreich durch eine Krisensituation zu führen. Dieser Optimismus steht jedoch im Gegensatz zu einem Mangel an Bereitschaft. Viele Unternehmen verfügen trotz ihres erklärten Vertrauens in ihre Fähigkeiten noch immer nicht über formelle Pläne zur Eskalation von Risiken. Dieser fundamentale Widerspruch wirft eine grundsätzliche Frage auf: Worauf gründet sich die Gewissheit des Verwaltungsrats, wenn er nicht über die grundlegenden Instrumente und Verfahren zum Handeln verfügt? Dies deutet darauf hin, dass diese Gewissheit unangebracht ist und auf einer Unterschätzung des wahren Ausmaßes und der Komplexität moderner Cyberbedrohungen beruht. Infolgedessen werden diese Risiken fälschlicherweise als ein Problem angesehen, mit dem man sich befassen muss, wenn es auftritt, anstatt sie als permanenten Teil der Geschäftsstrategie zu betrachten, der einer ständigen Überwachung bedarf.
Dieser Bericht möchte dieses Denken neu gestalten und die These aufstellen, dass in der heutigen vernetzten Welt eine ausgereifte Einstellung zur Cybersicherheit ein wichtiger immaterieller Vermögenswert ist. Es ist eine Ressource, die nicht nur den guten Ruf des Unternehmens schützt, sondern auch die Grundlage für den Aufbau von Vertrauen bei Kunden, Partnern und auf dem Markt schafft und letztlich einen messbaren Wettbewerbsvorteil bietet. Digitale Resilienz wird zum neuen Kriterium für Stabilität und Glaubwürdigkeit, und die Verantwortung dafür liegt auf der höchsten Ebene des Managements.
Finanzielle und rufschädigende Dimension: Kosten der Untätigkeit, Stärke der Widerstandsfähigkeit
Um einer abstrakten Bedrohung wie einem Cyberangriff zu begegnen, muss man sie in konkrete, messbare finanzielle und operative Konsequenzen umsetzen. Verfügbare Daten und Fallstudien aus der Praxis zeigen, dass die Kosten einer Datenschutzverletzung weit über die direkten Kosten für die Reparatur von Systemen oder die Zahlung von Lösegeld hinausgehen.
Eines der eindrucksvollsten Beispiele für die Risikokaskade, die sich aus menschlichem Versagen ergibt, ist der Vorfall von 2023, von dem MGM betroffen war. Die Hacker verschafften sich durch einen Social-Engineering-Angriff, der durch das öffentliche Profil eines Mitarbeiters auf LinkedIn ausgelöst wurde, Zugang zu den privaten Daten des Unternehmens. Dieser scheinbar kleine Fehler in der digitalen Hygiene ermöglichte es, ausgeklügelte Schutzmaßnahmen zu umgehen und führte schließlich dazu, dass die Systeme in Las Vegas abgeschaltet wurden und Buchungen und Casinos nicht mehr funktionieren konnten. Die direkten Kosten des Vorfalls beliefen sich auf geschätzte 100 Millionen US-Dollar an entgangenen Einnahmen. Dies war jedoch nicht das Ende der Verluste, denn das Unternehmen sah sich auch mit einer Sammelklage in Höhe von 45 Millionen Dollar für Datenschutzverletzungen konfrontiert, die in den Jahren 2019 und 2023 stattfanden. Diese Fallstudie veranschaulicht, wie ein Fehler in einem einzigen menschlichen oder verfahrenstechnischen Element eine katastrophale Kaskade von finanziellen, betrieblichen, rechtlichen und rufschädigenden Verlusten auslöst.
Ein weiteres Beispiel ist der Ransomware-Angriff auf die UnitedHealth Group Anfang 2024, der das Unternehmen allein 22 Millionen US-Dollar an Lösegeld kostete. Dieser Angriff hat die privaten Daten von mehr als 100 Millionen Menschen gefährdet, was unweigerlich zu langfristigen rechtlichen Konsequenzen, Vertrauensverlust und der Notwendigkeit, Kosten für die Überwachung der Daten der Betroffenen aufzubringen, führt. Die Daten bestätigen, dass das menschliche Element das schwächste Glied in der Sicherheitskette ist. Aus dem Bericht von Verizon aus dem Jahr 2025 geht hervor, dass bis zu 60% aller Datenschutzverletzungen direkt auf menschliches Versagen zurückzuführen sind, wie z.B. Phishing oder die Verwendung schwacher Passwörter. Dies unterstreicht, dass das Management der Cybersicherheit nicht nur eine Investition in fortschrittliche Technologie ist, sondern vor allem in Ausbildung und Prozesse, um die häufigsten Angriffsvektoren zu neutralisieren.
Durchschnittliche Daten appellieren an die Vorstände mit nicht weniger Nachdruck. Die weltweiten Durchschnittskosten für eine Datenschutzverletzung stiegen 2024 im Vergleich zum Vorjahr um 10 Prozent und erreichten 4,88 Millionen US-Dollar. Dieses Problem ist auch im polnischen Kontext akut. Untersuchungen zeigen, dass 70% der Unternehmen in Polen eine Situation erlebt haben, die die Sicherheit ihrer Daten und IT-Systeme bedroht. Die geschätzten durchschnittlichen Kosten pro Vorfall betragen mehr als 1 Million Pfund. Diese Zahlen verdeutlichen, dass die Bedrohung kein fernes, abstraktes Thema ist, sondern ein reales und gegenwärtiges Problem, das jedes Unternehmen betrifft, unabhängig von seiner Größe.
Die wahren Kosten einer Sicherheitsverletzung gehen jedoch weit über die direkten Ausgaben hinaus. Rufschädigung und Vertrauensverlust sind immaterielle Verluste, deren Wert ein Vielfaches der direkten finanziellen Kosten betragen kann. Laut der Studie werden 36% der Verbraucher ihre Beziehung zu einem Unternehmen nach einer Datenschutzverletzung reduzieren und 22% werden sie ganz beenden. Der Verlust des Kundenvertrauens führt zu einer geringeren Loyalität und schreckt potenzielle Geschäftspartner ab. Dies zeigt, dass das Image der Cybersicherheit eines Unternehmens zu einem wichtigen Markenattribut geworden ist, das über den langfristigen Erfolg entscheidet.
Cybersicherheit als Hebel für Wettbewerbsvorteile
Angesichts wachsender Bedrohungen und strenger Vorschriften ist es an der Zeit, die Einstellung zu ändern und Cybersicherheit nicht nur als Kostenfaktor zu betrachten, sondern als strategischen Hebel, der einen nachhaltigen Wettbewerbsvorteil bieten kann. In der digitalen Wirtschaft sind die betriebliche Stabilität, das Vertrauen der Kunden und der Schutz des geistigen Eigentums entscheidende Faktoren für den Erfolg. Eine ausgereifte Cybersicherheitsstrategie ermöglicht nicht nur die wirksame Neutralisierung von Bedrohungen, sondern auch die aktive Nutzung von Marktchancen, wie Unternehmen zeigen, die in der Lage sind, Erfahrungen in einen einzigartigen Wert zu verwandeln.
Eine der besten Möglichkeiten, Cybersicherheit als Vorteil zu nutzen, ist der B2B-Markt. Sicherheitsaudits, Zertifizierungen (z.B. SOC-2) und hohe Transparenz in der Datenverwaltung werden zu Schlüsselelementen im Verkaufsprozess. Geschäftskunden erwarten von ihren Partnern den Nachweis, dass ihre sensiblen Daten sicher sind, und Unternehmen, die dies nicht bieten können, riskieren den Verlust von Verträgen und Ansehen. Nicht weniger als 87% der Verbraucher sagen, dass sie keine Geschäfte mit einem Unternehmen machen würden, bei dem sie Bedenken bezüglich seiner Sicherheitspraktiken haben. Diese Einstellung zeigt, dass sich die Sorge um die Cybersicherheit direkt in Kaufentscheidungen und Markenwert niederschlägt.
In diesem Zusammenhang kommt dem Risikomanagement in der Lieferkette eine entscheidende Bedeutung zu. Schwachstellen bei einem Partner können das gesamte Netzwerk gefährden. Deshalb ist die Vendor Due Diligence (VDD) ein wichtiger externer Risikomanagementprozess. VDD geht über einmalige Fragebögen hinaus. Echte Ausfallsicherheit erfordert eine kontinuierliche Überwachung, eine Überprüfung der Sicherheitslage und eine Bewertung der finanziellen Stabilität und des Rufs von Lieferanten, um von außen kommende Risiken zu minimieren.
Cybersicherheit, die als Kostenfaktor betrachtet wird, ist lediglich eine Anforderung, die erfüllt werden muss. Wenn sie jedoch als Ressource im Sinne der strategischen Ressourcentheorie behandelt wird, wird sie zu einem einzigartigen Element, das schwer zu imitieren ist und einen langfristigen Vorteil schafft. Die traditionelle Unternehmensstrategie konzentriert sich auf die Neutralisierung von Bedrohungen. Der neue Ansatz, der in der Studie deutlich wird, zeigt, dass Unternehmen mit einem ausgereiften Cybersicherheitskonzept ihre Akkreditierungen und ihren Ruf nutzen können, um neue Aufträge zu gewinnen. Dies macht Cybersicherheit zu einer Ressource mit Eigenschaften, die wertvoll (valuable), selten (rare), schwer imitierbar (inimitable) und unersetzlich (non-substitutable) sind. Auf diese Weise sollte das Management Sicherheitsprogramme nicht als Compliance-Audit behandeln, sondern als eine wichtige Investition in das Vertrauenskapital, das die Grundlage für die Skalierung des Unternehmens und die Erschließung neuer Märkte bildet.
Regulatorischer Gegenwind aus Europa: NIS2, DORA und die neue Rolle des Vorstandes
Die europäische Regulierungslandschaft befindet sich in einem Wandel, der grundlegende Auswirkungen auf die Vorstände hat. Neue Gesetze, wie die NIS2-Richtlinie und die DORA-Verordnung, führen ein noch nie dagewesenes Maß an Verantwortlichkeit ein, das die Spielregeln des Risikomanagements verändert.
Die NIS2-Richtlinie, die am 17. Oktober 2024 in Kraft getreten ist, weitet ihren Anwendungsbereich erheblich aus und deckt neue Wirtschaftssektoren ab, darunter das verarbeitende Gewerbe, digitale Dienstleistungen und den Verkehr. Sie führt schwere Geldstrafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes ein, je nachdem, welcher Betrag höher ist, für Unternehmen, die als “wichtig” eingestuft werden. Die wichtigste und revolutionärste Änderung für den Vorstand ist jedoch die Einführung der persönlichen Haftung für das Top-Management bei grober Fahrlässigkeit im Umgang mit Cyber-Risiken. Dies ist ein grundlegender Wandel, der die Verantwortung von der IT-Abteilung auf den Vorstand verlagert und die Cybersicherheit zu einem Thema macht, das aktiv beaufsichtigt und nicht nur delegiert wird.
Parallel dazu sieht sich der Finanzsektor mit der DORA-Verordnung konfrontiert, die 2023 in Kraft trat und ab 2025 vollumfänglich gilt. Die DORA verlangt von Finanzunternehmen die Einführung eines umfassenden IKT-Risikomanagements, die Berichterstattung über Vorfälle und regelmäßige Tests zur digitalen Widerstandsfähigkeit, einschließlich bedrohungsbasierter Penetrationstests (TLPT). Die Strafen für die Nichteinhaltung der DORA sind ebenso schwerwiegend und können bis zu 2 % des weltweiten Jahresumsatzes betragen. In einigen Aspekten sind sie sogar strenger als die Strafen gemäß der RODO.
Eine Analyse des Stands der NIS2-Umsetzung in Polen zeigt, dass das Land es nicht geschafft hat, die Richtlinie bis zum 17. Oktober 2024 umzusetzen, was die Europäische Kommission veranlasst hat, ein Verfahren gegen 23 Mitgliedstaaten einzuleiten. Ein Aufschub, der auf den ersten Blick wie eine vorübergehende Entlastung von den Implementierungskosten aussieht, ist in Wirklichkeit ein riskantes Spiel. Das Phänomen der ‘regulatorischen Arbitrage’ – die absichtliche Vermeidung von Implementierungskosten durch Geschäfte in Ländern, die die Umsetzung von Vorschriften verzögern – macht Unternehmen anfälliger für Angriffe. Darüber hinaus verlieren sie ihren Wettbewerbsvorteil auf dem internationalen Markt, wo sich die Partner bereits an die strengen Standards angepasst haben.
Die gesetzliche Übertragung der Verantwortung auf den Vorstand erzwingt einen kulturellen Wandel im Umgang mit der Cybersicherheit. In der Vergangenheit war dies ein technisches Problem, das an die IT-Abteilung delegiert wurde. Die neue Gesetzgebung stellt eine direkte Verbindung zwischen mangelnder Sorgfalt beim Risikomanagement und der persönlichen finanziellen und reputationsbezogenen Haftung von Vorstandsmitgliedern her. Dies verändert die Dynamik der Diskussion im Sitzungssaal radikal, und aus “Sicherheit” wird plötzlich “mein persönliches Risiko”. Die Regulierung ist der stärkste Katalysator für eine ausgereifte Cybersicherheitsstrategie. Diese und nicht nur die Angst vor Umsatzeinbußen werden die Vorstände letztendlich dazu zwingen, aktiv zu überwachen, Experten für Cybersicherheit in den Vorstand zu berufen und in laufende Schulungen zu investieren.
In der nachstehenden Tabelle finden Sie die wichtigsten Änderungen in Bezug auf Haftung und Strafen, die die neuen europäischen Vorschriften mit sich bringen.
| Richtlinie | Finanzielle Sanktionen (Maximum) | Die wichtigsten Auswirkungen für den Vorstand | Status w Polsce |
|---|---|---|---|
| NIS2 | 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) | Persönliche Haftung für grobe Fahrlässigkeit beim Cyber-Risikomanagement; Notwendigkeit, die Umsetzung von Schutzmaßnahmen zu überwachen | Umsetzungsverzögerung. Die Europäische Kommission hat ein Verfahren gegen Polen eröffnet |
| DORA | 2% des gesamten jährlichen weltweiten Umsatzes | Verpflichtung zur Umsetzung eines umfassenden IKT-Risikomanagement-Rahmens, zur Berichterstattung über Vorfälle und zu regelmäßigen Ausfallsicherheitstests (TLPT) | Es trat 2023 in Kraft und wird ab 2025 vollständig angewendet. |
Investitionen in die Widerstandsfähigkeit: Wie Sie die Rendite der Cybersicherheit messen können
Vorstände sind zahlenorientiert, daher muss jedes Argument in der Geschäftssprache präsentiert werden. Die Messung der Investitionsrendite (ROI) im Bereich der Cybersicherheit ist selten positiv im herkömmlichen Sinne. Der eigentliche Wert liegt in dem Konzept der Kostenvermeidung. Investitionen in die Cybersicherheit sind vergleichbar mit dem Abschluss einer Versicherungspolice für die strategischen Vermögenswerte eines Unternehmens. Unternehmen investieren regelmäßig in Sach- oder Haftpflichtversicherungen, um Risiken abzudecken, die zwar unwahrscheinlich sind, aber katastrophale Folgen haben könnten. Eine Cyber-Attacke ist heute eine der größten katastrophalen Bedrohungen, die die Existenz eines Unternehmens bedroht. Die Kosten für die Implementierung solider Sicherheitsvorkehrungen sind nur ein Bruchteil der möglichen Verluste.
Penetrationstests, bei denen ein Hackerangriff simuliert wird, um Schwachstellen aufzuspüren , sollten nicht als einmalige Prüfung, sondern als wichtiger Bestandteil des laufenden Risikomanagements betrachtet werden. Zu den greifbaren Vorteilen der Durchführung dieser Maßnahmen gehören: die Verringerung der Wahrscheinlichkeit und Schwere eines Verstoßes , die Erfüllung gesetzlicher Anforderungen (z.B. DORA) und die Verbesserung des Rufs des Unternehmens.
Moderne Lösungen wie Penetration Testing as a Service (PTaaS) bieten kontinuierliche Tests und vorhersehbare Kosten, was den Business Case für Investitionen in die Cybersicherheit stärkt. Anstatt sich auf kostspielige, einmalige Tests zu verlassen, bietet das PTaaS-Modell kontinuierliche Tests und die Erkennung von Schwachstellen in Echtzeit, was eine proaktive Risikominderung und eine höhere Effizienz des Teams ermöglicht.
Ein robustes Cybersicherheitsprogramm kann auch zu greifbaren Einsparungen führen, z. B. durch geringere Versicherungsprämien. Darüber hinaus führen Investitionen in die Automatisierung und straffere Prozesse zu einer Verringerung der betrieblichen Ausfallzeiten und zu einer höheren Produktivität der Teams, die sich auf strategische Ziele konzentrieren können, anstatt die Einhaltung von Vorschriften manuell zu verwalten.
Die nachstehende Tabelle enthält eine vereinfachte Berechnung der Investitionsrendite von Penetrationstests und veranschaulicht, wie der Wert anhand der vermiedenen Kosten gemessen wird.
| Keine Penetrationstests | Mit Penetrationstests (PTaaS) | |
|---|---|---|
| Geschätzte Kosten des Vorfalls | 1 000 000 PLN | 1 000 000 PLN |
| Wahrscheinlichkeit eines Angriffs | 50% | 10% (reduziert um 90%) |
| Erwarteter Wert von Verlusten | 500 000 PLN | 100.000 PLN |
| Kosten für Tests und Sicherheit | PLN 0 | 50.000 PLN |
| Vermeidete Verluste (Einsparungen) | – | 400 000 PLN |
| ROI | – | (400 000 – 100 000) ÷ 100 000 × 100% = 300% |
Dieser vereinfachte Ansatz ermöglicht es, die Diskussion über Cybersicherheit in der Sprache der Wirtschaft zu führen und das qualitative Argument (“wir schützen das Unternehmen”) in ein quantitatives zu verwandeln (“unsere Investition wird sich durch die vermiedenen Kosten um ein Vielfaches auszahlen”).
Schlussfolgerungen und Empfehlungen für den Vorstand: Resilienz für die Zukunft aufbauen
Die Schlussfolgerungen aus dieser Analyse sind eindeutig: Cybersicherheit ist nicht mehr nur ein technisches Problem, sondern ein reales und messbares finanzielles, strategisches und rechtliches Risiko geworden. Die Kosten von Sicherheitsverletzungen gehen weit über die direkten Kosten hinaus und beeinträchtigen den Ruf und das Vertrauen, die wertvollsten Vermögenswerte eines jeden Unternehmens. Investitionen in die Cybersicherheit können zu einem entscheidenden Wettbewerbsvorteil werden, insbesondere auf dem B2B-Markt, wo Kunden zunehmend die Sicherheitslage ihrer Partner überprüfen. Die EU-Verordnungen, einschließlich NIS2 und DORA, legen die Messlatte höher und führen eine persönliche Haftung für den Vorstand ein, so dass die Überwachung von Cyberrisiken absolute Priorität hat.
Auf der Grundlage dieser Analyse sind die folgenden Empfehlungen für den Vorstand besonders wichtig.
Die Widerstandsfähigkeit eines Unternehmens gegenüber den Herausforderungen der Zukunft wird nicht mehr nur durch seine Bilanz, Innovation oder Marktposition definiert, sondern auch durch seine Fähigkeit, sich und seine Stakeholder im digitalen Raum zu schützen. Die Entscheidungen, die heute in der Vorstandsetage und nicht im Serverraum getroffen werden, werden in den kommenden Jahren über die Widerstandsfähigkeit, den Ruf und die Wettbewerbsfähigkeit eines Unternehmens entscheiden.
Przeczytaj więcej
Beginnen Sie mit einer kostenlosen Beratung
Stellen Sie sicher, dass Ihr Unternehmen vor Cyberbedrohungen geschützt ist
Wenn Sie eine kostenlose Beratung mit Elementrica buchen, nimmt sich unser Experte Zeit, um Ihre Sicherheitsanforderungen und -bedenken eingehend zu besprechen. Im nächsten Schritt erstellen wir ein detailliertes Umfangsdokument, das die empfohlenen spezifischen Tests und Bewertungen aufzeigt. Durch diesen individuellen Ansatz gewährleisten wir, dass Sie passgenaue Lösungen zur Stärkung Ihrer Cybersicherheit erhalten.