Laut dem Bitkom-Wirtschaftsschutzbericht 2025 beläuft sich der jährliche Schaden für die deutsche Wirtschaft mittlerweile auf rund 289,2 Milliarden Euro, wobei der Großteil auf Cyberattacken zurückzuführen ist. Auch global steigen die durch Cyberkriminalität verursachten Kosten rapide: Laut Statista werden die weltweiten Schäden durch Cyberkriminalität von 9,22 Billionen US-Dollar im Jahr 2024 auf voraussichtlich 13,82 Billionen US-Dollar bis 2028 anwachsen. Diese Zahlen zeigen deutlich, dass Cyberrisiken längst zu einem zentralen Governance-Thema geworden sind – mit erheblichen finanziellen, rechtlichen und Reputationsfolgen für Unternehmen jeder Größe.
Angesichts der zunehmenden Cyberbedrohungen treten nun auch strengere Vorschriften wie NIS2 und DORA in Kraft. Diese Regelwerke unterwerfen Unternehmen einer verstärkten Prüfung und möglichen Sanktionen bei Nichteinhaltung. Daher ist es für Unternehmen unerlässlich, ihre Cybersicherheitsstrategien anzupassen, um die neuen Anforderungen zu erfüllen. Wer der Entwicklung einen Schritt voraus sein will, muss Cyberrisiken als strategische Kernaufgabe verstehen und Cybersicherheit fest in die Unternehmensführung integrieren.
Die Rolle des CISO wird wichtiger
Diese Entwicklungen rücken die Rolle des Chief Information Security Officer (CISO) in den Mittelpunkt der unternehmerischen Resilienz. Mehr denn je müssen CISOs klare und verständliche Berichte vorlegen, um das Bewusstsein und das Verständnis für Cyberrisiken unter Führungskräften und Aufsichtsratsmitgliedern zu stärken. Allerdings ist die CISO-Rolle nicht immer vollständig in Entscheidungsprozesse eingebunden oder so positioniert, dass sie die gewünschte Wirkung innerhalb der Unternehmensführung entfalten kann. Um dem entgegenzuwirken, sollten Unternehmen erwägen, die CISO-Funktion strategisch aufzuwerten und sicherzustellen, dass sie über den nötigen Einfluss verfügt, um wirksame Cybersicherheitsmaßnahmen voranzutreiben.
Zu den zentralen Aufgaben eines CISO gehört es, die digitale Resilienz des Unternehmens durch proaktive Compliance-Strategien und robuste Risikomanagementrahmen sicherzustellen. Dafür sind nicht nur technisches Fachwissen, sondern auch ausgeprägte Kommunikationsfähigkeiten erforderlich, um komplexe Cybersicherheitsfragen gegenüber nicht-technischen Stakeholdern verständlich zu vermitteln. Ohne die volle Unterstützung der Geschäftsleitung kann eine umfassende Sicherheitsstruktur nicht wirksam umgesetzt werden. Cybersicherheit muss daher als zentrale geschäftliche Priorität anerkannt und aktiv auf Führungsebene verankert werden.
Proaktivität ist entscheidend für Compliance-Strategien
Die Einhaltung der Vorschriften und damit eine umfassende Sicherheitsstruktur sind nicht mehr optional, sondern entscheidend für die Cyber-Resilienz, zumal die DORA- und NIS2-Verordnungen 2025 bzw. 2024 in Kraft treten.
NIS2 soll die allgemeine Cybersicherheit in der EU stärken, während DORA speziell die digitale Betriebsfestigkeit im Finanzsektor sicherstellen soll. Beide Regelwerke verlangen von Unternehmen ein systematisches Management und eine regelmäßige Überprüfung ihrer Cyber-Risiken. Umfassende Cybersicherheitsmaßnahmen müssen demnach in einem angemessenen Verhältnis zu den potenziellen Risiken stehen.
Auch wenn sich beide Regelwerke noch in einer frühen Umsetzungsphase befinden, ist eine proaktive Vorbereitung entscheidend. Die Auswirkungen eines Cybervorfalls sind oft unvorhersehbar – und über die finanziellen Folgen hinaus kann insbesondere der Vertrauensverlust erheblich schwerer wiegen, da er langfristig zum Verlust von Kund:innen und zu Schwierigkeiten bei der Neukundengewinnung führen kann. Der CISO spielt dabei eine zentrale Rolle, um wirksame Maßnahmen voranzutreiben und sicherzustellen, dass das Unternehmen angemessen auf die neuen regulatorischen Anforderungen vorbereitet ist.
Prävention ist die erste Verteidigungslinie
Da die Zahl digitaler Angriffe weiterhin steigt, sind Tools und Systeme, die Anomalien und schädliche Muster erkennen, unerlässlich, um sich gegen diese sich wandelnden Bedrohungen zu schützen. Eine umfassende Verteidigungsstrategie erfordert jedoch ein Gleichgewicht zwischen dem Einsatz fortschrittlicher Technologien und der Stärkung der Mitarbeitenden, damit sie ihre entscheidende Rolle im Risikomanagement effektiv wahrnehmen können.
Fortschrittliche Tools können große Datenmengen analysieren, um potenzielle Bedrohungen zu erkennen, doch Mitarbeitende bilden häufig die erste Verteidigungslinie gegen Social-Engineering-Angriffe und andere Methoden, die menschliche Schwachstellen ausnutzen. In der Praxis bedeutet dies, nicht nur eine robuste technologische Infrastruktur mit Überwachungs- und Erkennungssystemen aufzubauen, sondern auch Mitarbeitende regelmäßig durch praxisnahe Schulungen im Erkennen und Reagieren auf Cyberbedrohungen zu schulen. Beispiele hierfür sind simulierte Phishing-Übungen, klare Meldeverfahren und rollenbasierte Handlungsempfehlungen, die es den Mitarbeitenden ermöglichen, ihr Wissen effektiv anzuwenden. Darüber hinaus kann die Förderung einer Sicherheitskultur, in der Mitarbeitende Verantwortung übernehmen und befähigt werden, auf potenzielle Bedrohungen zu reagieren, die Gesamtsicherheit eines Unternehmens erheblich stärken.
Gut gestaltete interne Prozesse und Verhaltensrichtlinien können ebenfalls die Einhaltung von Sicherheitsvorgaben deutlich verbessern und schnelle, konsistente Reaktionen im Falle von Vorfällen gewährleisten. Solche Maßnahmen erleichtern zudem Sicherheitsprüfungen, da Schwachstellen leichter identifiziert und behoben werden können.
CISOs müssen robuste Risikomanagement-Frameworks etablieren
Ein wirksames Risikomanagement muss alle Aspekte der Informations- und Kommunikationstechnologie (IKT) abdecken. Dazu gehören die Ermittlung und Bewertung von Risiken, die Umsetzung von Sicherheitsmaßnahmen sowie die regelmäßige Überprüfung und Anpassung dieser Maßnahmen. Das Management von Risiken Dritter ist besonders wichtig, da viele Organisationen von externen Dienstleistern abhängig sind.
Besondere Aufmerksamkeit sollte stark regulierten Branchen wie dem Finanzsektor gelten, in denen der Einsatz vertrauenswürdiger Dienste wie elektronische Signaturen und Zeitstempel aufgrund strenger Vorschriften besonders wichtig ist. Diese Dienste sind ideal für Finanzorganisationen, da sie die digitale Resilienz deutlich erhöhen und die Einhaltung der Anforderungen von DORA und NIS2 unterstützen.
Dennoch müssen die potenziellen Risiken, die mit der Nutzung externer IKT-Dienstleister, einschließlich aller Cloud-Dienste, verbunden sind, genau überwacht und gesteuert werden. Einfach ausgedrückt bedeutet dies, dass die Sicherheit der Lieferkette alle Lieferanten und Unterauftragnehmer einschließt. Sie müssen Teil des gesamten Risikomanagementsystems sein, Vorfälle melden und Schwachstellen entsprechend angehen und offenlegen, um größere Probleme zu vermeiden.
Fazit
Die Rolle des CISO ist entscheidend für die Sicherheit und Widerstandsfähigkeit moderner Unternehmen. Durch klare Kommunikation und effektive Risikomanagementstrategien können CISOs dazu beitragen, dass Unternehmen besser auf die wachsenden Cyber-Bedrohungen vorbereitet sind und die strengen Anforderungen von Vorschriften wie NIS2 und DORA erfüllen.
Von Peter Herr, Senior Director DACH bei Diligent
Über Peter Herr
Peter Herr ist Senior Director DACH bei Diligent und verantwortet die Geschäftsentwicklung und den Vertrieb in Deutschland, Österreich und der Schweiz. In seiner Rolle bei Diligent treibt er die digitale Transformation und Cybersicherheit in der Region voran, um Diligent als führenden Anbieter für GRC zu etablieren und die Widerstandsfähigkeit der Unternehmen zu stärken.
