Kultureller Wandel: von der Compliance zum aktiven Risikomanagement

Die Compliance-orientierte Denkweise diagnostizieren

Um die Governance zu stärken, müssen Führungskräfte die Schwächen eines ausschließlich compliance-orientierten Ansatzes anerkennen. Bestandene Audits und erlangte Zertifizierungen können die Illusion einer kontrollierten Sicherheit erzeugen. Obwohl diese externen Validierungen die Einhaltung von Mindestanforderungen bestätigen, tragen sie wenig dazu bei, die Organisation auf aufkommende Bedrohungen, systemische Vorfälle oder Reputationsrisiken vorzubereiten.

Eine compliance-orientierte Posture reduziert Cybersicherheit auf eine bürokratische Übung. Sie befriedigt Prüfer, versagt aber dabei, Resilienz auf Unternehmensebene aufzubauen.

Compliance-orientierte Sicherheitsansätze zeichnen sich aus durch:

• Checkbox-Logik – Sicherheitsaufgaben, die auf Prüfungsanforderungen ausgerichtet sind
• Reaktivität – Maßnahmen, die nach Vorfällen ergriffen werden, statt in Antizipation
• Minimale Verantwortlichkeit – Verantwortung an die IT delegiert, statt im gesamten Unternehmen geteilt

Gemäß dem SANS Security Awareness & Culture Reifegradmodell entspricht dieses Niveau der Stufe „Compliance-orientiert". Schulungen beschränken sich auf eine jährliche oder punktuelle Sitzung, und Mitarbeitende bleiben unsicher über die geltenden Richtlinien und ihre eigene Rolle beim Schutz der Unternehmensassets.

Die Konsequenzen eines auf Compliance beschränkten Reifegradmodells sind real. Schwerwiegende Verstöße stören den Alltag und betreffen sowohl Unternehmen als auch Behörden. Alle Sektoren sind betroffen: Fluggesellschaften, Krankenhäuser, Banken – niemand ist verschont. Es ist offensichtlich, dass die meisten großen Organisationen zwar über ein konformes Cyber-Programm verfügen, aber die Auswirkungen eines Verstoßes reduzieren und ihre Resilienz durch eine daten- und risikobasierte Strategie stärken können.

Die ENISA betont, dass 80 % der KMU davon überzeugt sind, dass ein schwerwiegender Cyber-Vorfall einen erheblichen Einfluss auf ihre Geschäftstätigkeit hätte, und 57 % befürchten, dass er sie in den Bankrott treiben könnte. Compliance allein schützt ein KMU nicht vor dem Risiko, nach einem Cyberangriff schließen zu müssen.

Dieser kulturelle Wandel kann nicht an IT- oder Compliance-Funktionen delegiert werden. Er muss von Führungskräften, Aufsichtsräten und Managern getragen werden, die Erwartungen setzen, Verhaltensweisen prägen und Cyber-Risiken in die strategische Entscheidungsfindung integrieren. Erst dann können Organisationen von Compliance zu Resilienz übergehen.

Wie sieht kultureller Wandel aus?

Im Gegensatz dazu definiert aktives Risikomanagement Cybersicherheit neu als:

• Proaktiv – Risiken antizipieren und mindern, bevor sie sich materialisieren
• Fundiert – Daten nutzen, um Exposition zu quantifizieren und Ressourcen zu priorisieren
• Kontinuierlich – Resilienz in tägliche Entscheidungen und Governance integrieren

Mehrschichtige Sensibilisierungsprogramme gestalten

Cybersicherheitsbewusstsein nach Rollen

Der Aufbau von Cybersicherheitsbewusstsein kann je nach Rolle im Unternehmen unterschiedlich angegangen werden – mit relevantem, messbarem und auf Geschäftsergebnisse ausgerichtetem Inhalt:

• Aufsichtsräte und Führungskräfte: Sensibilisierung auf dieser Ebene muss sich auf treuhänderische Pflichten und strategische Exposition konzentrieren. Verwaltungsratsmitglieder benötigen Klarheit darüber, wie sich Cyber-Vorfälle in finanzielle Verluste, regulatorische Aufsicht und Resilienzlücken übersetzen. Rahmenwerke wie das NACD Cyber-Risk Oversight Handbook unterstreichen, dass Cyber-Risiken eine Vorstandsverantwortung sind.
• Geschäftsführung und CISOs: Für diejenigen, die operative Einheiten und Sicherheitsteams leiten, muss sich die Sensibilisierung auf risikobasierte Entscheidungsfindung konzentrieren. Hier wird das FAIR-Modell unverzichtbar. Durch die Quantifizierung der Cyber-Exposition in finanziellen Begriffen können CISOs und leitende Führungskräfte Initiativen priorisieren, Budgets effizient zuweisen und Resilienz in einer Sprache demonstrieren, die mit dem unternehmensweiten Risikomanagement übereinstimmt.
• Mitarbeitende: Für alle Mitarbeitenden muss Cybersicherheitsbewusstsein konkret und instinktiv werden. Einzelpersonen sind die erste Verteidigungslinie. Die Fähigkeit, eine Phishing-E-Mail zu erkennen oder zu wissen, wie ein Vorfall schnell gemeldet werden kann, kann die Resilienz stärken. Das AR-in-a-Box der ENISA bietet konkrete Ressourcen für KMU, einschließlich KPIs und spielerischer Übungen, um Sensibilisierung sowohl ansprechend als auch messbar zu gestalten.

Die rollenbasierte Sensibilisierung zu definieren ist wesentlich, repräsentiert aber nur eine Momentaufnahme der Sicherheitsposture zu einem bestimmten Zeitpunkt. Um Risikomanagement in der Unternehmenskultur zu verankern, benötigen Organisationen eine strukturierte Methode, um Sensibilisierungsprogramme im Laufe der Zeit weiterzuentwickeln. Hier wird der Blickwinkel des Change Managements – vom Ist-Zustand zum Soll-Zustand – nützlich.

Vom Ist-Zustand zum Soll-Zustand

Wie andere organisatorische Veränderungsinitiativen erfordert Cybersicherheitsbewusstsein einen strukturierten Weg. Es ist effektiv, einen Ist-Zustand/Soll-Zustand-Ansatz zu verfolgen: zunächst den Ist-Zustand diagnostizieren, dann den gewünschten Zielzustand definieren und schließlich den Übergang managen. Dies unterstreicht, dass kultureller Wandel nicht sofort eintritt: Er erfordert Zeit, Führungsengagement und kontinuierliche Verstärkungsbemühungen.

• Ist-Zustand: Der Ausgangszustand der Cybersicherheitspraktiken, des Bewusstseins und der Unternehmenskultur. Die Bewertung dieses aktuellen Niveaus schafft Klarheit über Stärken, Schwächen und den zurückzulegenden Weg bis zum gewünschten Zielzustand.
• Lückenanalyse: Der Prozess zur Identifizierung der Unterschiede zwischen Ist-Zustand und gewünschtem Zielzustand. Dies umfasst die Prüfung, ob die richtigen Kontrollen, Praktiken und Governance-Prozesse vorhanden sind, um kulturelle Reife zu unterstützen.
• Soll-Zustand: Der definierte Zielzustand, in dem das Cybersicherheitsprogramm risikogesteuert ist und als strategischer Enabler behandelt wird. Datenbasiertes Risikomanagement ist in Governance und Tagesgeschäft integriert, und die Reife wird mit klaren Leistungsindikatoren verfolgt.
• Übergangspfad: Neue Ansätze pilotieren, Engagement mit ENISA-KPIs messen und Fortschritte im Zeitverlauf verstärken. Führungs-Sponsorship und bereichsübergreifende Zusammenarbeit sind entscheidend, um den Wandel aufrechtzuerhalten.

So verstandene Sensibilisierung wird zum Motor kultureller Transformation. Sie befähigt Entscheidungsträger auf allen Ebenen, Cyber-Risiken auf eine Weise zu verstehen, zu verinnerlichen und darauf zu handeln, die mit den übergeordneten Governance- und Resilienzzielen der Organisation übereinstimmt.

Transformation braucht Zeit

Kultureller Wandel vollzieht sich nicht über Nacht. Der SANS Security Awareness Report 2025 zeigt, dass der Aufbau eines reifen Programms nachhaltige Investitionen erfordert:

• 3 bis 5 Jahre, um Verhaltensweisen im gesamten Personal zu verändern
• 5 bis 10 Jahre, um die Kultur auf Unternehmensebene zu verankern
• Mehr als 10 Jahre, um Optimierung zu erreichen, bei der die Kultur Risiken aktiv reduziert

Deshalb kann Sensibilisierung nicht als Kampagne behandelt werden. Es ist ein kontinuierliches Programm, das sich mit neuen Bedrohungen, regulatorischen Erwartungen und geschäftlichen Prioritäten weiterentwickelt.

Gleichzeitig kann die Einführung datenbasierter Risikomanagementmethoden (DDRM) den Fortschritt beschleunigen. Eine strukturierte Ist-Zustand-Bewertung kann schnelle Erfolge und leicht erreichbare Gewinne aufzeigen – etwa die Identifizierung von Lücken in Meldekanälen oder falsch ausgerichteten Kontrollen, die sofort behoben werden können. Durch die Quantifizierung von Cyber-Risiken mit Ansätzen wie FAIR reduzieren Organisationen auch die Unsicherheit bei der Entscheidungsfindung. Dies gibt Führungskräften mehr Vertrauen bei der Ressourcenallokation und demonstriert frühen Mehrwert, auch wenn sich die langfristige kulturelle Reife noch entwickelt.

Transformation bedeutet also nicht, jahrelang auf Wirkung zu warten. Frühe Erfolge, gestützt durch Daten, bauen den Schwung und das Führungs-Sponsorship auf, die notwendig sind, damit kultureller Wandel Wurzeln schlägt.

Eine gemeinsame und nachhaltige Risikokultur aufbauen

Cybersicherheitskultur entsteht, wenn ein risiko- und datenbasierter Ansatz zur Standardarbeitsweise im gesamten Unternehmen wird. Das NACD/ISA Cyber-Risk Oversight Handbook betont, dass Aufsichtsräte die treuhänderische Pflicht haben, Cyber-Risiken zu überwachen – nicht als technisches Detail, sondern als zentrales Governance-Element. Diese Erwartung erstreckt sich auf die gesamte Organisation: Kultur wird durch Führung geprägt, durch Prozesse verstärkt und durch Verantwortlichkeit aufrechterhalten.

Wichtige Enabler umfassen:

• Werte und Prinzipien: Klare Erwartungen etablieren – Transparenz, Verantwortlichkeit und geteilte Verantwortung für Cyber-Risiken
• Prozessintegration: Risikobasierte Bewertungen in Beschaffung, Entwicklung, HR und Lieferantenmanagement einbetten. Risikoakzeptanz kann Wert schaffen.
• Storytelling und Kommunikation: Reale Vorfälle und gewonnene Erkenntnisse teilen, schnelles Melden von Bedrohungen feiern und offenes Sprechen normalisieren. Die ENISA betont die Bedeutung von Post-Incident-Reviews als Gelegenheiten zur Verfeinerung von Verfahren und Stärkung der Resilienz.
• Vorbildfunktion der Führung: Kultur kommt von oben. Wenn Führungskräfte Cyber-Risiken sichtbar priorisieren, signalisiert dies dem gesamten Personal dessen strategische Bedeutung.

Forschungsergebnisse zeigen konsistent, dass die effektivsten Programme sich auf die Vereinfachung von Richtlinien, die Stärkung abteilungsübergreifender Partnerschaften und die Ausrichtung der Cybersicherheit an Unternehmenszielen konzentrieren. In Bezug auf Governance bedeutet dies, Cyber nicht als operative Last, sondern als wesentliche Voraussetzung für Resilienz und Vertrauen zu behandeln.

Menschliche Fähigkeiten treiben Cybersicherheit voran

Cybersicherheit ist „die Praxis, Menschen, Prozesse, Richtlinien und Technologien einzusetzen, um Organisationen, ihre kritischen Systeme und sensiblen Informationen vor digitalen Angriffen zu schützen." In dieser Gartner-Definition sind Einzelpersonen die erste Verteidigungslinie. Jeder Mitarbeitende hat mit einer effektiven Sensibilisierungsschulung die Fähigkeit, einen Angriff zu stoppen. Gartner betont diesen Wandel mit seinem Fokus auf Security Behavior and Culture Programs (SBCP) und stellt fest, dass die Wirksamkeit von Sicherheitsfunktionen zunehmend am Verhaltensänderung und kultureller Reife gemessen wird – nicht nur an Compliance-Aktivitäten.

Der Aufbau dieser Fähigkeiten erfordert kontinuierliche Investitionen in:

• Sensibilisierungsprogramme für Mitarbeitende: Praktische, ansprechende und rollenspezifische Schulungen, die sichere Verhaltensweisen normalisieren
• Fachliche Schulung für Sicherheitsteams: Kompetenzen in DDRM, FAIR-Quantifizierung und Risikokommunikation stellen sicher, dass CISOs dem Leadership umsetzbare Finanzinformationen liefern können
• Bereichsübergreifende Vorbereitung: Integration von Cyber-Überlegungen in Beschaffung, Lieferantenmanagement, HR und Entwicklung, um sicherzustellen, dass Risikobewusstsein im gesamten Unternehmen verteilt ist
• Agilität und Reaktionsfähigkeit: Programme müssen sich mit Bedrohungen weiterentwickeln – Phishing-Simulationen, Krisenübungen und iterative Lernschleifen helfen Organisationen, sich schnell anzupassen

Von Compliance zu Resilienz

Cyber-Resilienz betrifft das gesamte Unternehmen und wird durch Governance gesteuert. Sie hängt davon ab, dass jede Organisationsebene als Verteidigungslinie agiert: Aufsichtsräte und Führungskräfte setzen Erwartungen, Manager integrieren Risiken in Prozesse, und Mitarbeitende wenden Sensibilisierung in der täglichen Arbeit an.

Zertifizierungen und Audits bilden eine solide Grundlage, aber Resilienz erfordert, Cyber-Risiken als Geschäftsfähigkeit zu behandeln, die gesteuert, gemessen und kontinuierlich verbessert wird. FAIR und datenbasiertes Risikomanagement liefern die Methoden zur Quantifizierung von Risiken in finanziellen Begriffen und zur Ausrichtung an das unternehmensweite Risikomanagement, während maßgeschneiderte Sensibilisierungs- und Schulungsprogramme die menschlichen Fähigkeiten entwickeln, die Resilienz ermöglichen.

Die erfolgreichen Organisationen sind diejenigen, die Cyber in Governance, Strategie und Kultur integrieren und es mit derselben Disziplin managen wie Finanzen oder Betrieb.