Cybersicherheit braucht ein klares Mandat, eine strukturelle Verankerung im Top-Management und damit eine Entscheidungsgewalt. Oft sieht die Realität jedoch anders aus. Wer Verantwortung für Cybersicherheit trägt, steht im Spannungsfeld zwischen widersprüchlichen Interessen. Ein zusätzlicher Sicherheitstest? Zu teuer, sagt das Controlling. Granulare Rechtevergabe? Zu umständlich, meint die IT. Netzwerkrestriktionen für sensible Bereiche? Ein Affront gegenüber der Belegschaft und damit ein Risiko fürs Betriebsklima, findet das Management. Kurzum: Businessziele werden gegen Sicherheitsanforderungen, Benutzerkomfort gegen Risikominimierung und Innovationsdrang gegen Kontrollbedarf abgewogen.
Studien wie die Digital Trust Insights 2025 von PwC zeigen: Nur 44 Prozent der deutschen Befragten trauen ihrer eigenen Führungsriege beim Thema Cybersecurity echte Durchschlagskraft zu. Und gerade einmal 35 Prozent der CISOs in deutschen Unternehmen sind aktiv an Infrastruktur- und Technologieentscheidungen beteiligt.
Entkopplung als Gefahr
Die unbequeme Wahrheit ist, dass es in vielen Unternehmen den Posten des CISO nicht einmal gibt. Und wenn doch, dann ist dieser mehr Mahner als Entscheider. Damit bleibt seine Schlagkraft begrenzt, wie die PwC-Studie belegt. Häufig hat er nicht einmal ein eigenes Budget, keine direkte Berichtslinie ans Top-Management und kaum Einfluss auf Projektentscheidungen oder Geschäftsstrategien. Der „Security-Verantwortliche“ darf zwar Hinweise geben, aber er darf nichts stoppen – schon gar nicht, wenn ein Geschäftsbereich ein neues Tool schnell live bringen will. Damit bleibt Cybersicherheit ein Parallelprozess statt integraler Bestandteil der unternehmerischen Wertschöpfung.
Diese Entkopplung ist gefährlich, denn die Bedrohungslage ist längst nicht mehr nur hypothetisch. Im Gegenteil: Künstliche Intelligenz eröffnet Angriffsflächen, die bis vor Kurzem unvorstellbar waren – von perfekt gemachten Phishing-Mails über täuschend echte Deepfakes bis hin zu komplett automatisierten Penetrationstools. Gleichzeitig geraten Lieferketten, Produktionssysteme und kritische Infrastrukturen zunehmend ins Visier professioneller Angreifer. Die Gefahr ist real und betrifft jedes Unternehmen unabhängig von der Größe.
Fazit
Wer heute eine Firma führt, muss Sicherheit strategisch denken. Das bedeutet: klare Verantwortlichkeiten, echte Entscheidungskompetenz und ein Platz auf Augenhöhe mit anderen C-Level-Funktionen. Nicht jeder Betrieb braucht einen formellen CISO. Aber jeder Betrieb braucht jemanden, der die Gefahren nicht nur kennt, sondern auch stoppen darf – und zwar rechtzeitig, bevor aus technischen Risiken ein wirtschaftlicher Schaden entsteht.
