Associate Partner
Prüfer für Interne Revisionssysteme (DIIR)
Cyberresilienz wird zum Steuerungsthema. Warum Cyberrisiken im Mittelstand wirtschaftlich wirken und NIS 2 strukturelle Defizite sichtbar macht
- Cyberangriffe treffen den Mittelstand regelmäßig und mit direkten Effekten
- Schäden entstehen vor allem durch Betriebsunterbrechung
- Organisation bestimmt die tatsächliche Schadenshöhe
- NIS 2 verlagert Verantwortung in die Unternehmensleitung
Cyberangriffe wirken heute unmittelbar auf Ergebnis und Liquidität. Hintergrund ist nicht nur die steigende Bedrohungslage, sondern vor allem deren wirtschaftliche Dimension. Allein in Deutschland summieren sich die Schäden durch Cyberkriminalität auf über 200 Milliarden Euro jährlich. Gleichzeitig werden Cyberrisiken in vielen Unternehmen noch als technisches Thema behandelt. NIS 2 macht sichtbar, dass nicht zusätzliche Maßnahmen fehlen, sondern die konsequente Einbindung in die Unternehmenssteuerung.
Cyberrisiken sind Teil des operativen Geschäftsrisikos
Cyberangriffe sind kein Ausnahmeereignis mehr, sondern Bestandteil des normalen Risikoumfelds. Besonders deutlich wird das im Mittelstand. Ein Großteil gezielter Angriffe richtet sich gegen kleine und mittlere Unternehmen.
Diese Verteilung ist kein Zufall. Mittelständische Unternehmen sind eng in Wertschöpfungsketten eingebunden und gleichzeitig organisatorisch oft weniger auf Krisensituationen vorbereitet. Auch auf Unternehmensebene zeigt sich die Relevanz. Viele Unternehmen berichten bereits von Vorfällen, die den Betriebsablauf erheblich beeinträchtigt haben. Damit verschiebt sich die Perspektive. Nicht die Eintrittswahrscheinlichkeit ist entscheidend, sondern die Fähigkeit, mit den Auswirkungen umzugehen.
Die wirtschaftliche Wirkung entsteht im laufenden Betrieb
Für die Unternehmenssteuerung ist entscheidend, wo die Schäden tatsächlich entstehen. Die Erfahrung aus Schadenfällen zeigt ein klares Muster. Der größte wirtschaftliche Schaden entsteht nicht durch IT-Wiederherstellung, sondern durch Unterbrechungen im operativen Geschäft. Produktionsausfälle, Einschränkungen in der Lieferfähigkeit und verzögerte Auftragsabwicklung dominieren die Auswirkungen.
In vielen Fällen führt ein Vorfall zu einem temporären Stillstand zentraler Prozesse. Selbst kurze Unterbrechungen wirken sich unmittelbar auf Umsatz und Deckungsbeitrag aus. Durchschnittliche Schadenshöhen im Mittelstand zeigen, dass finanzielle Auswirkungen schnell signifikant werden. Cyberrisiken wirken damit wie klassische operative Risiken. Sie betreffen direkt die Wertschöpfung.
Die entscheidende Lücke liegt in der Organisation
Trotz der klaren wirtschaftlichen Relevanz zeigt sich in der Praxis ein wiederkehrendes Muster. Unternehmen investieren in technische Maßnahmen und erkennen die Bedrohung grundsätzlich an. Gleichzeitig bestehen Defizite in der organisatorischen Umsetzung. Insbesondere die Reaktionsfähigkeit im Ernstfall wird häufig als Schwäche sichtbar.
Viele erfolgreiche Angriffe nutzen nicht primär technische Schwachstellen, sondern organisatorische Lücken wie unklare Zuständigkeiten, fehlende Prozesse oder mangelnde Sensibilisierung. Auch Schadenanalysen zeigen, dass die Höhe eines Schadens weniger durch die Angriffstechnik bestimmt wird, sondern durch die Qualität der Reaktion. Die Konsequenz ist eindeutig. Technologie ist Voraussetzung. Die tatsächliche Wirkung entsteht durch Organisation und Steuerung.
NIS 2 verschiebt die Verantwortung in die Führungsebene
Vor diesem Hintergrund wird die Rolle von NIS 2 klar. Die Richtlinie erweitert nicht nur den Kreis der betroffenen Unternehmen, sondern verlagert die Verantwortung explizit in die Unternehmensleitung. Gefordert ist ein systematischer Umgang mit Cyberrisiken. Dazu gehören Risikoanalysen, strukturierte Maßnahmen und klar definierte Reaktionsprozesse.
Damit wird ein Anspruch formalisiert, der wirtschaftlich bereits besteht. Cyberrisiken müssen so behandelt werden wie andere wesentliche Unternehmensrisiken auch.Die regulatorische Perspektive ist dabei zweitrangig. Erfolgreiche Angriffe wirken unabhängig davon, ob ein Unternehmen formal betroffen ist. NIS 2 macht damit vor allem bestehende Steuerungsdefizite sichtbar.
Der entscheidende Hebel ist die Integration
Die zentrale Herausforderung liegt nicht im Aufbau neuer Strukturen. Die notwendigen Instrumente sind in den meisten Unternehmen vorhanden.
- Risikomanagementsysteme erfassen und bewerten Risiken
- Compliance Management Systeme identifizieren Anforderungen
- Interne Kontrollsysteme sichern Prozesse und Abläufe
Im Bereich Cyber werden diese Systeme häufig nicht konsequent genutzt. Risiken werden isoliert betrachtet und Maßnahmen nicht ausreichend verzahnt. Erst die Integration dieser Elemente schafft eine wirksame Steuerung. Cyberrisiken werden Teil der regulären Unternehmensführung.
Konsequenzen für CFO und Geschäftsführung
Für die Praxis ergibt sich ein klarer Handlungsrahmen:
- Cyberrisiken wirtschaftlich bewerten und quantifizieren
- Verantwortlichkeiten eindeutig definieren
- Notfall- und Wiederanlaufprozesse regelmäßig testen
- Transparente Berichterstattung für die Unternehmensleitung sicherstellen
Damit wird Cyberresilienz steuerbar und zu einem festen Bestandteil der Unternehmensführung.
Fazit
Cyberrisiken wirken heute unmittelbar auf Ergebnis, Liquidität und operative Stabilität. Die Betroffenheit ist breit und die wirtschaftlichen Auswirkungen sind konkret. Die zentrale Herausforderung liegt nicht in fehlender Technik, sondern in der Integration in die Unternehmenssteuerung.
NIS 2 verstärkt diese Entwicklung, indem es die Verantwortung klar zuordnet. Unternehmen, die Cyberrisiken konsequent in ihre Governance einbinden, sichern ihre operative Handlungsfähigkeit und stärken ihre Resilienz nachhaltig.