IT-Resilienz als Priorität im Vorstand 

Eine Priorität im Vorstand

Stellen Sie sich vor, ein Cyberangriff oder ein Naturereignis wie die Überflutung des Ahrtals legt Ihre gesamte IT-Infrastruktur lahm. Die Produktion steht still, die Lieferkette ist unterbrochen, und die finanziellen Verluste sind neben resultierender Imageschäden durch ausbleibende Lieferungen oder erheblich verzögerte Abarbeitung der Wertschöpfungskette enorm. Solche Worst-Case-Szenarien sind keine Seltenheit mehr und erfordern eine proaktive Planung. Laut einer Studie von Detecon können Unternehmen, die keine ausreichenden Resilienz Maßnahmen implementiert haben, im Falle eines IT-Ausfalls Verluste in Millionenhöhe erleiden. Die durchschnittlichen Kosten eines Cyberangriffs belaufen sich auf etwa 3,86 Millionen Euro pro Jahr, wobei die Auswirkungen auf die Reputation und das Vertrauen der Kunden oft noch schwerwiegender sind. (Quelle: IBM Studie, 2025: Cost of a data breach 2025 | IBM) 

In der digitalen Geschäftswelt ist IT-Resilienz nicht mehr nur ein Thema für die IT-Abteilung, sondern hat sich zu einer strategischen Priorität in den Vorstandsetagen entwickelt. Die zunehmende Komplexität von IT-Infrastrukturen und die wachsende Bedrohung durch Cyberangriffe haben dazu geführt, dass die persönliche Haftung von Geschäftsführern und Vorständen bei Cyber-Ausfällen stärker in den Fokus rückt. Unternehmen stehen vor der Herausforderung, ihre Durchhaltefähigkeit zu stärken, da sie oft im Fall von kritischen IT-Ausfällen nur kaum oder nur verzögert in der Lage sind, den Regelbetrieb aufrechtzuerhalten. Für längere Krisen fehlen häufig die notwendigen Ressourcen. „Die IT-Landschaften von einigen unserer Kunde haben inzwischen teilweise mehr als hundert kritische Anwendungen und Unternehmensservices, die es vor dem „worst-case“ zu schützen gilt. Diese Komplexität initial zu erfassen, nachhaltig zu dokumentieren und künftig aktiv zu schützen ist keine einfache Aufgabe“, so Daniel Lengies, IT- und Resilienz-Experte bei Detecon. 

Die Lieferketten im Wertschöpfungsprozess stellen eigene Risikoquellen dar, die durch versteckte Risiken und unbekannte Abhängigkeiten gekennzeichnet sind. Diese Abhängigkeiten sind oft unzureichend abgesichert und basieren lediglich auf kommerziellen oder juristischen Vereinbarungen. Die Komplexität der Unternehmensstrukturen und Enterprise-Architekturen schränkt die Handlungsfähigkeit in Krisenzeiten weiter ein. In vielen Fällen kehren Unternehmen nach einer Krise nicht mehr in den Vorkrisenzustand zurück, sondern ein Teil der Krisenmaßnahmen wird zum neuen Normalzustand. Entscheidungen müssen oft unter Druck und mit unzureichenden Informationen oder eingeschränkten Handlungsspielräumen getroffen werden, was viele Mitarbeiter überfordert. Dazu zählen auch Compliance-Vorgaben, auf die zunehmend auch in Krisenfällen geachtet wird. Beispiele hierfür sind der Zahlungsverkehr und die PCI-DSS-Compliance, die für bestimmte Anwendungen erfüllt sein müssen. Allerdings ist nicht jede Plattform für diese ausgelegt und in diesem Bereich zertifiziert worden. Durch strikte Herstellervorgaben für einen garantierten Support im Fehlerfall entfällt oftmals mittlerweile die früher noch oft gelebte Krisen-Hemdsärmeligkeit, IT „einfach nur zum Laufen“ zu bekommen. Durch Compliance-Prozesse verpflichtend eingeforderte Dokumente sind zudem häufig nur pro forma vorhanden und bieten oft keine echte Hilfe im Disasterfall. Angesichts dieser Herausforderungen müssen Unternehmen proaktiv Maßnahmen ergreifen, um ihre Geschäftsprozesse zu schützen, Business Continuity durch eigenes Management zu gewährleisten und ihre Wettbewerbsfähigkeit zu sichern – heute mehr denn je. 

Resilienz ist kontextsensitiv 

IT-Resilienz bezieht sich auf die generelle Fähigkeit einer Organisation oder eines Unternehmens, IT-Systeme und entsprechende Prozesse so zu gestalten, dass sie widerstandsfähig gegenüber situativen Störungen und (kriminellen) Bedrohungen sind.  

Das höchste Ziel der Etablierung resilienter IT-Strukturen ist es, sowohl den Fortbestand der Geschäftstätigkeit, die Wahrung der Reputation sicherzustellen, als auch die Sicherheit verwendeter Daten und Programme zu garantieren. 

Cyber-Resilienz bezieht sich auf die Fähigkeit einer Organisation oder eines Unternehmens, IT-Systeme und den Umgang mit ihnen so zu gestalten, dass sie widerstandsfähig gegenüber situativen Störungen und (kriminellen) Bedrohungen sind. Im Fokus ist der Risikovektor der Digitalkriminalität – online wie offline.  

Dazu zählen u. a. (Spear-)Phishing, Viren & Malware, das Ausnutzen von Exploits für kriminelle Zwecke, aber auch Social Engineering, CxO-Frauds die nicht zwingend auf dem elektronischen Wege erfolgen müssen. Auch hier ist der Fortbestand der Geschäftstätigkeit und die Wahrung des Images oberstes gesetztes Ziel. 

Beide Resilienz-Aspekte erfordern ein tragfähiges Business-Continuity-Management (BCM).  Dieser ganzheitliche Ansatz dient zur Sicherstellung des Fortbestands eines Unternehmens und seiner Geschäftsprozesse im Krisenfall. Ziel ist es, die Risiken für Betriebsunterbrechungen und den damit einhergehenden Schaden zu minimieren und existenzbedrohende Szenarien abzuwenden. Im Rahmen des Betriebskontinuitätsmanagements werden mögliche Risiken identifiziert und ihre Auswirkungen auf die Geschäftsprozesse analysiert. 

Dies manifestiert IT- und Cyber-Resilienz sind kein Thema der IT-Abteilung, sondern sie betreffen das gesamte Unternehmen.   

Der Business Impact von Rechenzentren – Cloud – und Lieferkette

Die Abhängigkeit von Rechenzentren und Cloud-Diensten wächst stetig. In Deutschland haben die Kapazitäten der Rechenzentren in den letzten Jahren um durchschnittlich 10% pro Jahr zugenommen. Bis 2030 nehmen in Deutschland die Rechenzentrumskapazitäten um 70 Prozent zu. KI-Rechenzentren vervierfachen sich in diesem Zeitraum. (bitkom PR-Artikel 10.11.2025). Diese Entwicklung zeigt, wie wichtig es ist, dass Unternehmen ihre IT-Infrastruktur robust und widerstandsfähig gestalten. Ein Ausfall kann die gesamte Lieferkette beeinträchtigen und erhebliche wirtschaftliche Schäden verursachen. Laut einer Umfrage von Detecon gaben 60% der befragten Unternehmen an, dass sie in den letzten zwei Jahren mindestens einen signifikanten IT-Ausfall erlebten, der ihre Geschäftsprozesse erheblich beeinträchtigt hat.  

Die Wertschöpfungs-Kritikalität bestimmt den Schutzbedarf – wie stellen wir die Resilienz sicher? 

Detecon bietet ein umfassendes Resilienz-Framework, das Unternehmen hilft, ihre IT-Infrastruktur zu schützen und ihre Geschäftsprozesse zu sichern. Dieses Framework umfasst sowohl technische als auch organisatorische Maßnahmen, um die Resilienz zu steigern und die Compliance sicherzustellen. Ein Bestandteil des Frameworks ist die Implementierung von Business Impact Assessments, die es Unternehmen ermöglichen, potenzielle Risiken zu identifizieren und entsprechende Maßnahmen zu ergreifen. Neben der Bewertung der Anwendungen und dem Zusammenspiel im Netzwerk des Kunden werden auch Standortkriterien, individuelle Plattformspezifika und die Methodik der Datensicherung und Betriebswiederherstellbarkeit auf den Prüfstand gestellt. 

Ein weiterer wichtiger Aspekt ist die Definition von Ausfallszenarien und die Implementierung von Kommunikationsmethoden, um im Falle eines IT-Ausfalls schnell und effektiv reagieren zu können. Laut Detecon können Unternehmen, die ein solches Resilienz-Framework implementiert haben, die Auswirkungen eines IT-Ausfalls um bis zu 50% reduzieren. 

„Resilienz hat viele Facetten. Wir adressieren alle und priorisieren die Maßnahmen für eine schnelle, aber zielgerichtete Umsetzung“, so Daniel Lengies, Resilienz Experte bei T-Detecon. 

Zahlen und Fakten