Die meisten Unternehmen reden über Resilienz, als wäre sie ein Gefühl: „Wir sind besser vorbereitet“, „Unsere Verteidigung ist gestärkt“, „Wir haben vieles verbessert“. Das klingt beruhigend – und ist doch häufig nur ein Echo aus Projektsitzungen. Resilienz ist kein Stimmungsbild, sondern ein Ergebnis. Und Ergebnisse lassen sich messen. Genau darin liegt die eigentliche Herausforderung: Cyber-Resilienz messbar zu machen, ohne sich in Zahlen zu verlieren, die zwar schön aussehen, aber nichts verändern. Wer mit Kennzahlen nur berichtet, statt zu steuern, betreibt Statistik – nicht Führung. Dieser Beitrag zeigt, wie messbare Resilienz wirklich funktioniert: mit wenigen, harten Kennzahlen, die Verhalten lenken; mit einer Zeitlogik, die Kosten sichtbar macht; mit Nachweisen aus dem Betrieb statt aus PowerPoint; mit Lieferkettenmetriken, die nicht beschwichtigen, sondern verlässlich machen; mit Übungen, die Zahlen erzeugen, auf die man bauen kann; und mit Governance, die Kennzahlen in Konsequenzen übersetzt.
Warum Resilienz Zahlen braucht – und zwar die richtigen
Cyber-Resilienz ist die Fähigkeit, trotz Vorfällen handlungsfähig zu bleiben, schnell zu erkennen, zügig zu entscheiden, gezielt zu isolieren und verlässlich wiederherzustellen. Dieses „trotz, schnell, zügig, gezielt, verlässlich“ ist keine Poesie, es ist eine Zeitkette. Solange Unternehmen Resilienz als Zustand beschreiben – „reif“, „fortgeschritten“, „gut unterwegs“ – bleibt sie angreifbar, weil niemand weiß, ob das Urteil hält, wenn Stress einsetzt. Zahlen zwingen zur Klarheit: Wie lange dauert Erkennung in kritischen Prozessen? Wieviel Zeit vergeht, bis eine Entscheidung getroffen ist? Wie fix gelingt die Isolation? Wie zuverlässig der Wiederanlauf? Wie verändert sich der erwartete Schaden, wenn eine dieser Zeiten um 30 Minuten länger wird? Antworten darauf beenden Bauchgefühl. Sie schaffen eine Führungssprache, die Technik, Recht, Betrieb, Finanzen und Kommunikation zusammenbringt: Zeit, Wirkung, Kosten.
