Vorstände lieben Ampeln. Rot, Gelb, Grün versprechen Ordnung in einer Welt, die selten geordnet ist. Chief Risk Officers lieben Heatmaps. Quadranten vermitteln das Gefühl, man habe Komplexität in den Griff bekommen. Compliance liebt PDF-Berichte. Viele Seiten geben den Eindruck von Vollständigkeit. Und doch passiert in unzähligen Unternehmen dasselbe Ritual: Die Präsentation läuft, die Ampeln leuchten, die Quadranten flimmern, die PDFs stapeln sich – und am Tag danach trifft die Organisation Entscheidungen anhand von Einzelmeinungen, E-Mail-Threads und Ad-hoc-Calls. Aus schönen Berichten wird selten Führung. Genau an dieser Bruchkante setzt der radikale Gedanke eines modernen GRC-Dashboards an: Transparenz ist kein dekoratives Element, sondern eine Führungsdisziplin. Sie wird nicht an Folien gemessen, sondern an der Fähigkeit, Handlungen auszulösen, die sich nachweisen lassen. Ein GRC-Dashboard, das diesen Namen verdient, ist nicht eine weitere Sicht auf Daten. Es ist ein Betriebsinstrument, das Governance, Risk und Compliance in den Takt der Organisation übersetzt.

Vom Bericht zum Betrieb: Was ein Dashboard heute leisten muss

Das klassische Verständnis sah im Dashboard eine Verdichtung. Zahlen aus Security, Datenschutz, Legal, Audit, Betrieb und Einkauf wurden gesammelt, grafisch aufbereitet und regelmäßig vorgelegt. Die Annahme dahinter: Wenn Entscheidungsträger die wichtigsten Informationen auf einen Blick vor sich sehen, treffen sie bessere Entscheidungen. Diese Annahme ist nicht völlig falsch – aber unvollständig. Ein Dashboard, das allein informiert, erzeugt häufig Unverbindlichkeit. Die Inhalte werden zur Kulisse; die eigentliche Arbeit verlagert sich zurück in die Linien, wo Stimmenstärke und Verfügbarkeit mehr zählen als Evidenz.

D ie Ära der wohlgeordneten Checklisten ist vorbei. Was lange als erstrebenswerter Zustand galt – „prüfungsreif“, „compliant“, „auditfähig“ – wirkt 2025 wie ein Raster aus einer anderen Zeit. Nicht, weil Gesetze unwichtiger geworden wären. Im Gegenteil: Nie zuvor griffen so viele Regelwerke gleichzeitig ineinander. Aber Compliance ist nicht mehr das Ziel, sondern die Einstiegshürde. Die wirkliche Führungsaufgabe heißt heute Governance: sichtbar steuern, wirksam priorisieren, unterbrechungsfrei reagieren – und das auf Basis von Evidenzen, die täglich entstehen. Wer 2025 nur Vorgaben abarbeitet, hat verloren. Wer Governance als Produktionsfaktor begreift, gewinnt Geschwindigkeit, Vertrauen und Krisenfestigkeit.

Dieser Beitrag beleuchtet, was sich im Kern verschoben hat: von Pflichten zu Fähigkeiten, von Papier zu Prozessen, von Kontrollen zu Kompetenz. Er zeigt, warum DORA, NIS2, AI Act, CRA, CSRD & Co. kein Wirrwarr sind, sondern ein einziger, klarer Imperativ: Bau dir eine Organisation, die beweisen kann, was sie kann. Und zwar nicht im Jahresbericht, sondern wenn es darauf ankommt.

Wer 5G richtig verstanden hat, weiß: Der Sprung zur nächsten Mobilfunkgeneration wird nicht durch ein größeres Balkendiagramm im Speedtest definiert, sondern durch einen Architekturwechsel. 6G verspricht kein bloßes „Mehr“ an Bandbreite, sondern ein „Anders“: Netze, die sehen, hören, orten, interpretieren und entscheiden; Netze, die nicht nur Daten transportieren, sondern Bedeutung übertragen; Netze, die so eng mit Sensorik, KI und Edge-Rechenleistung verzahnt sind, dass sie zu einem operativen Sinnesorgan für Wirtschaft und Gesellschaft werden. Genau darin liegt der Kern der kommenden Welle – und die Frage, wie Unternehmen sich heute schon auf die Möglichkeiten und Pflichten von morgen vorbereiten.

Warum 6G mehr ist als „5G, aber schneller“

Die Versuchung ist groß, 6G unter die Überschrift „Gigabit mal zwei“ zu stellen. Doch dieser Blick greift zu kurz. Schon 5G hat den Paradigmenwechsel eingeleitet: weg vom „best effort“-Funk, hin zu planbaren Eigenschaften (Latenz, Jitter, Verfügbarkeit) per Network Slicing und Edge Computing. 6G setzt genau dort an – und verschiebt die Grenzwerte in vier Richtungen:

Jede Organisation kennt sie, fast niemand denkt an sie: Multifunktionsgeräte, Druckerflotten, Scanner, Plotter, Etikettendrucker, Fax-Module, Kioskdrucker für Belege. Sie stehen unscheinbar im Flur, summen leise vor sich hin, produzieren zuverlässig Seiten – und werden in Security-Runden oft nur dann erwähnt, wenn es um Kosten oder papierlose Initiativen geht. Dabei sind genau diese Geräte in vielen Netzen hochprivilegierte, dauerhaft präsente, schwach gehärtete Systeme mit direktem Draht zu Fileservern, E-Mail-Gateways, Verzeichnisdiensten und manchmal sogar ins öffentliche Internet. Wer sie ignoriert, baut eine Sicherheitsarchitektur mit offener Seitentür. Zeit, das Licht einzuschalten: Warum sind Drucker, Scanner & Co. so attraktiv für Angreifer? Wo liegen die Schattenrisiken? Und wie macht man aus einem grauen Kasten im Flur ein steuerbares, belastbares Asset – statt einer vergessenen Schwachstelle?

Warum ausgerechnet Drucker? Die Logik des Angreifers

Angreifer suchen nicht den glamourösen Weg, sondern den einfachen. Sie lieben überall verfügbare Geräte mit weit offenen Protokollen, seltenen Patches, Standardpasswörtern, großzügigen Netzwerkrechten und Administrationsoberflächen, die niemand überwacht. Multifunktionsgeräte liefern dieses Paket frei Haus:

Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.