Wer schützt was? – Warum Informationssicherheit Chefsache ist

Wer schützt was? – Warum Informationssicherheit Chefsache ist

Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.

Die Rolle der Führungsebene ist nicht nur reaktiv, sondern vor allem strategisch. Sie legt fest, welche Prioritäten gesetzt werden, wie hoch die Budgets für Sicherheitsmaßnahmen ausfallen, welche Projekte Vorrang haben und wie streng Kontrollen durchgesetzt werden. Ohne diese Unterstützung bleibt Informationssicherheit ein Flickenteppich aus Einzelmaßnahmen, der vielleicht punktuell funktioniert, aber keine ganzheitliche Resilienz aufbaut. Es reicht nicht, ein ISMS einzuführen oder ein paar Policies zu unterschreiben. Die Vorgaben müssen gelebt werden – und das funktioniert nur, wenn das Management mit gutem Beispiel vorangeht. Ein Vorstand, der selbst Passwörter auf Post-its schreibt oder Sicherheitsfreigaben umgeht, sendet an alle Mitarbeitenden das Signal, dass Regeln optional sind.

Standards wie ISO 27001 oder der BSI IT-Grundschutz machen diese Führungsrolle glasklar. In ISO 27001 ist festgelegt, dass die oberste Leitung nicht nur Ressourcen bereitstellen, sondern auch Sicherheitsziele festlegen, Risiken regelmäßig bewerten und die Wirksamkeit der Maßnahmen überprüfen muss. Das bedeutet: Chefs müssen nicht jede technische Einzelheit verstehen, aber sie müssen wissen, welche Risiken das Unternehmen bedrohen, welche Schutzmaßnahmen existieren, wie diese funktionieren und wo Lücken bestehen. Informationssicherheit wird so zu einem Managementthema, das ähnlich wie Finanzen oder strategische Planung regelmäßig auf der Agenda stehen muss.

Doch wer schützt konkret was? Die IT-Abteilung kümmert sich um die technische Absicherung von Systemen, Netzwerken und Anwendungen. Aber das ist nur ein Teil der Sicherheitslandschaft. Die Personalabteilung spielt eine Schlüsselrolle, wenn es um Hintergrundprüfungen, sichere Onboarding-Prozesse und den Schutz vor Insiderbedrohungen geht. Das Lieferantenmanagement muss sicherstellen, dass Partner und Dienstleister ebenfalls angemessene Sicherheitsstandards einhalten – eine Schwachstelle bei einem Zulieferer kann sonst zur Einfallstür für Angreifer werden. Das Marketing muss sich darüber im Klaren sein, dass unbedachte Veröffentlichungen in sozialen Medien oder Pressemitteilungen wertvolle Informationen für Angreifer enthalten können. Der Vertrieb verwaltet oft die sensibelsten Kundendaten und muss sicherstellen, dass diese nicht versehentlich offengelegt oder unsicher gespeichert werden.

Ein Beispiel aus der Praxis verdeutlicht diese Verzahnung: In einem international tätigen Unternehmen kam es zu einem gravierenden Datendiebstahl. Ursache war kein direkter Angriff auf die IT-Infrastruktur, sondern ein kompromittierter Account eines externen Wartungsdienstleisters. Die eigentliche technische Sicherheitsarchitektur war intakt, doch das Lieferantenmanagement hatte versäumt, klare Sicherheitsanforderungen vertraglich festzulegen und deren Einhaltung zu prüfen. Das Problem hätte nur durch ein Management verhindert werden können, dass Informationssicherheit als Querschnittsaufgabe versteht und nicht als isolierte IT-Verantwortung.

Eine echte Sicherheitskultur entsteht nur, wenn die Verantwortung klar definiert und von oben getragen wird. Das beginnt mit einer verbindlichen Sicherheitsstrategie, die in der Unternehmenspolitik verankert ist, setzt sich fort in der Kommunikation der Führungskräfte und spiegelt sich im Verhalten wider. Wer als Geschäftsführer oder Vorstand in einer Schulung zum Thema Phishing nicht selbst teilnimmt, darf sich nicht wundern, wenn Mitarbeitende das Thema ebenfalls nicht ernst nehmen. Sicherheit muss sichtbar vorgelebt werden – nur dann wird sie Teil der Unternehmenskultur.

Chefsache zu sein bedeutet auch, zuzuhören. Führungskräfte müssen sich regelmäßig von den Fachleuten aus IT, Compliance, Risikomanagement und den operativen Abteilungen berichten lassen. Sie müssen die Sprache der Technik nicht perfekt sprechen, aber die Inhalte verstehen. Nur so können sie informierte Entscheidungen treffen, Prioritäten setzen und im Ernstfall schnell handeln. Die besten technischen Schutzmaßnahmen helfen wenig, wenn das Management im Krisenfall zögert, unklare Zuständigkeiten herrschen oder Entscheidungen in endlosen Abstimmungsschleifen steckenbleiben.

Der vielleicht wichtigste Punkt: Informationssicherheit ist kein Projekt mit Enddatum, sondern ein kontinuierlicher Prozess. Bedrohungen verändern sich, Technologien entwickeln sich weiter, und auch die Strukturen im Unternehmen sind im Fluss. Das erfordert eine ständige Neubewertung der Risiken und Anpassung der Maßnahmen. Diese langfristige Perspektive kann nur die Unternehmensführung gewährleisten, weil sie den Gesamtüberblick und die strategische Verantwortung trägt.

Am Ende läuft es auf eine einfache Wahrheit hinaus: Die IT kann schützen, was ihr anvertraut wird. Sie kann Systeme härten, Netzwerke überwachen und Vorfälle analysieren. Doch die Entscheidung, was geschützt werden soll, welche Risiken akzeptabel sind und welche Prioritäten gelten, fällt nicht im Serverraum, sondern im Vorstandsbüro. Genau deshalb ist Informationssicherheit Chefsache – und zwar nicht nur in Sonntagsreden oder auf Zertifikaten, sondern im gelebten Alltag des Unternehmens.