Sicherheit riecht nach Serverraum, nach kalter Luft und blau blinkenden LEDs. Sicherheit klingt nach Alarmen, Logfiles, SIEM-Dashboards und Patches. Und Sicherheit sieht aus wie ein Login-Bildschirm, der nach Multi-Factor fragt. Das alles ist richtig – und doch gefährlich unvollständig. Denn die meisten Vorfälle beginnen nicht am Bildschirm. Sie beginnen an Türen, Drehkreuzen, in Aufzügen, an Lieferzonen, in Abstellräumen, bei Paketannahmen, in Parkhäusern, auf Flughäfen, an Hotelrezeptionen – und in Koffern. Wer heute über Resilienz spricht, muss Sicherheit von außen nach innen denken: vom Gehweg bis zum Kernel, von Kabeln bis Koffern. Physische Sicherheit ist nicht das Nebenfach der Cyber-Disziplin, sondern ihre erste Grenze und ihr letzter Beweis. Sie entscheidet darüber, ob Ihre kryptographisch perfekte Welt der Zugangscodes und Zertifikate in der Wirklichkeit standhält – wenn jemand die Tür offenhält, den Patchschrank aufhebelt, den Koffer stiehlt oder die falsche Person mit Warnweste durchwinkt.

Der alte Perimeter – Zäune, Pförtner, Zutrittskarten – war für eine Welt gemacht, in der Menschen fünf Tage die Woche in ein Büro kamen, Akten in einem Archiv lagen, Server in einem Raum brummten. Diese Welt gibt es nicht mehr. Heute entstehen dynamische Perimeter: Co-Working-Flächen neben dem Stammhaus, Außenlager in Drittländern, Field-Service im Kundenwerk, Homeoffice in Mietwohnungen, Meetings im Flughafenhotel, Notebooks im Bordgepäck. Gebäude sind vernetzte Maschinen – mit Aufzugsteuerungen, Video-Management, Zutrittskontrolle, Heizung, Klima, Beleuchtung. Jedes System hat eine IP, ein Update-Fenster, Protokolle, Passwörter. Wer physische Sicherheit weiter als „Schloss und Riegel“ betrachtet, übersieht die Konvergenz: Gebäudetechnik, Menschen, Prozesse und IT sind heute ein einziges, zusammenhängendes System. Und genau so muss man es steuern.

Es gibt Jahre, in denen Governance wie ein gepflegter Maschinenraum wirkt: saubere Schaltbilder, klare Zuständigkeiten, geölte Prozesse, Prüfzeichen am richtigen Ort. Und es gibt Jahre, in denen das gleiche Bild plötzlich alt aussieht. 2026 ist so ein Jahr. Die Architektur der Kontrolle – Regeln, Freigaben, Checklisten – bewährt sich weiterhin, aber sie reicht nicht mehr aus, um Organisationen durch eine Welt zu steuern, in der digitale Abhängigkeiten unübersichtlich, Lieferketten fragil, regulatorische Erwartungen dynamisch und Technologien wie KI, Cloud und vernetzte Produkte zum Taktgeber geworden sind. Der Satz „Kontrolle allein reicht nicht“ klingt wie eine Plattitüde. In Wahrheit markiert er einen Wendepunkt: Governance verschiebt sich von der Frage „Ist es freigegeben?“ zu „Hält es unter Last – und können wir das beweisen, während wir uns anpassen?“

Der Bruch mit der Kontrolllogik

Die Klassik der Governance wurde von zwei Grundgedanken getragen: Erstens lässt sich Risiko durch Regeln und Rollen beherrschen. Zweitens genügt es, die Einhaltung in Zyklen zu prüfen – Jahresabschluss, Auditplan, Projektgate. Das funktionierte, solange Veränderung langsam und Abhängigkeiten überschaubar waren. Heute kollidieren beide Annahmen mit der Praxis. Veränderungen passieren kontinuierlich (Feature-Rollouts, Infrastruktur-Drifts, Datenströme), und Abhängigkeiten ziehen systemische Effekte nach sich (ein Ausfall in der Lieferkette, ein Software-Bug, eine kompromittierte Identität). Kontrolle bleibt nötig – aber sie ist nicht mehr die Königsdisziplin. Die neue Frage lautet: Wie bleibt die Organisation handlungsfähig, obwohl Kontrolle versagen kann – und wie lernt sie schneller als die Welt sich ändert?

K ontrolle ist gut, Vertrauen ist besser – oder doch umgekehrt? Lange hat sich das Risikomanagement in Unternehmen an dieser scheinbaren Gegensätzlichkeit abgearbeitet. Auf der einen Seite Reglementierung, Policies, Vier-Augen-Prinzip, Audits. Auf der anderen Seite Eigenverantwortung, Ermessen, Unternehmergeist. Zwischen beiden Polen wurde die Organisation gespannt wie eine Saite, mal straff zugedreht, mal locker gelassen. Das Ergebnis: zeitweise Ordnung, regelmäßig Reibung, selten Geschwindigkeit. Heute, in einer Wirtschaft, die von Software, Plattformen, globalen Lieferketten und datengetriebenen Entscheidungen geprägt ist, reicht dieses Schwarz-Weiß nicht mehr. Modernes Risikomanagement lebt von kontrollierbarem Vertrauen: Regeln, die Freiräume ermöglichen; Kennzahlen, die Entscheidungen beschleunigen; Evidenzen, die unsicherheitstauglich sind; Kultur, die meldet statt verschweigt. Dieser Beitrag erkundet, wie der Weg dorthin aussieht – jenseits von Schlagwörtern, mitten in der operativen Realität.

1) Von der Absicherung zur Befähigung: Wozu Risikomanagement heute da ist

Klassisch wird Risikomanagement als Schutzfunktion verstanden: Risiken identifizieren, bewerten, behandeln, überwachen. Richtig – aber unvollständig. Die strategische Pointe lautet: Risiko ist eine Ressource. Nur wer risiko­bewusst handelt, kann schnellere Märkte, neue Technologien und knappe Budgets in Wachstum übersetzen. Absicherung ohne Befähigung lähmt. Befähigung ohne Absicherung ist Glücksspiel. Das moderne Zielbild lautet daher: Risiko als Entscheidungshilfe. In der Praxis bedeutet das:

In der Welt der Informationssicherheit gab es immer wieder Schlagworte, die als „Must-have“ galten: Firewalls, Virenscanner, ISO 27001, Cloud Security, Zero Trust. Jedes dieser Themen hatte seine Zeit im Rampenlicht. Heute ist der Begriff, der in Vorträgen, Strategiepapiere und Gesetzesentwürfe gleichermaßen auftaucht, Cyber-Resilienz. Er klingt modern, fast schon schick – und genau deshalb wird er oft oberflächlich behandelt. Aber hinter diesem Schlagwort steckt weit mehr als ein Marketingtrend. Cyber-Resilienz ist nicht nur eine Erweiterung klassischer IT-Sicherheit, sondern ein strategischer Ansatz, der Unternehmen widerstandsfähig gegen digitale Angriffe, technische Störungen und sogar komplexe Krisen macht. Kurz gesagt: Es geht nicht mehr nur darum, Angriffe zu verhindern, sondern darum, auch dann handlungsfähig zu bleiben, wenn sie unvermeidlich eintreten.

Von Prävention zu Anpassungsfähigkeit: Was Cyber-Resilienz wirklich bedeutet

Der zentrale Unterschied zwischen traditioneller IT-Sicherheit und Cyber-Resilienz liegt in der Perspektive. Klassische Sicherheitskonzepte fokussieren stark auf Prävention – also darauf, Angriffe zu blockieren, Schwachstellen zu schließen und Risiken zu minimieren. Das ist wichtig, aber in einer Welt, in der Angreifer immer schneller neue Taktiken entwickeln und selbst hochgesicherte Systeme kompromittieren können, reicht Prävention allein nicht mehr aus. Cyber-Resilienz ergänzt diesen Ansatz um Detektion, Reaktion, Wiederherstellung und Lernen. Das bedeutet: Wir akzeptieren, dass ein Angriff oder Ausfall passieren kann, und sorgen dafür, dass wir schnell erkennen, angemessen reagieren und uns effizient erholen – ohne dass der Geschäftsbetrieb vollständig zum Erliegen kommt.

Operational Resilience galt lange als Sonderdisziplin für Krisenmanager, als Notfallplan für seltene, extreme Ereignisse: Rechenzentrum brennt, Leitungen fallen aus, Angriff trifft die Kernsysteme, Lieferant stürzt ab. Dann kam die Dauerkrise – nicht als einzelner Paukenschlag, sondern als Takt: Cloud-Migrationswellen, Release-Kadenz im Wochenrhythmus, global vernetzte Lieferketten, Meldepflichten mit engen Fristen, Angreifer, die sich industrialisiert haben, und Kundenerwartungen, die Ausfallzeiten nicht mehr entschuldigen. Was früher Ausnahmefall war, ist heute Betriebszustand. Operational Resilience 360° bedeutet deshalb nicht, mehr Notfallpläne zu schreiben oder größere Firewall-Wälle zu ziehen. Es bedeutet, das Unternehmen so zu gestalten, dass Störungen einkalkuliert sind, Entscheidungen unter Druck zuverlässig fallen, Wiederanläufe geprüft sind, Beweise nebenbei entstehen und der Normalbetrieb bereits den Krisenbetrieb enthält. Es ist ein Kultur- und Architekturwechsel – vom heroischen Improvisieren zur geprobten Beherrschbarkeit; vom Projekt zur Betriebsleistung; vom Dokument zur Demonstration.

In der Praxis beginnt dieser Wandel mit einer unbequemen Ehrlichkeit: Niemand kann alle Risiken vermeiden, niemand alle Abhängigkeiten herauslösen, niemand ein „Null-Ausfall“-Unternehmen bauen. Die Illusion vollständiger Kontrolle ist selbst ein Risiko, denn sie verführt zu guten Geschichten statt zu belastbaren Fähigkeiten. Wer Operational Resilience 360° ernst nimmt, verabschiedet sich von makelloser Fassade und arbeitet an den Mechaniken dahinter: Wirkzeit statt Reifegrad, Übungen statt Versprechen, Anschlussfähigkeit statt Einkaufsfolklore, Evidenz statt Erinnerung, Reduktion statt Sammeltrieb, und eine Zeitlogik, die über Sicherheit hinaus das Geschäft führt. Das Ergebnis ist keine Organisation, die nicht mehr stolpert, sondern eine, die beim Stolpern nicht fällt – und wieder in den Lauf findet, ohne erst ihren Schuh suchen zu müssen.