Es klingt zunächst nach Erlösung: niedrige Latenzen, garantierte Qualität durch Network Slicing, Edge-Intelligenz direkt neben der Funkzelle, Millionen vernetzter Geräte pro Quadratkilometer. 5G trägt den Nimbus des Möglichmachers, und vieles davon stimmt. Doch je näher Unternehmen 5G in produktive Prozesse lassen, desto deutlicher tritt die zweite Seite hervor: Jede Fähigkeit, die 5G stark macht, vergrößert auch die Angriffs- und Fehlerfläche. Aus der Infrastruktur für Geschwindigkeit wird eine kritische Steuerungsebene – und damit zum primären Governance-Thema.

Dieser Beitrag seziert die Schattenseite nüchtern: nicht als Angstkatalog, sondern als Handbuch für Entscheiderinnen und Entscheider, die 5G sicher, nachweisbar und beherrschbar einsetzen wollen. Was verändert die Architektur wirklich? Wo liegen die technischen Hebel für Angriffe? Welche Lücken entstehen in Rollen, Verträgen und Verantwortlichkeiten? Und wie schafft man Resilienz, ohne den Fortschritt abzuwürgen?

Wer sich ernsthaft mit Informationssicherheit beschäftigt, stößt früher oder später auf eine Flut an Abkürzungen und Normenbezeichnungen: ISO 27001, ISO 27002, BSI IT-Grundschutz, NIST, COBIT, TISAX, DORA, DSGVO – und das ist nur der Anfang. Für Außenstehende wirkt dieses Regelwerk wie ein unüberschaubarer Dschungel aus Vorschriften, Empfehlungen und Zertifizierungen. Doch wer die wichtigsten Normen kennt und versteht, erkennt schnell, dass sie mehr sind als bloße Bürokratie: Sie sind Werkzeuge, die Struktur schaffen, Risiken reduzieren, Compliance sichern und Vertrauen aufbauen. Das Ziel ist immer dasselbe – Informationen schützen –, aber die Wege dorthin unterscheiden sich. Manche Normen sind international, andere national. Manche sind gesetzlich vorgeschrieben, andere freiwillig, aber in vielen Branchen de facto unverzichtbar. Richtig eingesetzt, machen Normen Informationssicherheit planbar, messbar und nachhaltig – und zwar nicht trotz, sondern wegen ihrer Struktur.

ISO/IEC 27001: Der globale Rahmen für ein wirksames ISMS

ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Sein Fokus liegt nicht auf Checklisten, sondern auf Management: Risiken verstehen, Ziele setzen, Maßnahmen festlegen, Wirksamkeit prüfen und fortlaufend verbessern. Die Norm folgt der harmonisierten ISO-Struktur (High Level Structure) und lässt sich daher gut mit anderen Managementsystemen (z. B. ISO 9001, ISO 22301) integrieren. Herzstück ist die risikobasierte Steuerung. Unternehmen entscheiden – auf Basis einer nachvollziehbaren Risikoanalyse – selbst, welche Kontrollen angemessen sind, und dokumentieren diese Auswahl in der „Statement of Applicability“ (SoA). Genau diese Flexibilität macht ISO 27001 so mächtig: Ein FinTech, ein Klinikum und ein Maschinenbauer können völlig unterschiedliche Kontrollen wählen und dennoch konform sein, solange die Auswahl risikogerecht und wirksam belegt ist. Das Zertifikat dient international als Gütesiegel: Es signalisiert Kunden, Partnern und Aufsichten, dass Informationssicherheit nicht dem Zufall überlassen wird, sondern nach einem anerkannten Regelwerk geführt wird.

Es knirscht selten laut, wenn es passiert. Kein großer Knall, keine rot blinkenden Warnlampen. Stattdessen: eine kleine Konfigurationsänderung bei einem Dienstleister, ein unscheinbares Update, eine freundliche E-Mail eines „Partners“, ein Browser-Plugin aus einem Hersteller-Marketplace. Wochenlang wirkt alles normal, die Dashboards bleiben grün. Und doch hat sich die Risikolage grundlegend verschoben – nur eben nicht dort, wo das eigene SOC hinschaut. Die Schwachstelle liegt außerhalb des Perimeters, außer Reichweite der üblichen Telemetrie und häufig auch jenseits der eigenen Zuständigkeiten. Genau dort, wo moderne Wertschöpfung in der Praxis stattfindet: bei Third Parties.

Dass Drittparteien zur Achillesferse werden, ist keine überraschende Schlagzeile – aber die Mechanik dahinter wird in vielen Unternehmen unterschätzt. Third Parties stehen mitten in unseren Prozessen, tragen weitreichende Berechtigungen, hosten Daten, signieren Updates, verwalten Identitäten, triagieren Tickets, betreiben Infrastruktur und liefern das, was Kundinnen und Kunden direkt erleben: Verfügbarkeit, Geschwindigkeit, Qualität. In dieser Rolle sind sie nicht „außen“, sondern innen – oft mit mehr Rechten, mehr Einblick und mehr Steuerungsmacht als das, was wir im eigenen Haus für selbstverständlich halten.

ISO 27001 – allein der Name klingt nach Norm, Paragraphen und endlosen Dokumenten. Viele, die ihn hören, denken sofort an eine trockene, bürokratische Übung, die man nur für Auditoren und Zertifizierer macht. Doch hinter ISO 27001 steckt weit mehr als ein dicker Ordner mit Richtlinien. Sie ist der international anerkannte Standard für Informationssicherheits-Managementsysteme – kurz ISMS – und damit so etwas wie die „Bedienungsanleitung“ dafür, wie Unternehmen ihre Informationen und Systeme wirksam schützen. Wer die Norm versteht und klug umsetzt, baut nicht nur ein solides Sicherheitsfundament, sondern kann auch gegenüber Kunden, Partnern und Behörden nachweisen: Wir nehmen Sicherheit ernst – und wir können es belegen.

Der Kern: Sicherheit als Management- und Verbesserungsprozess

Die Grundidee ist einfach, aber mächtig: Informationssicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. ISO 27001 schreibt nicht vor, welche konkreten technischen Maßnahmen ein Unternehmen ergreifen muss, sondern wie es ein Managementsystem aufbaut, das Risiken erkennt, bewertet und systematisch behandelt. Das macht die Norm so flexibel – sie passt zu Banken genauso wie zu Start-ups, zu Produktionsbetrieben ebenso wie zu Behörden. Entscheidend ist, dass die Organisation ihr Sicherheitsmanagement in einem klaren Rahmen betreibt, der regelmäßig überprüft und verbessert wird.

Viele Unternehmen betrachten Informationssicherheit immer noch als eine Disziplin, die irgendwo tief in der IT-Abteilung angesiedelt ist. Dort sitzen die Administratoren, die Passwortrichtlinien einführen, Firewalls konfigurieren, Updates einspielen und im Ernstfall versuchen, Angriffe abzuwehren. Diese Sichtweise hat sich über Jahrzehnte gehalten, weil IT-Sicherheit tatsächlich in den Serverräumen, Rechenzentren und Netzwerken beginnt. Doch sie ist gefährlich verkürzt – und im Jahr 2025 schlicht nicht mehr haltbar. Informationssicherheit ist längst keine rein technische Aufgabe mehr, sondern ein strategisches Kernthema, das das gesamte Unternehmen betrifft, von der Produktentwicklung über die Lieferkette bis hin zur externen Kommunikation. Und weil sie alle Bereiche betrifft, ist sie letztlich eine Führungsaufgabe, die an der Spitze beginnt und nicht delegierbar ist.

Warum die alte IT-Sicht nicht mehr reicht

Der Grund dafür ist einfach: Informationssicherheit schützt nicht nur Dateien auf Festplatten, sondern das Fundament des Unternehmens – seine Daten, Prozesse, Beziehungen und seinen Ruf. Wer glaubt, man könne diese Verantwortung komplett an die IT „auslagern“, verkennt zwei Realitäten. Erstens: Die meisten Sicherheitsvorfälle beginnen nicht mit einer komplizierten Zero-Day-Schwachstelle, sondern mit menschlichen Fehlern, organisatorischen Schwächen oder fehlender Priorisierung. Zweitens: Die juristische Verantwortung bleibt in der Unternehmensleitung. Wenn vertrauliche Kundendaten durch einen Angriff oder eine Unachtsamkeit abfließen, wird nicht nur der IT-Leiter befragt, sondern vor allem das Management. In regulierten Branchen wie dem Finanzwesen, im Gesundheitssektor oder bei Betreibern kritischer Infrastrukturen ist diese Verantwortung sogar ausdrücklich in Gesetzen und Aufsichtsregeln verankert.