Es gab eine Zeit, in der Cybersecurity vor allem als Schutzdisziplin verstanden wurde: Systeme härten, Angriffe blockieren, Daten vor unerlaubtem Zugriff bewahren. Überschaubare Perimeter, klar definierte Netzgrenzen, ein Katalog an „Best Practices“ – und möglichst wenige Überraschungen. Diese Zeit ist vorbei. Je stärker digitale Infrastrukturen miteinander verflochten sind, desto offensichtlicher wird: Perfekter Schutz existiert nicht. Angriffe werden erfolgreicher, Lieferketten komplexer, Abhängigkeiten enger – und der Schaden, wenn etwas schiefgeht, größer. Die Aufsicht reagiert: Nicht mehr reiner Schutz, sondern Resilienz steht im Mittelpunkt. Widerstandsfähigkeit wird zur eigentlichen Währung der digitalen Governance. Das ist kein semantischer Wechsel, sondern ein Paradigmenbruch mit tiefen Folgen für Strategie, Organisation, Technik und Kultur.

Warum Schutz allein nicht mehr reicht

Die altbekannte Verteidigungslogik – verhindern, abwehren, abschotten – bleibt wichtig, aber sie stößt an harte physikalische Grenzen. Erstens, weil die Angriffsfläche exponentiell wächst: Cloud, SaaS, APIs, mobile Arbeit, OT/IoT, Datenökosysteme. Zweitens, weil Angreifer industrialisiert vorgehen: Toolkits, Ransomware-as-a-Service, Initial Access Broker, Supply-Chain-Taktiken. Drittens, weil digitale Abhängigkeiten zu systemischen Effekten führen: Fällt ein zentraler Dienstleister aus, trifft das in Stunden ganze Wertschöpfungsketten. Resilienz stellt daher eine andere Frage als klassischer Schutz: Wie bleibt das Unternehmen handlungsfähig, obwohl Schutzmaßnahmen versagen können? Die Antwort betrifft Architektur (Entkopplung, Redundanz), Organisation (Entscheidungsrechte, Eskalationsregeln), Menschen (Kompetenz, Übung) und Evidenz (Nachweis, dass es im Ernstfall funktioniert).