---
title: "Warum IT-Resilienz Chefsache ist: 5 Argumente für den Vorstand"
date: 2026-05-13T15:45:00+02:00
author: FAST LTA
canonical_url: "https://www.fast-lta.de/de/blog/warum-it-resilienz-chefsache-ist-5-argumente-für-den-vorstand"
section: "Entries: Articles"
---
### 1. Per­sön­li­che Haf­tung des Geschäfts­füh­rers unter NIS2 [\#](#1-pers%C3%B6nliche-haftung-des-gesch%C3%A4ftsf%C3%BChrers-unter-nis2 "1. Persönliche Haftung des Geschäftsführers unter NIS2")

Das Wich­tigs­te zuerst: NIS2 in Kraft seit 6. Dezem­ber 2025 ver­pflich­tet Unter­neh­men zur IT-Resi­li­enz. Aber das ist nicht ein­fach eine Com­pli­ance-Pflicht wie eine ande­re. NIS2 § 30 des neu­en BSIG defi­niert Busi­ness Con­ti­nui­ty und Inci­dent Hand­ling als Manage­ment­auf­ga­ben mit per­sön­li­cher Ver­ant­wor­tung des Geschäftsführers.

Was das bedeu­tet: Wenn ein Unter­neh­men einen Cyber­an­griff erlei­det und IT-Resi­li­enz-Maß­nah­men feh­len oder evi­dent unter­in­ves­tiert wur­den, kann der Geschäfts­füh­rer per­sön­lich für Fahr­läs­sig­keit oder Ver­let­zung sei­ner Sorg­falts­pflich­ten haft­bar gemacht wer­den. Das ist nicht Com­pli­ance-Thea­ter — das ist Schuld­recht mit ech­ten Konsequenzen.

**Die Leh­re:** Doku­men­tie­ren Sie Resi­li­enz-Ent­schei­dun­gen und Inves­ti­tio­nen. Ein Audit-Trail, dass der Vor­stand sich bewusst mit IT-Resi­li­enz aus­ein­an­der­ge­setzt hat, ist der bes­te Schutz gegen Vor­wür­fe später.

### 2. Kos­ten eines Aus­falls vs. Kos­ten der Prä­ven­ti­on [\#](#2-kosten-eines-ausfalls-vs-kosten-der-pr%C3%A4vention "2. Kosten eines Ausfalls vs. Kosten der Prävention")

Las­sen Sie uns rech­nen. Nach Bit­kom 2024 beträgt der durch­schnitt­li­che Scha­den pro Cyber­an­griff in Deutsch­land **5,3 Mio. EUR** (Schät­zung). Das umfasst nicht nur direk­te Kos­ten (Löse­geld, Foren­sik, Reco­very) son­dern auch indi­rek­te Kos­ten (Aus­fall­zei­ten, Kun­den­ab­gang, Repu­ta­ti­ons­scha­den, regu­la­to­ri­sche Strafen).

Ein typi­sches Enter­pri­se-Resi­li­enz-Pro­gramm kos­tet zwi­schen 500.000 EUR und 2 Mio. EUR im ers­ten Jahr (abhän­gig von Grö­ße und Kom­ple­xi­tät), dann fal­len jähr­li­che Betriebs­kos­ten von 200.000 bis 500.000 EUR an.

**Die Rech­nung ist ein­fach:** Eine ein­zi­ge erfolg­rei­che Ran­som­wa­re-Atta­cke ohne robus­te Resi­li­enz kos­tet 5,3 Mio. EUR im Mit­tel. Mit guter Resi­li­enz (und schnel­ler Wie­der­her­stel­lung) sin­ken Schä­den oft auf 10 – 20% die­ser Sum­me ab. Ein Jahr Resi­li­enz-Inves­ti­ti­on kann sich bei einem ein­zi­gen Angriff amortisieren.

**Zusätz­lich:** Unter­neh­men *ohne* doku­men­tier­te Reco­very-Fähig­keit zah­len Löse­geld häu­fi­ger (56% der Opfer zah­len, laut Sophos 2024). Mit nach­ge­wie­se­ner Reco­very-Kapa­zi­tät kön­nen Angrei­fer abge­wehrt wer­den — weil ihre Erpres­sung unwirk­sam wird.

### 3. Ver­si­che­rungs­an­for­de­run­gen ver­schär­fen sich [\#](#3-versicherungsanforderungen-versch%C3%A4rfen-sich "3. Versicherungsanforderungen verschärfen sich")

Cyber-Ver­si­che­run­gen, die bis 2021 noch rela­tiv groß­zü­gig waren, stel­len heu­te deut­lich höhe­re Anfor­de­run­gen. Vie­le Asse­ku­ran­zen *ver­lan­gen* jetzt nach­ge­wie­se­ne Resi­li­enz-Maß­nah­men als Bedin­gung für Deckung:

- Back­up-Iso­la­ti­on (Air-Gap-Archi­tek­tur mit min­des­tens Tier-2-Backups)
- Regel­mä­ßi­ge Reco­very-Tests (min­des­tens quartalsweise)
- Doku­men­tier­ter Inci­dent Respon­se Plan
- Doku­men­tier­tes Busi­ness Con­ti­nui­ty Management
- Mul­ti-Fak­tor-Authen­ti­fi­zie­rung auf kri­ti­schen Systemen

Ohne die­se Maß­nah­men: Prä­mi­en stei­gen, oder der Ver­si­che­rer lehnt Deckung ab. Mit doku­men­tier­ter Resi­li­enz: bes­se­re Kon­di­tio­nen, nied­ri­ge­re Prä­mi­en, höhe­re Deckungs­sum­men. Ein Unter­neh­men mit Tier-2-Back­ups und Reco­very-Tests kann mit Ver­si­che­rern um 15 – 30% nied­ri­ge­re Prä­mi­en verhandeln.

### 4. Kun­den­ver­trau­en und Repu­ta­ti­ons­schutz [\#](#4-kundenvertrauen-und-reputationsschutz "4. Kundenvertrauen und Reputationsschutz")

Gro­ße Kun­den — ins­be­son­de­re im Finan­cial Ser­vices, im Public Sec­tor oder in Kri­ti­scher Infra­struk­tur — ver­lan­gen jetzt durch Ver­trä­ge, dass Sie nach­weis­ba­re IT-Resi­li­enz haben. Sie wer­den nach RTO/RPO (Reco­very Time Objec­ti­ve / Reco­very Point Objec­ti­ve) gefragt, Sie wer­den zu Reco­very-Tests ein­ge­la­den, Sie müs­sen Com­pli­ance-Audits bestehen.

Ein Unter­neh­men, das *bei einem Angriff* her­um­tau­melt und nicht weiß, wann es wie­der ver­füg­bar ist, ver­liert nicht nur den Kun­den son­dern auch Ver­trau­be bei ande­ren Kun­den, die von dem Vor­fall erfahren.

Umge­kehrt: Ein Unter­neh­men, das sagen kann ​“Wir hal­ten Tier-2-Back­ups mit Air-Gap-Iso­la­ti­on, unse­re RTO ist 4 Stun­den für ERP und 24 Stun­den für File­ser­ver, und wir tes­ten das vier­tel­jähr­lich” — die­ses Unter­neh­men gewinnt Kun­den­ver­trä­ge und Marktanteile.

In der B2B-Welt ist Resi­li­enz ein Wett­be­werbs­vor­teil geworden.

### 5. Lie­fer­ket­ten-Abhän­gig­kei­ten und Sys­tem­ri­si­ko [\#](#5-lieferketten-abh%C3%A4ngigkeiten-und-systemrisiko "5. Lieferketten-Abhängigkeiten und Systemrisiko")

Jedes Unter­neh­men ist Teil einer Lie­fer­ket­te. Ein Aus­fall bei Ihnen kann Kun­den scha­den. Ein Aus­fall bei einem Ihrer kri­ti­schen Zulie­fe­rer kann Ihre Pro­duk­ti­on lahm­le­gen. Das ist kei­ne theo­re­ti­sche Fra­ge mehr — es ist All­tag seit COVID und den jüngs­ten Ransomware-Wellen.

NIS2 § 30 ver­langt von grö­ße­ren Unter­neh­men, auch ihre Lie­fer­ket­te zu bewer­ten und mit Zulie­fe­rern Resi­li­enz-Anfor­de­run­gen zu ver­ein­ba­ren. Das bedeu­tet: Ihre Cus­to­mers wer­den Sie fra­gen, wie resi­li­ent Sie sind. Und Sie müs­sen Ihre Sup­pli­ers fra­gen, wie resi­li­ent *sie* sind.

Ein Unter­neh­men ohne doku­men­tier­te Resi­li­enz wird zum Schwach­punkt der gesam­ten Lie­fer­ket­te. Das kann zu Auf­trä­gen-Ver­lust führen.

### Wie man den Vor­stand über­zeugt [\#](#wie-man-den-vorstand-%C3%BCberzeugt "Wie man den Vorstand überzeugt")

Resi­li­enz wird zum The­ma, wenn Sie es im Busi­ness-Case-Framing präsentieren:

1. **Ver­lust-Ver­mei­dung:** ​“Für 1 Mio. EUR Invest­ment kön­nen wir 5+ Mio. EUR Scha­dens­er­satz vermeiden.”
2. **Com­pli­ance-Erfül­lung:** ​“NIS2 ver­langt Resi­li­enz. Ohne doku­men­tier­te Maß­nah­men haben wir per­sön­li­che Haftungsrisiken.”
3. **Ver­si­che­rungs-Kos­ten­er­spar­nis:** ​“Mit Tier-2-Back­up und Reco­very-Tests spa­ren wir 15 – 30% Ver­si­che­rungs­prä­mi­en jedes Jahr.”
4. **Kun­den­ge­win­nung:** ​“Gro­ße Kun­den fra­gen jetzt nach RTO/RPO. Ohne doku­men­tier­te Resi­li­enz ver­lie­ren wir Aufträge.”
5. **Sys­tem­ri­si­ko-Min­de­rung:** ​“Als Lie­fe­rer müs­sen wir Resi­li­enz-Stan­dards erfül­len, sonst wer­den wir deselektiert.”

Das ist die Vor­stands­spra­che: Risi­ko­min­de­rung, Kos­ten­er­spar­nis, Wett­be­werbs­fä­hig­keit, Compliance.

### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen")

**Wer ist ver­ant­wort­lich — IT oder Vorstand?** Der Vor­stand trägt die Gesamt­ver­ant­wor­tung. IT umsetzt. Aber die Gover­nan­ce-Ver­ant­wor­tung liegt beim Board oder dem Audit Committee.

**Kann ein klei­ne­res Unter­neh­men IT-Resi­li­enz leisten?** Ja, ska­liert. Ein KMU braucht nicht die glei­che Kom­ple­xi­tät wie ein DAX-Kon­zern. Aber Air-Gap-Back­up und regel­mä­ßi­ge Reco­very-Tests sind auch für KMUs wirtschaftlich.

**Wenn wir in die Cloud gehen, brau­chen wir dann weni­ger Resilienz?** Nein. Cloud-Anbie­ter haben ihre eige­ne Ver­füg­bar­keit, aber Ihre Geschäfts­lo­gik und Daten-Inte­gri­tät sind *Ihre* Ver­ant­wor­tung. Cloud ersetzt nicht Resilienz-Planung.

---

### Ransomware

Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.

[Mehr erfahren →](https://www.fast-lta.de/de/glossar/ransomware)