• Home
  • Blog
  • Fachbeiträge
  • Cyberresilienz als Führungsaufgabe: Wie Organisationen digitale Widerstandskraft aufbauen

Cyberresilienz als Führungsaufgabe: Wie Organisationen digitale Widerstandskraft aufbauen

Cyberangriffe gehören heute zum digitalen Alltag, ihre Folgen können ganze Organisationen ins Wanken bringen. Warum Cyberresilienz mehr ist als IT-Schutz, welche Rolle Führung dabei spielt und wie Unternehmen widerstandsfähiger werden, erfahren Sie in diesem Beitrag.

Yves Kraft 23.06.2025

Ob Datenleck, Ransomware oder DDoS-Angriff – die Frage ist längst nicht mehr, ob ein solcher Vorfall eintritt, sondern wann. Unternehmen müssen sich heute vielmehr fragen: «Wie hart wird es uns treffen?» Doch während sich viele Organisationen auf Prävention und Abwehr fokussieren, bleibt eine zentrale Frage oft unbeachtet: Wie widerstandsfähig ist unser Unternehmen, wenn der Ernstfall eintritt? Genau hier setzt der Ansatz der Cyberresilienz an – als strategische Ergänzung zur klassischen Cybersicherheit.

Was unterscheidet Cyberresilienz von klassischer Cybersicherheit?

Cybersicherheit zielt primär darauf ab, Vorfälle zu vermeiden. Sie umfasst Schutzmassnahmen wie Firewalls, Zugangskontrollen oder Schwachstellenmanagement – mit dem Ziel, Angriffe frühzeitig zu erkennen und abzuwehren.

Cyberresilienz geht einen Schritt weiter: Sie stellt die Frage, was passiert, wenn ein Angriff erfolgreich war. Im Mittelpunkt steht die Fähigkeit einer Organisation, trotz Cyberangriffen ihre Kernfunktionen aufrechtzuerhalten, sich rasch zu erholen und aus dem Vorfall zu lernen. Resilienz denkt in Szenarien, Wiederherstellung, Anpassungs- und Lernfähigkeit – es geht nicht nur um Schutz, sondern auch um Reaktions- und Überlebensfähigkeit.

Kernunterschied: Cybersicherheit = Prävention
Cyberresilienz = Umgang mit dem Unvermeidlichen.

So gelingt ein resilienzorientiertes Mindset in der Organisation

Ein resilienzorientiertes Mindset entsteht durch:
Kultur der Vorbereitung statt Illusion der Kontrolle: «Wir sind vorbereitet» statt «Uns passiert das nicht».

  • Awareness und Schulung auf allen Ebenen – vom C-Level bis zur Sachbearbeitung.
  • Einbindung der Fachbereiche: Sie kennen kritische Prozesse und müssen in Notfallpläne integriert sein.
  • Kommunikation und Übung: Planspiele, Incident-Response-Trainings und Business-Continuity-Tests schaffen Sicherheit und ein gemeinsames Verständnis.
  • Führungskräfte nehmen eine Vorbildrolle ein: Wer offen über Risiken spricht und klare Verantwortlichkeiten definiert, prägt das resilienzorientierte Denken nachhaltig.

Darum betrifft Cyberresilienz das gesamte Unternehmen

Cyberangriffe betreffen Prozesse, Menschen und Entscheidungen – nicht nur Systeme. Resilienz ist somit quasi eine Querschnittsaufgabe, vergleichbar mit dem Notfall- oder Krisenmanagement.
Ein erfolgreicher Ransomware-Angriff legt nicht nur Server lahm, sondern oft auch Lieferketten, Kommunikation oder Kundenservice.
Fachabteilungen wissen am besten, welche Prozesse systemkritisch sind und wie sie auf Notbetrieb umstellen können.
HR, Legal, Kommunikation sind zentral bei Vorfallreaktion (z. B. bei Data Breaches oder Krisenkommunikation).

IT-Sicherheit allein ist nicht genug

IT-Sicherheit verhindert nicht alles – Resilienz sorgt dafür, dass der Schaden begrenzt bleibt und sich das Unternehmen schnell erholt. Angriffe werden zunehmend komplexer: Social Engineering, Zero-Day-Exploits und Supply-Chain-Attacken umgehen technische Schutzmassnahmen. Fehler, Insider und Drittrisiken lassen sich nicht vollständig durch Technik absichern. Auch bei perfekter technischer Umsetzung bleibt ein Restrisiko – und dieses muss organisiert, eingeübt und getragen werden.

Wer trägt in einer Organisation die Verantwortung für Cyberresilienz?

Erfolgreiche Organisationen setzen oft auf interdisziplinäre Resilienz-Teams oder Krisenstäbe mit klaren Rollen. Die Verantwortung ist geteilt, aber eigentlich klar zu benennen:
C-Level (CEO, CFO, COO) trägt die strategische Gesamtverantwortung – Resilienz ist Teil der Geschäftskontinuität.
CISO / IT-Leitung verantwortet technische Komponenten und Notfallpläne.
Fachbereiche tragen Verantwortung für ihre kritischen Prozesse und deren Wiederanlaufpläne.
Risk Management / Governance sorgt für Integration in das Gesamtrisikomanagement.

So lassen sich Cyberresilienz-Massnahmen ins Risikomanagement integrieren

Cyberresilienz-Massnahmen lassen sich ins Risikomanagement integrieren, indem klassische Risikoanalysen wie die Business Impact Analysis (BIA) mit Blick auf IT-gestützte Prozesse durchgeführt und durch szenariobasierte Analysen – etwa zu Ransomware, DDoS oder Datendiebstahl – ergänzt werden. Die Risiken werden in Kategorien wie Betriebsunterbruch, Reputationsschaden oder regulatorische Risiken eingeordnet. Notfall- und Wiederanlaufpläne sollten als Steuerungsmassnahmen im Risikokatalog aufgeführt und relevante KPIs und KRIs definiert werden, zum Beispiel die Mean Time to Recover, Trainingsquoten oder die Anzahl getesteter Notfallpläne. Wichtig ist, Resilienz nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko zu verstehen.

Diese technischen und organisatorischen Massnahmen stärken die Cyberresilienz

Wirksamste technische Massnahmen:

  • Netzwerksegmentierung & Zero Trust
  • Backup-Strategien (regelmässig getestet!)
  • Monitoring & Detection (z. B. SIEM, EDR)
  • Incident Response Automation
  • Redundante Systeme & Cloud-Failover

Organisatorische Massnahmen umfassen insbesondere:

  • Krisenmanagementplan & Business Continuity Management (BCM)
  • Kommunikationskonzepte für Vorfälle
  • Verantwortlichkeiten und Notfallteams
  • Planspiele & Tabletop-Übungen
  • Sensibilisierung & Awareness-Programme

Die Kombination beider Ebenen macht Organisationen robust und anpassungsfähig. Das Bundesamt für Cybersicherheit (BACS) bietet eine gute Zusammenstellung zu den oben genannten Themen

Ist Cyberresilienz messbar?

Zur Messung der Cyberresilienz gibt es grundsätzlich anerkannte Reifegradmodelle (Maturity Models), wie z. B. NIST Cybersecurity Framework, ISO 27001 + 22301, BSI 200-4

Zudem kann man mit Gap-Analysen anhand definierter Resilienz-Standards und Durchführung von Planspielen & Penetrationstests die Resilienz auf die Probe stellen.

Es ist wichtig, dass man sich auch Messgrössen (KPIs) und Ziele im Bereich Cyberresilienz setzt:

  • Wiederanlaufzeit kritischer Systeme
  • Zeit bis zur Angriffserkennung (MTTD)
  • Trainings- und Awareness-Quoten
  • Anzahl erfolgreich getesteter Notfallpläne

Resilienz ist nicht absolut, sondern ein kontinuierlicher Verbesserungsprozess – Messbarkeit ermöglicht hier eine gute Kontrolle für gezielte Weiterentwicklung.

Entdecken Sie mehr Beiträge zu diesen Themen

IT Security

Diese Kurse könnten Sie interessieren

Kurs
ISO/IEC 27001:2022 Foundation («IS27F»)
Kurs
Cybersecurity – Technical Overview («ICTTEC»)
Kurs
ISO 27001 Implementierung und Audit-Vorbereitung mit AI («IS27AI»)

Mehr Kurse entdecken

Cyber Security Informationssicherheit & Datenschutz Security, Compliance and Identity

Autor/in

Yves Kraft

Nach seiner Lehre als Informatiker in der öffentlichen Verwaltung arbeitete Yves Kraft als System Engineer für einen IT-Dienstleistungsbetrieb, unter anderem in der Finanzbranche und der Verwaltung. Als Nächstes war er als System Administrator an einer grossen Schweizer Universität tätig und schloss berufsbegleitend sein Informatik-Studium an der Berner Fachhochschule in Biel mit Vertiefung IT-Security ab. Yves Kraft ist seit Februar 2011 bei Oneconsult im Penetration Testing und Security Consulting sowie im Bereich Schulungen tätig und wurde 2013 Team Leader. Er ist BSc FH CS, zertifizierter OSSTMM Professional Security Tester (OPST), OSSTMM Professional Security Analyst (OPSA), OSSTMM Professional Security Expert (OPSE) und OSSTMM Trainer.

Kommentar

  • Home
  • Blog
  • Fachbeiträge
  • Cyberresilienz als Führungsaufgabe: Wie Organisationen digitale Widerstandskraft aufbauen