Cybersecurity dominiert — doch das größte Risiko bleibt unsichtbar
Wenn die Jahresberichte der Scale Unternehmen 118 Risiken im Zusammenhang mit Cybersecurity nennen und nur 14 in Bezug auf die digitale Transformation, sagt das viel darüber aus, wie wir Risiken wahrnehmen. Und noch mehr darüber, welche wir verdrängen.
Einen der wenigen verfügbaren systematischen Datensätze zu Risikowahrnehmung im deutschen Mittelstand bieten die Jahresberichte der Unternehmen im SCALE Index. Diese hab ich mir angesehen und das Ergebnis gab mir kurz zu denken: Cybersicherheit wird 118-mal erwähnt, Digitale Transformation (inkl. KI / AI) als Themenfeld gerade einmal 14-mal! Daneben werden noch regulatorische Bedenken genannt, und das ist es auch schon, was übergreifend an Risiken berichtet wird.
Das soll keine Kritik an denen sein, die über Cyberrisiken berichten. Die Bedrohung ist real. Ransomware, Phishing, KI-gestützte Angriffe; der nationale Lagebericht vom BSI dokumentiert die wachsenden Gefahren eindrücklich. Wer das ignoriert, handelt fahrlässig. Aber: Dieser enge Fokus hat einen Preis.
Was wir sehen vs. was wirklich teuer wird
| Risikothema | Häufigkeit | Folgen |
| Cybersecurity | 118 | Betriebsunterbrechung, Datenverlust, Vertrauensverlust |
| Transformation | 14 | Wettbewerbsnachteile, Innovationsrückstand, Marktanteilsverlust |
Systeme, Prozesse und Projekte, die nicht auf Geschäftsziele ausgerichtet sind, unterminieren Wettbewerbsfähigkeit und Resilienz. Still, langsam und sicher. Fragmentierte IT-Landschaften, fehlende Integration zwischen Systemen, Datenqualität, die Entscheidungen verzerrt: Das sind die Risiken, die selten in Jahresberichten stehen, weil sie schwerer messbar sind und weil wahrscheinlich niemand verantwortlich gemacht werden will, wenn nichts passiert.
Systeme nicht zu Modernisieren ist eine Entscheidung, die sich nicht im Protokoll wiederfindet.
Die Psychologie dahinter
Wir neigen dazu, akute, konkrete Gefahren zu überbewerten und diffuse, langfristige zu unterschätzen. Bent Flyvbjerg und andere Forscher zeigen das für Großprojekte immer wieder: Planning Fallacy, Optimism Bias, politische Rücksichten; all das verzerrt, was wir als Risiko benennen und was wir stillschweigend hinnehmen.
Im Unternehmenskontext kommt ein weiterer Faktor hinzu: Jahresberichte sind auch Kommunikationsinstrumente. Ob die geringe Erwähnung von Transformationsrisiken Unterschätzung ist oder strategische Zurückhaltung lässt sich von außen nicht sagen.
Was daraus folgt
Kurzfristig: Cyber-Basishygiene ist natürlich weiterhin Pflicht. Backups, Patching, User Management, Logging, Passwortmanager, Awareness… Wer das noch nicht hat, fängt dort an.
Weiter lohnt sich eine ehrliche Risiko- und Potenzialanalyse der eigenen IT-Organisation und der laufenden strategischen Projekte. Nicht nur um Risiken zu dokumentieren sondern um zu verstehen, wo die größten Hebel liegen und wie Ressourcen priorisiert werden sollten.
Mittel- und langfristig: Digitale Transformationsinitiativen müssen als strategische Projekte geführt werden, mit klaren KPIs und einer Zielarchitektur, die die Strategie unterstützt und komplementiert. Risiken sollten regelmäßig gegen strategische Ziele gemessen werden, nicht nur gegen regulatorische Anforderungen. Wenn richtig durchgeführt, dann unterstützen Transformationsinitiativen Cybersecurity und Wettbewerbsfähigkeit.
Beobachtung aus der Praxis
Ich erlebe in Kundenprojekten, dass viele Unternehmen natürlich nachdenken, wie die Digitalisierung ihrer Geschäftsmodelle gelingen kann. Aber der Alltag holt sie oft ein: Compliance-Anforderungen, akute Vorfälle, Reporting-Zyklen.
Das Ergebnis: Wir reagieren auf das Laute und Dringende, vernachlässigen dabei aber das Strukturelle. Die Gegenüberstellung von 118 Nennungen zu Cyberangriffen und 14 zur Digitalisierung ist dafür ein guter Spiegel und eine Einladung, nach eigenen blinden Flecken zu suchen. Cyber-Risiken werden, wie in den Berichten sichtbar wurde, in Regel professionell behandelt. Risiken von Projekten wie kritischen Transformation jedoch eher nebensächlich. Hier liegt das eigentliche Risiko. Denn fehlende Modernisierung und technische Schulden sind sowohl Sicherheits- als auch Wettbewerbsrisiko.
Cybersecurity ist wichtig und muss sichtbar bleiben. Aber die noch entscheidendere Frage für viele Mittelständler lautet: Ermöglichen unsere Systeme überhaupt das, was unsere Strategie eigentlich erfordert? Denn ansonsten müssen wir uns auch um die Sicherheit von morgen keine Gedanken machen.
Wenn Sie wissen wollen, wo die größten Schwachstellen und Potentiale in Ihrer IT liegen, können Sie für eine erste Einschätzung einfach einen kurzen Termin ausmachen.
Quellen:
Titelfoto: Photo by Annie Spratt on Unsplash
https://medien.bsi.bund.de/lagebericht/de/index.html
Die folgenden Geschäftsberichte wurden ausgewertet:
(Alle Scale Unternehmen bis auf Swissnet, Ernst Russ AG, Mvise AG, Pyramid AG aufgrund fehlender Datenverfügbarkeit und Rigsave S.p.a aufgrund der Tätgigkeit außerhalb des DACH Raums):
2G Energy AG
Advanced Blockchain AG
Artec Technologies AG
Blue Cap AG
Cantourage Group SE
CLIQ Digital AG
Cyan AG
Daldrup & Soehne AG
Datron AG
Delignit AG
Deutsche Rohstoff AGExasol AG
Geratherm Medical AG
IBU-tec advanced materials AG
innoscripta SE
JDC Group AG
Laiqon AG
Mensch und Maschine Software SE
MPC Muenchmeyer Petersen Capital AG
Nabaltec AG
Noratis AG
Nuernberger Beteiligungs AG
Nynomic AG
OEKOWORLD AG
PAL Next AG
Pfisterer Holding SE
Planethic Group AG
Pyrum Innovations AG
Scherzer & Co AG
Steyr Motors AG
Payments Group Holding GmbH & Co KgaA
TIN INN Holding AG
Umweltbank AG
https://www.cashmarket.deutsche-boerse.com/cash-de/Get-Listed/List-Products/unsere-maerkte