Die europäischen Sicherheitsrichtlinien wie NIS2 oder das KRITIS-Dachgesetz sind notwendige Modernisierungen – aber sie bleiben rückwärtsgewandt. Die Entstehung von NIS2 begann 2020, basierend auf einer Konsultation, die wiederum auf der Lagebewertung von NIS1 fußte. In einer Zeit, in der sich geopolitische Spannungen, Cyberoperationen und hybride Bedrohungen im Monatsrhythmus verändern, bedeutet das: Diese Regulierung wurde in einer Welt entwickelt, die es heute so nicht mehr gibt.
Die Gegner europäischer Unternehmen arbeiten nicht nach Compliance-Checklisten. Es sind state-trained operators, state-sponsored Gruppen, Insider mit Zugriff, wirtschaftlich motivierte Nachrichtendienste und zunehmend KI-gestützte Angreifer. Wer heute nur regulatorische Mindeststandards erfüllt, schützt sich vor gestern – nicht vor morgen.
Was Unternehmen brauchen, ist ein holistischer Sicherheitsansatz, der digitale, physische, menschliche und operationelle Risiken als zusammenhängendes Bedrohungsbild betrachtet. Dazu gehört auch, dass Führungskräfte lernen, wie EU- oder NATO-trainierte Offensivteams denken:
Wie würde ein professioneller westlicher Angreifer das eigene Unternehmen kompromittieren?
Erst wenn diese Frage ehrlich beantwortet werden kann, beginnt echte Resilienz.
Self-Assessment für Entscheider: Wie bereit ist Ihr Unternehmen wirklich?
Ein Leitfaden für Vorstände, Aufsichtsräte, Eigentümer Venture-Capital-Investoren und C-Level:
1. Strategische Exposure
- Haben wir verstanden, warum wir ein Ziel wären – wirtschaftlich, politisch, technologisch?
- Gibt es Dual-Use-Technologien, kritische Vorprodukte oder Zulieferer mit geopolitischem Risiko?
- Ist unsere Positionierung in Verteidigung/Rüstung ein potenzieller Angriffsverstärker?
2. Angriffsfläche & Hybrid Warfare
- Kennen wir unsere komplette Angriffsfläche – physisch, digital, menschlich, geopolitisch?
- Gibt es ein Lagebild, das hybride Bedrohungen (Desinformation, Supply-Chain-Manipulation, Sabotage) integriert?
- Wissen wir, wie ein staatlich trainierter Operator vorginge?
3. Insider-Bedrohungen & Personalzugänge
- Haben wir ein Modell zur Erkennung von ungewöhnlichen Zugriffen, Verhalten oder Loyalitätskonflikten?
- Wird die Belegschaft (inkl. Fremdfirmen) regelmäßig sicherheitsüberprüft?
- Gibt es Szenarien für Social Engineering, Bestechung oder Erpressung?
4. Physische & operative Sicherheit
- Sind Produktionsanlagen, Labore, Testgelände oder R&D-Standorte gegen gezielte physische Angriffe gesichert?
- Haben wir Redundanzen für Strom, Kommunikation, Sensorik und Zugangssysteme?
- Gibt es Prozesse für Sabotage, Drohnenaktivität oder kritische Störungen?
5. Führungsfähigkeit in der Krise
- Existiert ein geübtes, sektorübergreifendes Krisenmanagement – nicht nur ein Ordner im Schrank?
- Wissen die ersten fünf Entscheider, was sie in den ersten 10 Minuten tun?
- Gibt es Notfallkommunikation unabhängig von IT?
Was Entscheider jetzt verstehen müssen
Unternehmen – besonders diejenigen, die in Verteidigung, Dual-Use oder High-Tech einsteigen – agieren heute nicht mehr nur im Markt, sondern in einem strategischen Raum, der von Großmächten, Nachrichtendiensten und wirtschaftlicher Rivalität geprägt ist.
Regulierung / Compliance = Grundschutz.
Resilienz leben und üben = Wettbewerbsfaktor.
Offensivdenken und verstehen = Überlebensnotwendigkeit.
Wer nur auf Compliance vertraut, akzeptiert eine sicherheitstechnische Unterlegenheit. Wer hingegen ganzheitlich denkt, Offensivperspektiven integriert und die eigene Organisation durch die Augen professioneller Angreifer bewertet, verschiebt das Kräfteverhältnis.
Viele Unternehmen können das nicht aus eigener Kraft – und nur wenige Anbieter in Europa verfügen über EU- oder NATO-trainierte Expertise, um diese Perspektive professionell einzunehmen.
Doch genau diese Sichtweise entscheidet, ob ein Unternehmen in Zukunft angreifbar bleibt – oder wehrhaft wird.