Welche politischen oder regulatorischen Veränderungen beeinflussen aktuell die IT-Security-Strategien von Unternehmen?
Aktuell spüren Unternehmen vor allem den Druck durch strengere Anforderungen wie NIS2, Datenschutzvorgaben und steigende Haftungsfragen für Geschäftsleitungen. IT-Sicherheit ist dadurch keine rein technische Aufgabe mehr, sondern rückt klar in die unternehmerische Verantwortung.
Wir erleben in der Praxis, dass viele Betriebe bereits eine ganze Menge richtig machen. Häufig scheitert es jedoch daran, Maßnahmen sauber zu dokumentieren und strukturiert nachweisen zu können. Deshalb beschäftigen sich immer mehr Unternehmen – genauso wie wir selbst – intensiv mit Informationssicherheits-Standards wie ISO 27001, um heutigen und auch künftig strengeren Anforderungen von Gesetzgebern und Kunden gerecht zu werden.
Inwiefern wirken sich diese Veränderungen auf die organisatorischen Strukturen von IT-Dienstleistern aus?
Für IT-Dienstleister bedeutet das eine stärkere Standardisierung und Professionalisierung der Leistungen. Themen wie klare Prozesse, nachvollziehbare Sicherheitskonzepte, Monitoring, Notfallhandbücher und regelmäßige Reports werden immer wichtiger.
Gleichzeitig verändert sich unsere Rolle deutlich: Wir sind heute viel stärker Aufklärer und Berater statt nur Umsetzer oder Implementierer. Unternehmen erwarten Orientierung, Priorisierung und Hilfe bei der Bewertung von Risiken.
Dazu arbeiten wir enger denn je mit Zertifizierern, Datenschutzbeauftragten und Informationssicherheitsbeauftragten zusammen. Consulting-Leistungen werden spürbar stärker nachgefragt – und das fordert natürlich auch uns als Team, kontinuierlich neue Kompetenzen aufzubauen und strategischer zu denken.
Welche Herausforderungen begegnen Unternehmen bei der Umsetzung neuer IT-Sicherheitsvorgaben?
Eine der größten Hürden ist ganz klar die Komplexität. In kleineren Unternehmen wurde die IT lange vom „Nachbarn“ oder einem Allrounder mitbetreut. In größeren Betrieben übernimmt das häufig die interne IT – die jedoch verständlicherweise nicht alle Spezialgebiete gleichzeitig abdecken kann.
IT entwickelt sich immer stärker in Richtung Spezialisierung. Man kann es mit der Medizin vergleichen: Es gibt nicht mehr den einen Arzt für alles, sondern viele Fachrichtungen. Genau so analysieren wir, bewerten Risiken, beraten, treffen Entscheidungen und setzen Maßnahmen strukturiert um.
Unternehmen brauchen dafür zuverlässige strategische Partner – ähnlich wie in anderen geschäftskritischen Bereichen auch. Die Wahl des richtigen Dienstleisters, der zu den eigenen Anforderungen passt und mit zukünftigen Entwicklungen mitwachsen kann, ist entscheidend. Deshalb empfehle ich, gezielt auf zertifizierte und professionell aufgestellte Systemhäuser zu setzen.
Wie werden diese regulatorischen Veränderungen in der Praxis wahrgenommen und welche Erfahrungswerte gibt es?
Aus unserer Erfahrung sind viele Unternehmen zunächst irritiert – vor allem durch die Menge an Fachbegriffen und immer neue Anforderungen. Es entsteht schnell der Eindruck, dass die Herausforderungen kontinuierlich größer werden.
Die meisten Verantwortlichen wissen durchaus, dass sie handeln müssen. Was jedoch häufig fehlt, ist Unterstützung bei der Bewertung der Risiken, bei der Priorisierung und bei klaren, umsetzbaren Leitfäden. Ein reiner Verweis auf Gesetze hilft im Alltag wenig.
Entscheidend ist, den konkreten Nutzen sichtbar zu machen: mehr Stabilität, weniger Ausfälle, bessere Reaktionsfähigkeit im Notfall. Gleichzeitig darf man nicht vergessen, dass IT-Sicherheit immer mit zusätzlichem personellem und finanziellem Aufwand verbunden ist. Gerade in Zeiten steigender Kosten wird das als Belastung empfunden – auch wenn es langfristig unverzichtbar ist.
Was sind die zukünftigen gesellschaftlichen oder regulatorischen Trends, die die IT-Security-Strategien weiter prägen könnten?
Wir sehen deutlich, dass künftig vor allem kleinere und mittlere Unternehmen stärker in den Fokus geraten werden. Die Zeiten, in denen Angriffe individuell geplant wurden, sind im Zeitalter von Automatisierung und KI weitgehend vorbei. Große Konzerne investieren massiv in ihre Schutzmechanismen – dadurch entstehen bei weniger gut vorbereiteten Betrieben neue Risiken.
Zusätzlich werden Themen rund um den Einsatz von Künstlicher Intelligenz weiter an Bedeutung gewinnen. Mit Regelwerken wie dem EU AI Act kommen neue Anforderungen auf Unternehmen zu – etwa in Bezug auf Transparenz, Nachvollziehbarkeit und den verantwortungsvollen Umgang mit Technologien. Ob reine Kennzeichnungspflichten langfristig ausreichen, darf durchaus hinterfragt werden.
Aus unserer Sicht werden daher Awareness-Trainings und die Sensibilisierung von Mitarbeitenden immer wichtiger. Und auch bei der Auswahl von IT-Partnern wird Qualifikation zum entscheidenden Faktor: Zertifizierte Unternehmen mit gut geschultem Personal werden hier klar im Vorteil sein.
