In Informationssicherheit ist Prinzip Hoffnung plötzlich Strategie.

Show Notes


Daniel Manzer bringt die juristische Perspektive in die Praxis
von Informationssicherheit. Er ordnet ein, warum NIS2 keine „neue
Haftung“ erfindet, sondern auf bestehende Pflichten aus GmbH- und
Aktienrecht verweist. Unternehmen sind bereits heute
verpflichtet, Schäden von der Gesellschaft abzuwenden, also auch
Risiken aus


Informationssicherheitsvorfällen ernst zu nehmen.


Fabian Flock und Daniel Manzer sprechen darüber, warum viele
Unternehmen ihre eigene Digitalisierung unterschätzen. Wer nicht
ausschließlich mit Papier arbeitet, sondern E-Mail, IT oder OT
nutzt, ist bereits abhängig von digitalen Prozessen und damit
risikobehaftet. Ein zentrales Thema ist das fehlende Bewusstsein
für Prozess- und Wissensabhängigkeiten. Kritische Abläufe sind
oft nicht dokumentiert, hängen an einzelnen Personen und werden
erst sichtbar, wenn Menschen ausfallen oder Systeme nicht
verfügbar sind.


Ein weiterer Schwerpunkt ist Delegation. Aufgaben können
delegiert werden, Verantwortung nicht. Häufig wird NIS2 in die IT
„wegdelegiert“, obwohl es ein unternehmensweites Thema ist. Ohne
Mandat, Standing und Führungseinbindung kann die IT weder
Prozesse in HR, Einkauf oder Operations verändern, noch eine
wirksame Governance etablieren. Deshalb diskutieren beide die
Notwendigkeit, Stakeholder an einen Tisch zu bringen, Sprachen zu
übersetzen und Maßnahmen pragmatisch so zu gestalten, dass sie im
Alltag funktionieren.


Zum Abschluss geht es um die Geschäftsleitungsschulung. Daniel
Manzer erklärt, warum reine Standard-Schulungen nicht reichen
werden und warum sich Schulungen in Zukunft stärker am
individuellen Risikoprofil, an organisatorischen Änderungen und
an Vorfällen orientieren müssen. Wichtig ist außerdem die
Einordnung, dass viele Unternehmen bereits viel „richtig“ machen,
es aber nicht transparent dokumentiert haben. Genau diese
Sichtbarkeit ist entscheidend, um Risiken, Maßnahmen und
Prioritäten sauber zu steuern.
Kapitelmarken

00:00 Intro, Gast und Kontext
01:10 Regulatorik und Einordnung, warum NIS2 keine neue Haftung
erfindet
03:10 Geschäftsführerpflichten, Schaden abwenden, bestehende
Rechtsgrundlagen
05:10 Warum Unternehmen ihre Digitalisierung unterschätzen
06:20 Haftungslogik und Basisschutz, sobald IT genutzt wird
08:10 Selbstverständnis von Digitalisierung und falsche
Sicherheitsannahmen
11:40 Prozessrealität, fehlende Dokumentation, „taktisches
Arbeitswissen“
15:10 Business Continuity statt reines IT-Security-Thema
17:40 Delegation versus Verantwortung, warum Wegdelegieren
scheitert
20:10 RACI, Stakeholder, Sprachen im Unternehmen, aneinander
vorbeireden
24:30 Demand Management, pragmatische Maßnahmen statt
Papiertiger
29:40 GCC Perspektiven, ganzheitlicher Blick, warum Austausch
wirkt
36:30 Regulatorik als Wirtschafts- und Resilienzthema
38:20 „Wie tief ist der Fall“, Sicherheitsniveau statt 100
Prozent Sicherheit
40:50 Feuerübung als Vergleich, Handlungsfähigkeit bei
IT-Ausfall
43:10 Verantwortung bleibt, auch wenn Aufgaben delegiert
werden
45:20 Geschäftsleitungsschulung, Ziel, Entwicklung,
Individualisierung
50:40 Häufige Fehlannahme, Unternehmen tun schon viel, es ist nur
nicht sichtbar
52:30 80-20, Fokus und Priorisierung statt Perfektion
53:30 Prinzip Hoffnung ist keine Strategie, Abschluss
Key Takeaways

Haftung und Pflicht zur Schadensabwendung bestehen seit
Jahrzehnten, NIS2 macht es sichtbarer.

Aufgaben delegieren ist möglich, Verantwortung nicht.

Business Continuity und Informationssicherheit sind
Unternehmensführung, nicht IT-Task.

Pragmatische, gelebte Maßnahmen schlagen Papiertiger.

Viele Unternehmen sind weiter als sie denken, aber ohne
Sichtbarkeit und Dokumentation fehlt Steuerung.