© 2026 Bavaria Datasecure

Bavaria Datasecure

Dr. Dirk Gerscher - 27 Januar 2026 - 9:27

Warum IT-Sicherheit rechtlich und organisatorisch Chefsache ist

1. IT-Sicherheit ist keine freiwillige Disziplin

IT-Sicherheit wird in vielen Unternehmen noch immer als „Best Practice“ verstanden –
etwas, das man empfiehlt, aber nicht zwingend braucht.

Diese Sicht ist gefährlich.

Denn IT-Sicherheit ist längst:

  • rechtlich relevant
  • haftungsrelevant
  • prüfungssicherheitsrelevant

Und damit ein klares Managementthema.

2. Verantwortung lässt sich nicht delegieren

Operative Aufgaben kann man delegieren.
Verantwortung nicht.

Geschäftsführung und Unternehmensleitung tragen die Verantwortung dafür, dass:

  • Risiken erkannt werden
  • angemessene Maßnahmen getroffen werden
  • Entscheidungen nachvollziehbar dokumentiert sind

Auch wenn:

  • IT ausgelagert ist
  • ein externer Dienstleister betreut
  • ein Managed-Service genutzt wird

➡️ Die Verantwortung bleibt im Unternehmen.

3. Haftung entsteht nicht durch Angriffe – sondern durch Versäumnisse

Ein Cyberangriff allein führt nicht automatisch zu Haftung.
Haftungsrelevant wird es, wenn nachweisbar ist:

  • Risiken waren bekannt – wurden aber ignoriert
  • Maßnahmen waren erforderlich – wurden aber nicht umgesetzt
  • Zuständigkeiten waren unklar
  • Entscheidungen nicht dokumentiert

Kurz gesagt:
Nicht der Angriff ist das Problem – sondern fehlende Führung.

4. Governance schafft Klarheit statt Schuldzuweisungen

IT-Security-Governance bedeutet nicht Bürokratie,
sondern klare Regeln für Verantwortung und Entscheidungen.

Gute Governance beantwortet:

  • Wer entscheidet über Sicherheitsrisiken?
  • Wer trägt welches Risiko?
  • Wer ist für Umsetzung verantwortlich?
  • Wer wird im Notfall informiert – und wann?

Ohne Governance entsteht im Ernstfall:

  • Chaos
  • Schuldzuweisungen
  • Entscheidungsunfähigkeit

5. Warum Dokumentation schützt

Dokumentation wird oft als lästige Pflicht empfunden.
In der Praxis ist sie ein Schutzschild.

Sie zeigt:

  • Risiken wurden bewertet
  • Entscheidungen wurden bewusst getroffen
  • Maßnahmen waren angemessen zur Unternehmensgröße

Dokumentation bedeutet nicht:

„Wir sind perfekt.“

Sondern:

„Wir haben unsere Verantwortung wahrgenommen.“

6. IT-Sicherheit als Teil der Unternehmenssteuerung

Unternehmen mit funktionierender Governance behandeln IT-Sicherheit wie andere Risiken auch:

  • Finanzen
  • Recht
  • Compliance
  • Business Continuity

IT-Sicherheit wird:

  • regelmäßig bewertet
  • in Managementrunden besprochen
  • strategisch weiterentwickelt

Nicht reaktiv – sondern gesteuert.

7. Fazit

IT-Sicherheit ist kein technisches Detail,
sondern Teil guter Unternehmensführung.

Wer Verantwortung, Haftung und Governance ernst nimmt:

  • reduziert Risiken
  • erhöht Handlungsfähigkeit
  • schützt Geschäftsführung und Unternehmen gleichermaßen

👉 Im nächsten Beitrag zeigen wir,
warum Organisation und Prozesse oft wichtiger sind als jede Sicherheitslösung.

CATEGORIES:

Allgemein

Tags:

Previous
Next

Bis jetzt kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentare:

Es sind keine Kommentare vorhanden.

© 2026 Bavaria Datasecure.