« | Home | »

Resilienz braucht Führung, nicht nur Vorschrift

Von Dr. Oliver Everling | 14.Mai 2025

In seinem Praxisbeitrag auf der 20. Jahreskonferenz „Finanzdienstleister der nächsten Generation“ des Frankfurt School Forum stellte Tobias Ludwichowski, Chief Information Security Officer der Signal Iduna Gruppe, die zentrale Frage: „Wie wird ein Unternehmen wirklich resilient?“ Mit dem klaren Ziel vor Augen, dass nur ein widerstandsfähiger Geschäftsbetrieb auch zukunftsfähig ist, zeigte Ludwichowski auf, wie man Resilienz nicht nur auf dem Papier entwirft, sondern sie strukturell verankert – auf allen Ebenen, in allen Prozessen und mit klarer Verantwortlichkeit.

Angesichts der aktuellen Risikolage ließ Ludwichowski keinen Zweifel daran, dass es höchste Zeit für einen Perspektivwechsel ist: „Cyber Incidents“ stehen heute auf Platz eins der wichtigsten Unternehmensrisiken. Doch Resilienz ist weit mehr als IT-Sicherheit. Die Umsetzung regulatorischer Anforderungen wie DORA sei keine technische, sondern eine gesamtunternehmerische Aufgabe – strategisch, organisatorisch, kulturell.

Der Vortrag folgte dabei einem zweistufigen Ansatz: Zuerst gelte es zu klären, „was Resilienz im jeweiligen Unternehmenskontext bedeutet“ – welche Ziele verfolgt werden, welche konkreten Auswirkungen dies auf Geschäftsprozesse, Produkte und Organisationseinheiten hat. Danach folgt das „Wie der Umsetzung“: Welche Anforderungen ergeben sich daraus für Anwendungen, Systeme, Prozesse – bis hinunter zur Serverinfrastruktur und den Gebäuden? Ludwichowski betonte: „Gutes Design ist wichtig – echte Resilienz entsteht jedoch erst durch konsequente Umsetzung.“

Besonderes Augenmerk legte der CISO auf das Verständnis von Governance. Für eine erfolgreiche Umsetzung von DORA reiche es nicht aus, regulatorische Vorgaben zu erfüllen. Es brauche ein modernes Governance-Verständnis, das über die klassische Projektlogik hinausgeht. Gesetzliche Pflicht sei kein Treiber für Wandel – nur die tatsächliche Wirksamkeit könne überzeugen. Transparenz sei hierbei der Schlüssel, denn „niemand mag Überraschungen“. Deshalb müsse Resilienz ganzheitlich gedacht und entlang der gesamten digitalen Lieferkette operationalisiert werden – von der Strategie bis zur Datenbank, vom Prozess bis zum physischen Gebäude.

Ludwichowski kritisierte die typischen Schwächen klassischer Programmorganisationen: Ihnen fehle oft der Hebel, um neue Strukturen in den operativen Alltag zu überführen. Der Folgeaufwand für die Linienorganisation werde häufig unterschätzt. Deshalb sei es entscheidend, die Linienorganisation frühzeitig einzubinden – mit klarer Kommunikation, einheitlicher Steuerung und einem zentralen Vorgehen für die Operationalisierung. Nur so könne aus Konzepten gelebte Praxis entstehen.

Ein zentrales „Drehkreuz“ müsse sicherstellen, dass die in Projekten entwickelten Maßnahmen nicht nur konzipiert, sondern auch tatsächlich überführt, umgesetzt und qualitätsgesichert werden. Ludwichowski sprach dabei von einer systematischen Übertragung: von der Herstellung in die Operationalisierung – unterstützt durch Arbeitsaufträge, Tickets, klare Zuständigkeiten und lückenlose Nachvollziehbarkeit. Der entscheidende Punkt sei: „Jeder Manager hat ein großes Interesse daran, jeden Monat auf Null zu stehen.“ Die Methode: Tausende von Tickets, gezielt in die Organisation hineingeschossen, sichern Verantwortung, Verbindlichkeit und Umsetzung – transparent und überprüfbar.

Sein Fazit: Resilienz ist kein Projekt, sondern eine Haltung. Sie entsteht nicht durch Regulierungsdruck, sondern durch überzeugte Führung, durchdachte Strukturen und konsequente Operationalisierung. Nur wenn all diese Elemente zusammenwirken, wird aus einer Anforderung eine tatsächliche Fähigkeit zur Widerstandsfähigkeit – und damit ein echter Wettbewerbsvorteil im digitalen Zeitalter.

Themen: Bankenrating | Kommentare deaktiviert für Resilienz braucht Führung, nicht nur Vorschrift

Kommentare geschlossen.