Cyberangriffe treffen Europa längst im Kern seiner wirtschaftlichen und politischen Handlungsfähigkeit. Laut aktuellem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der gemeldeten Störungen in fast allen Sektoren der kritischen Infrastruktur. Gleichzeitig zeigen die „Digital Trust Insights“ von PwC, dass in Deutschland nur 14 Prozent der Unternehmen vorrangig in reaktive Cybersicherheitsmaßnahmen investieren – nahezu zehn Prozentpunkte weniger als im globalen Durchschnitt.
Viele Organisationen verfügen zwar über ausgereifte Managementsysteme für Informationssicherheit. Doch Business Continuity, Krisenmanagement und Wiederanlaufplanung bleiben häufig zurück. Cyberresilienz rückt damit ins Zentrum: In Krisen wie Terrorlagen, hybriden Angriffen oder dem Verteidigungsfall zählen nicht nur Streitkräfte, sondern auch Unternehmen als Rückgrat der Versorgung und Infrastruktur. Denn Europa ist nur so widerstandsfähig wie seine schwächsten Glieder – und die liegen auch in der Wirtschaft.
Dominik Bredel, Director Cyber Resilience bei PwC Deutschland, erläutert auf dem Pioneer-Format „Sicherheit Neu Denken – Europas Resilienz im Realitätscheck“ die Bedeutung von Cyberresilienz für Europas Handlungsfähigkeit.
Europa wird nicht sicherer, wenn es Cyberangriffe vermeidet, Europa wird sicherer, wenn es sie aushält.
Europa diskutiert über Verteidigungsfähigkeit, Milliardenprogramme und Souveränität. Gleichzeitig hängen viele dieser Fähigkeiten an digitalen Infrastrukturen, die Unternehmen entwickeln, betreiben und sichern. Im Ernstfall entscheiden gerade diese privatwirtschaftlichen Systeme mit darüber, ob Europa militärisch, politisch und wirtschaftlich handlungsfähig bleibt. Cyberangriffe zielen damit längst nicht mehr nur auf IT-Abteilungen, sondern auf die Handlungsfähigkeit ganzer Volkswirtschaften.
Ein einfaches Szenario zeigt, was das bedeutet: Mehrere große europäische Flughäfen stehen gleichzeitig still. Frachtmaschinen bleiben am Boden, Umläufe brechen zusammen, Crews warten. Nicht nur Urlaubspläne platzen. Teile der zivilen Luftfahrt, die im Krisenfall vertraglich für militärische oder sicherheitsrelevante Transporte vorgesehen sind, fallen ebenfalls aus – mit unmittelbaren Auswirkungen auf Durchhaltefähigkeit, Verlegung von Kräften und Bündnisverpflichtungen. Nicht, weil Personal fehlt oder gestreikt wird, sondern weil eine Ransomware-Attacke die IT-Systeme eines zentralen Dienstleisters für Flughäfen lahmlegt.
Dieses Bild macht deutlich, worum es bei Cyberresilienz tatsächlich geht. Ein Angriff trifft selten nur einzelne Anwendungen. Er unterbricht Wertschöpfungsketten, Kundenbeziehungen und – im Zweifel – sicherheitspolitisch relevante Fähigkeiten. Cyberresilienz beschreibt daher die Fähigkeit von Organisationen, ihre wichtigsten Prozesse und Schnittstellen weiterzuführen, obwohl zentrale digitale Systeme gestört sind.
Damit rückt ein anderes Set an Fähigkeiten in den Fokus. Informationssicherheit bleibt wichtig, doch sie bildet nur das Fundament. Entscheidend wird das abgestimmte Zusammenspiel von Business Continuity, Krisenorganisation, IT-Continuity und Cyber Incident Response. Erst wenn diese Funktionen gemeinsam planen, entscheiden und üben, entsteht ein Rahmen, der aus einem schweren Angriff eine beherrschbare Ausnahmesituation macht – und keine Systemkrise. Für Europa bedeutet das: Unternehmen werden zu einem integralen Bestandteil der Sicherheitsarchitektur.
In Krisen beweglich bleiben
Die Anforderungen an Unternehmen verändern sich grundlegend. Von ihnen erwartet man nicht mehr nur sichere Systeme, sondern die Fähigkeit, auch unter Druck verlässlich zu funktionieren. Regulatorische Vorgaben wie NIS-2, DORA oder das geplante KRITIS-Dachgesetz greifen diesen Anspruch auf. Sie zielen auf geübte Strukturen, klare Zuständigkeiten und belastbare Wiederanlaufpläne – nicht auf zusätzliche Checklisten.
Damit wird Resilienz zur Vertrauensfrage. Staatliche Stellen, Partner und Verbündete achten zunehmend darauf, wie stabil Lieferketten sind, wie robust Industrie und Dienstleister agieren und wie schnell sie nach einem Angriff wieder arbeitsfähig sind. Dass Widerstandsfähigkeit und Wehrhaftigkeit nur im Schulterschluss von Politik, öffentlichen Sektor und Wirtschaft gelingen, daran waren sich auch die Teilnehmer des Pioneer-Formats „Sicherheit Neu Denken – Europas Resilienz im Realitätscheck“ im Dezember einig. Ein Vorfall bei einem Logistiker, Cloud-Anbieter oder Luftfahrt-Dienstleister bleibt deshalb nie eine reine IT-Störung. Er entscheidet mit darüber, ob Europa in einer Krise beweglich bleibt – etwa, wenn medizinische Güter nicht rechtzeitig ankommen, Einsatzkräfte nicht verlegt werden können oder Lagebilder wegen ausgefallener Plattformen unvollständig bleiben.
Für Unternehmen ergibt sich daraus eine klare Verantwortung. Sie sollten Angriffe nicht als Ausnahme behandeln, sondern als realistische Rahmenbedingung ihres Geschäfts. Resilienz gehört aus der technischen Nische in die Unternehmensstrategie und auf die Vorstandsebene. Gerade Betreiber kritischer Infrastrukturen und systemrelevanter Dienstleistungen sind faktisch Teil der zweiten Verteidigungslinie Europas – auch wenn sie keine Uniform tragen. Pläne für Krisen- und Wiederanlauf müssen daher regelmäßig getestet, geschärft und aktualisiert werden.
Am Ende ist die Unterscheidung schlicht: Nicht die Abwesenheit von Angriffen macht Europa stärker, sondern die Fähigkeit von Unternehmen und Institutionen, mit ihnen umzugehen und handlungsfähig zu bleiben. Im Ernstfall zeigt sich hier, ob Europa seine sicherheits- und verteidigungspolitischen Ansprüche einlösen kann oder an digitalen Schwachstellen scheitert.
Der Autor
Follow us
