BCM und Cyber Security sind für Unternehmen und Behörden unverzichtbar, reichen aber allein nicht aus. Operational Resilience beschreibt die Fähigkeit, auch unter komplexen und dynamischen Bedingungen handlungsfähig zu bleiben. Entscheidend dafür ist nicht Technologie, sondern das Zusammenspiel von Strukturen, Prozessen und menschlichem Verhalten.
BCM und Cyber Security allein machen Unternehmen nicht resilient. Operational Resilience entsteht dort, wo Strukturen, Prozesse und menschliches Verhalten zusammenwirken.
Regulatorische Initiativen wie die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) greifen diese Entwicklung auf und rücken die operative Widerstandsfähigkeit von Unternehmen stärker in den Fokus. Operational Resilience wird dabei häufig als technischer und regulatorischer Rahmen verstanden. Im Folgenden wird der Begriff bewusst weiter gefasst und als Unternehmensresilienz verstanden.
Resilienz zwischen Cyber Security und Business Continuity
Cyber Security, Business Continuity Management (BCM), Notfallmanagement und IT-Operations verfolgen unterschiedliche Perspektiven. Cyber Security konzentriert sich auf den Schutz von Systemen und Daten. BCM stellt die Fortführung kritischer Geschäftsprozesse sicher. Notfallmanagement strukturiert die Reaktion auf Krisensituationen.
Im realen Krisenfall greifen diese Bereiche unmittelbar ineinander. Ein Cyberangriff kann Geschäftsprozesse unterbrechen. Systemausfälle beeinflussen Lieferketten, Produktionsabläufe oder Kundendienste. Gleichzeitig müssen Entscheidungen unter Zeitdruck getroffen werden, während technische und organisatorische Maßnahmen parallel greifen.
Operational Resilience beschreibt diese Fähigkeit: auch unter komplexen und dynamischen Bedingungen handlungsfähig zu bleiben. Entscheidend ist dabei nicht nur das Zusammenspiel der Disziplinen, sondern die Fähigkeit, Informationen bereichsübergreifend einzuordnen und unter Unsicherheit Entscheidungen zu treffen.
Unternehmensresilienz funktioniert weniger wie eine Schutzmauer als wie ein Immunsystem. Entscheidend ist nicht die reine Abwehr, sondern die Fähigkeit, Veränderungen zu erkennen, einzuordnen und darauf zu reagieren.
Ein zentraler Bestandteil von Unternehmensresilienz ist Preparedness – die Vorbereitung auf Krisensituationen. Dazu gehören klare Entscheidungsstrukturen, definierte Kommunikationswege und regelmäßige Übungen.
In der Praxis zeigt sich jedoch, dass technische Schutzmaßnahmen nur einen Teil der Resilienz ausmachen. Ebenso entscheidend ist, ob Informationen an den Schnittstellen zusammengeführt werden und ob Mitarbeitende Unsicherheiten erkennen und aktiv weitergeben.
Ein anonymisiertes Praxisbeispiel verdeutlicht diese Dynamik. In einem Unternehmen reagierte eine Mitarbeiterin auf eine täuschend echt wirkende Phishing-E-Mail und gab ihre Zugangsdaten ein. Kurz darauf entstand Unsicherheit über die Situation. Die Mitarbeiterin arbeitete in Teilzeit und hatte bislang wenig Berührung mit sicherheitsrelevanten Vorfällen. Die Sorge, einen Fehler gemacht zu haben, führte zunächst zu Zurückhaltung.
Erst einige Stunden später fiel ungewöhnliche Aktivität im System auf. Zu diesem Zeitpunkt hatten Angreifer bereits begonnen, interne Zugänge zu nutzen.
Der Vorfall zeigt, dass Resilienz nicht allein durch technische Maßnahmen entsteht. Entscheidend ist, was an den Schnittstellen passiert: ob Informationen zusammengeführt werden und ob Unsicherheiten erkannt und weitergegeben werden.
Business Continuity Management schafft Transparenz über kritische Geschäftsprozesse, Abhängigkeiten und mögliche Auswirkungen von Störungen. Im Zusammenspiel mit Cyber Security und Incident Management entsteht ein umfassender Blick auf die Widerstandsfähigkeit eines Unternehmens.
Regulatorische Initiativen wie DORA greifen genau diese Verbindung auf. Operational Resilience wird hier als Fähigkeit verstanden, kritische Dienstleistungen auch unter außergewöhnlichen Bedingungen aufrechtzuerhalten.
Unternehmensresilienz als Entscheidungsfähigkeit
Mit zunehmender Digitalisierung wächst die Bedeutung einer integrierten Perspektive auf Sicherheit und Resilienz. Technische Systeme, Geschäftsprozesse und regulatorische Anforderungen entwickeln sich parallel weiter.
Unternehmensresilienz beschreibt dabei keine einzelne Disziplin, sondern eine Fähigkeit von Unternehmen. Sie entsteht dort, wo technische Sicherheit, unternehmerische Strukturen und menschliches Handeln zusammenwirken.
Mit steigender Komplexität reicht es nicht aus, Systeme abzusichern oder Prozesse zu definieren. Entscheidend wird die Fähigkeit, unter dynamischen Bedingungen handlungsfähig zu bleiben.
In vielen Unternehmen zeigt sich, dass Strukturen und Prozesse vorhanden sind, Entscheidungen jedoch weiterhin entlang etablierter Muster getroffen werden. Gerade in dynamischen Situationen entsteht dadurch ein Spannungsfeld zwischen bestehenden Strukturen und der Notwendigkeit situativer Entscheidungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Human Factor spielt dabei eine zentrale Rolle. Resilienz entsteht nicht allein durch Systeme, sondern durch das Verhalten von Menschen innerhalb dieser Strukturen. Entscheidend ist, ob Mitarbeitende Zusammenhänge erkennen, Informationen richtig einordnen und Entscheidungen an den richtigen Stellen ermöglichen.
Unternehmensresilienz entsteht deshalb nicht primär durch Technologie oder einzelne Disziplinen, sondern durch die Fähigkeit von Unternehmen, unter Unsicherheit Entscheidungen zu treffen und umzusetzen.
Die praktische Umsetzung von Unternehmensresilienz zeigt, wie wichtig das Verständnis zwischen unterschiedlichen Bereichen ist. IT-Sicherheit, Risikomanagement, BCM, Datenschutz und Management bringen unterschiedliche Perspektiven ein.
Interdisziplinäre Awareness geht dabei über klassische Zusammenarbeit hinaus. Sie beschreibt die Fähigkeit, Zusammenhänge zwischen technischen, organisatorischen und wirtschaftlichen Auswirkungen zu erkennen und in Entscheidungen zu überführen.
Unternehmen, die Unternehmensresilienz konsequent weiterentwickeln, fördern bewusst dieses gemeinsame Verständnis. Workshops, Szenarioübungen und abgestimmte Governance-Strukturen unterstützen dabei, Informationen bereichsübergreifend nutzbar zu machen.
Resilienz entfaltet ihre Wirkung dort, wo ein gemeinsames Verständnis über Risiken und Abhängigkeiten besteht – und wo Unternehmen in der Lage sind, dieses Verständnis in koordiniertes Handeln zu überführen.
Über die Autorin: Susanne Aukes ist Beraterin für Cyber-Resilienz und Krisenkoordination. Sie arbeitet an der Schnittstelle von Technik, Recht und Führung. Ihr Hintergrund in Soziologie, Politik und Rechtswissenschaft prägt ihre Governance-orientierte Perspektive.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/bd/40bdbdca63096f1e025c7966da46e965/0131634412v2.jpeg "Ein Null-Byte im Hostnamen umgeht die Netzwerk-Allowlist von Anthropics Claude Code. In Kombination mit Prompt Injection ermöglicht der Bypass Datenabfluss. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/cd/d9cd0e458b481c15705a0f88d7c9d47d/0131534090v2.jpeg "Browser-Sicherheit bedeutet mehr als sicheres Surfen. Es geht darum, Arbeitsprozesse im Browser abzusichern und geschäftskritische Abläufe zu schützen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/44/ac44392808d6b416be95612c000c9f06/0131633869v2.jpeg "Über 700 manipulierte Git-Tags schleusen einen Credential-Stealer in Laravel-Lang-Pakete. Die Schadroutine startet automatisch und stiehlt Cloud-, Browser- und Vault-Daten. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b3/63/b363742bedc517d975030360caab8ef6/0131643019v2.jpeg "KI-Agenten brauchen Secrets für jeden Prozess und erweitern damit die Angriffsfläche. Dynamisches Secrets Management mit kurzlebigen Credentials minimiert dieses Risiko. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/93/3e93ebac78f49cc19dab6772372a2b8d/0131642048v2.jpeg "KI wird in Unternehmen wie ein Werkzeug behandelt, wirkt im Betrieb aber wie kritische Infrastruktur. Fehlentscheidungen entstehen, bevor jemand eingreifen kann. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/d5/e1d556ba48e0ffa97941d48bf14c109d/0131002676v1.jpeg "Artesca+ Veeam HA kombiniert die Veeam Software Appliance v13 HA mit Artesca-HA auf Speicherebene und automatisiertem Failover – für durchgängige Ausfallsicherheit im gesamten Backup-Stack. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/b7/a2/b7a22f7118a608d260e239c11954fe2c/0131612860v2.jpeg "Am 12. Januar 2027 verlieren Windows Server 2016 und Windows 10 LTSC 2021 ihre Updateversorgung. Offene Schwachstellen bleiben danach dauerhaft ungepatcht. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/71/637176238911765ea7930198ee3ab584/0131573032v2.jpeg "Dashboards, Bedrohungskarten und Analysten rund um die Uhr: Ein SOC beeindruckt optisch. Wer kein Bedrohungsmodell hat, produziert damit aber nur Alerts, die niemand bearbeitet. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/69/66/696689e3e57bf809128d7d77138d7f45/0131632745v2.jpeg "Apache OFBiz 24.09.06 behebt 17 Schwachstellen, darunter kritische Lücken mit CVSS 9.8 und 9.1 die nicht authentifizierte Codeausführung ermöglichen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cd/6f/cd6f731c0ed680d9d410827b6c3df012/0131361357v1.jpeg "2025 gab es viele Themen und Aufgaben, die die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit beschäftigt haben. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/38/71388e518548f6491397ba579d7798e5/0131570993v2.jpeg "CVE-2026-41615 verleitet den Microsoft Authenticator zur Token-Weitergabe an Angreifer. Kein Exploit ist nötig, ein Nutzerklick genügt für eine Kontoübernahme. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/86/6a861de7e843b252af55a156f4379ccb/0131643049v2.jpeg "BCM und Cyber Security allein machen Unternehmen nicht resilient. Operational Resilience entsteht dort, wo Strukturen, Prozesse und menschliches Verhalten zusammenwirken. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/21/6621115267ba589358c5a1e9d11f12aa/0131538617v2.jpeg "Europäische Souveränität im Fokus: Die Partnerschaft von Ionos und Enginsight soll eine sichere und selbstbestimmte Alternative zu globalen Hyperscalern schaffen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/fb/db/fbdb7ae5374bb8b949fb34cbc1893470/0129820973v1.jpeg "„Wir haben allein durch diese Lösung Finnland zu einem unrentablen Ziel für Kriminelle gemacht“, sagt Kati Nyman, Executive Vice President bei Elisa, über die patentierte Anti-Scam-Lösung des Telco-Anbieters. (Bild: Elisa)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/e2/2de255489b819a58426e3f3f47922c0a/0124528190v1.jpeg "Die Vorbereitung auf einen Cyber-Ernstfall minimiert Ausfallzeiten und verringert somit auch die Schäden innerhalb der Organisation. Zusätzlich schützt man damit Unternehmenswerte wie Kundendaten und IT-Infrastruktur. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c3/a6/c3a69830b0726024df1c6f5c06670b71/0121344147v1.jpeg "Unternehmen brauchen einen klar strukturierten Plan zur Reaktion auf erfolgreiche Cyberangriffe und für die Wiederherstellung kompromittierter Systeme! (Bild: Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/bb/f9bb20394caab8c4dcbf342e527d5e78/0129927831v2.jpeg "Unternehmen sollten Resilienz auf Vorstandsebene verankern und interdisziplinäre Teams bilden, um einen ganzheitlichen Ansatz zu fördern. Zudem ist der gezielte Einsatz von Technologie, die Messbarkeit von Resilienz durch KPIs und die Förderung eines Kulturwandels entscheidend für die Steigerung der Wettbewerbsfähigkeit. (Bild: © DigitalMagicVisions - stock.adobe.com / KI-generiert)")