Cybersicherheit wird zu oft über Angst gesteuert statt über Strategie dabei entsteht Resilienz nur durch klare Prioritäten.
Cybersicherheit gilt als strategisch unverzichtbar. Doch sie steckt in einem Teufelskreis fest, den alle Beteiligten immer weiter aufrechterhalten: IT-Sicherheit wird vor allem über Angstmacherei verkauft und durchgesetzt. Hersteller tun es, CISOs tun es, Vorstände reagieren darauf. Gerade in Deutschland ist dieses Muster besonders ausgeprägt: Hier treffen regulatorischer Druck, hohe Risikoaversion und eine ausgeprägte Compliance-Logik aufeinander. Doch ein Vorstand, der nur bei einem Vorfall beim Wettbewerber das Budget öffnet, handelt nicht strategisch, sondern emotional. Ein CISO, der mit Angst argumentiert, schafft einen Flickenteppich. Und ein Vendor, der über Angst verkauft, erhöht den Lärm. Cybersicherheit muss ihren Wert anders kommunizieren. Die meisten Abteilungen in Unternehmen können ihren Wert sichtbar machen. Der Vertrieb verweist auf Umsatz. Das Marketing zeigt Conversions. Operations demonstriert Effizienz.
Cybersicherheit hat… das Ausbleiben von Katastrophen. Investitionen, Prioritäten und Entscheidungen werden vor allem durch akute Bedrohungslagen getrieben. Dann wird Geld in sichtbare Aktivität gesteckt – in Tools, Dashboards und Alarmierung – aber nicht zwingend in die Maßnahmen, die Angriffe tatsächlich begrenzen: Segmentierung, Least Privilege, Modernisierung, Refactoring und Cyberhygiene. Diese Massnahmen würden aber höheren Outcome bringen und sind Bestandteile einer klaren IT-Sicherheitsstrategie, die nachweislich zu mehr Cyberresilienz führt.
AI verschärft das Ganze: Besonders kritisch: KI wirkt hier wie ein Brandbeschleuniger. Statt technologische Klarheit zu schaffen, dominiert das FUD-Prinzip (Fear, Uncertainty, Doubt) – entweder aus Angst vor KI-gestützten Angreifern KI hat die Lage verschärft. Statt das Narrativ zu erneuern, hat die Branche zwei neue Angstvarianten geschaffen: Angst vor KI-gestützten Angreifern, Angst vor dem Rückstand ohne KI-Abwehr. Hinzu kommt: Wir sprechen zu selten darüber, was IT-Sicherheit ermöglicht. Cybersicherheit ist kein reiner Kostenblock zur Katastrophenabwehr, sondern der Enabler für digitale Transformation, schnelle Veränderungen, sichere Innovationen und belastbare Betriebsfähigkeit. Um das zu zeigen, müssen neue Metriken, neue Argumentationsmuster und neue Investitionslogiken her. Angst erzeugt zwar Budgets, aber nur Strategie erzeugt Resilienz. Nur wer sicher steht, kann schnell und lange laufen.