- Die Geschäftsführung gibt kein Budget, weil sie IT-Sicherheit als Kostenstelle statt als Risikomanagement wahrnimmt. Die Verständnislücke lässt sich schließen.
- Übersetze technische Risiken in Geschäftsrisiken: Euro-Beträge, Produktionsausfälle und Vertragsrisiken statt CVE-Scores und Firewall-Regeln.
- NIS2 macht die Geschäftsführung persönlich haftbar. Das ist der stärkste Hebel für ein ehrliches Gespräch über Investitionen in Cybersicherheit.
- Ein einzelnes Jahresgespräch reicht nicht. Regelmäßige, kurze Touchpoints halten das Thema auf der Agenda und verhindern böse Überraschungen.
- Ein einseitiges Management-Summary pro Quartal, das Risiken, Fortschritte und offene Punkte zusammenfasst, ist wirkungsvoller als jede 40-Folien-Präsentation.
Warum die Geschäftsführung oft Nein sagt
Du kennst die Situation wahrscheinlich: Du hast eine fundierte Risikoanalyse erstellt, die Schwachstellen sind offensichtlich, die Handlungsempfehlungen liegen auf dem Tisch. Und trotzdem passiert nichts. Die Geschäftsführung nickt freundlich, sagt etwas wie "Das klingt wichtig, schauen wir uns nächstes Quartal an" und widmet sich dann wieder dem Tagesgeschäft.
Das ist keine böse Absicht. Es ist eine Verständnislücke, die in den meisten Unternehmen existiert und die du aktiv schließen musst. Die Geschäftsführung denkt in Umsatz, Marge, Marktanteilen und Haftungsrisiken. Du denkst in Schwachstellen, Angriffsvektoren und Sicherheitskontrollen. Beide Perspektiven sind berechtigt, aber sie sprechen unterschiedliche Sprachen.
Das Kernproblem liegt selten darin, dass die Geschäftsführung IT-Sicherheit für unwichtig hält. Die meisten Geschäftsführer haben durchaus verstanden, dass Cyberangriffe ein reales Risiko sind. Was ihnen fehlt, ist eine greifbare Vorstellung davon, was genau das für ihr Unternehmen bedeutet, wie hoch das finanzielle Risiko tatsächlich ist und welche Investitionen in welchem Verhältnis zu diesem Risiko stehen.
Dazu kommt ein psychologischer Effekt: Solange kein schwerwiegender Vorfall passiert ist, fühlt sich das aktuelle Sicherheitsniveau ausreichend an. "Wir hatten doch noch nie einen Vorfall" ist ein Satz, den fast jeder ISB schon gehört hat. Die Tatsache, dass das Ausbleiben von Vorfällen kein Beweis für gute Sicherheit ist, sondern schlicht Glück sein kann, lässt sich abstrakt schwer vermitteln.
Wenn du diese Dynamik verstehst, wird klar: Das Problem ist kein Kommunikationsproblem im engeren Sinne. Es ist ein Übersetzungsproblem. Und die Lösung liegt nicht darin, noch mehr technische Details auf den Tisch zu legen, sondern die richtigen Informationen im richtigen Format zu liefern.
Die richtige Sprache finden: Risiko in Euro, nicht in CVE-Scores
Der wichtigste Paradigmenwechsel, den du vollziehen musst: Sprich nicht über Technik, sprich über Geschäftsrisiken. Das bedeutet nicht, dass du technische Details verschweigen sollst. Es bedeutet, dass du sie kontextualisieren musst.
Ein Beispiel: "Unsere Exchange-Server sind nicht gepatcht und haben drei kritische CVEs" ist technisch korrekt, aber für die Geschäftsführung bedeutungslos. "Unser E-Mail-System hat bekannte Sicherheitslücken, die Angreifer ausnutzen können, um alle E-Mails mitzulesen und Schadsoftware einzuschleusen. Ein vergleichbarer Angriff hat bei einem Wettbewerber zu drei Wochen Produktionsausfall geführt" ist derselbe Sachverhalt, aber in einer Sprache, die ankommt.
Die Übersetzung funktioniert fast immer nach demselben Muster: Technisches Risiko in Geschäftsauswirkung übersetzen, dann mit einer konkreten Zahl oder einem vergleichbaren Vorfall belegen.
Finanzielle Risiken quantifizieren
Du musst keine exakte Schadenssumme berechnen, aber eine plausible Größenordnung liefern können. Dafür gibt es ein einfaches Framework, das auch ohne aufwendige Risikoanalyse funktioniert:
Direkte Kosten eines Vorfalls. Forensik-Dienstleister kosten zwischen 200 und 400 Euro pro Stunde, ein typischer Ransomware-Fall bindet ein Team von drei bis fünf Spezialisten für zwei bis vier Wochen. Dazu kommen Wiederherstellungskosten, eventuell neue Hardware und die Kosten für externe Kommunikation (Anwälte, PR-Berater). Selbst bei einem mittelständischen Unternehmen summiert sich das schnell auf 150.000 bis 500.000 Euro.
Umsatzausfall durch Betriebsunterbrechung. Nimm den Jahresumsatz deines Unternehmens und teile ihn durch 365. Das ist der theoretische Tagesumsatz. Ein Ransomware-Angriff legt ein Unternehmen im Schnitt für 22 Tage lahm. Selbst wenn du konservativ nur 50 % Umsatzausfall ansetzt, kommt bei einem Unternehmen mit 20 Millionen Euro Jahresumsatz ein Betrag von rund 600.000 Euro zusammen.
Vertragsstrafen und Kundenverlust. Prüfe die Verträge mit euren wichtigsten Kunden: Gibt es SLA-Vereinbarungen mit Pönalen? Gibt es Kunden, die bei einem Sicherheitsvorfall vertraglich das Recht haben, den Vertrag zu kündigen? Was würde der Verlust des größten Kunden bedeuten? Diese Zahlen sind oft erschreckend konkret und sehr überzeugend.
Bußgelder und regulatorische Konsequenzen. Mit NIS2 und DSGVO gibt es klare gesetzliche Rahmen. NIS2 sieht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Das muss man nicht dramatisieren, aber man sollte es erwähnen.
Wenn du diese vier Kategorien für dein Unternehmen durchrechnest und die Zahlen nebeneinanderstellst, ergibt sich eine Gesamtexposition, die in aller Regel deutlich über dem Budget liegt, das du beantragst. Und genau das ist der Punkt: Deine Investitionsanfrage wird plötzlich nicht mehr als Kosten wahrgenommen, sondern als Risikominimierung.
NIS2-Haftung als Türöffner
Seit dem NIS2-Umsetzungsgesetz gibt es ein Argument, das nahezu jedes Gespräch über IT-Sicherheitsbudgets verändert: Die persönliche Haftung der Geschäftsführung.
§ 38 des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) legt fest, dass Geschäftsführer und Vorstände die Umsetzung von Cybersicherheitsmaßnahmen überwachen müssen und persönlich haften, wenn sie ihren Pflichten nicht nachkommen. Das ist keine abstrakte Möglichkeit, sondern eine konkrete gesetzliche Anforderung mit harten Konsequenzen.
Konkret bedeutet das: Wenn ein Sicherheitsvorfall eintritt und sich herausstellt, dass angemessene Maßnahmen nicht umgesetzt wurden, können Geschäftsführer mit ihrem Privatvermögen haften. Die Gesellschaft darf auf einen Schadensersatzanspruch gegen die Geschäftsleitung nicht verzichten. Dieses Argument musst du nicht drohend einsetzen, aber du solltest es klar und sachlich auf den Tisch legen.
Der effektivste Weg, das Thema anzusprechen, ist folgender: Erkläre die NIS2-Anforderungen sachlich, zeige auf, welche euer Unternehmen bereits erfüllt und welche nicht, und formuliere dann klar, welche Investitionen nötig sind, um die Lücken zu schließen. Der Subtext ist offensichtlich, ohne dass du ihn aussprechen musst: Wenn die Geschäftsführung diese Investitionen ablehnt und es zu einem Vorfall kommt, ist die persönliche Haftung dokumentiert.
Ergänzend dazu lohnt es sich, die Schulungspflicht der Geschäftsführung anzusprechen. NIS2 fordert, dass Leitungsorgane an Cybersicherheitsschulungen teilnehmen müssen. Das ist nicht optional, es ist gesetzliche Pflicht. Eine kurze, gut vorbereitete Schulung für die Geschäftsführung kann gleichzeitig der Einstieg in ein produktiveres Gespräch über Budgets sein, weil sie das Verständnis für die Materie verbessert.
Die konkrete Gesprächsvorlage
Ein gutes Gespräch mit der Geschäftsführung über IT-Sicherheitsbudgets folgt einer klaren Dramaturgie. Hier ist eine Vorlage, die du an dein Unternehmen anpassen kannst:
Phase 1: Kontext setzen (5 Minuten)
Beginne nicht mit Problemen, sondern mit Kontext. Zeige kurz die aktuelle Bedrohungslage mit Fokus auf eure Branche. Nutze dafür zwei bis drei aktuelle Vorfälle bei vergleichbaren Unternehmen, idealerweise aus den BSI-Lageberichten oder Branchenmeldungen. Der Effekt: Die Geschäftsführung versteht, dass es nicht um abstrakte Bedrohungen geht, sondern um reale Risiken, die Unternehmen wie das eigene treffen.
Phase 2: Status quo darstellen (5 Minuten)
Zeige den aktuellen Stand der IT-Sicherheit in eurem Unternehmen. Nicht als Mängelliste, sondern als ehrliche Standortbestimmung: Was läuft gut, wo gibt es Lücken, wie stehen wir im Vergleich zu den regulatorischen Anforderungen? Nutze eine einfache Ampel-Logik (grün, gelb, rot) für die wichtigsten Bereiche. Niemand will eine Folie mit 47 Maßnahmen lesen, aber eine Übersicht mit acht Bereichen und klarer Farbcodierung funktioniert.
Phase 3: Risiken in Euro (5 Minuten)
Hier kommt die finanzielle Risikoabschätzung aus dem vorherigen Abschnitt zum Einsatz. Zeige die Gesamtexposition und stelle sie dem aktuellen Sicherheitsbudget gegenüber. Wenn ein Unternehmen einer Risikoexposition von 2 Millionen Euro gegenübersteht und 50.000 Euro pro Jahr für IT-Sicherheit ausgibt, ist die Diskrepanz offensichtlich.
Phase 4: Konkreter Vorschlag (5 Minuten)
Präsentiere nicht eine einzige Lösung, sondern drei Optionen mit unterschiedlichem Investitionsvolumen und Risikoreduzierung:
Option A: Minimum. Die absolut notwendigen Maßnahmen, um regulatorische Anforderungen zu erfüllen und die größten Risiken zu adressieren. Geringste Kosten, aber auch nur teilweise Risikoreduzierung.
Option B: Empfohlen. Ein solides Sicherheitsniveau, das die wesentlichen Risiken abdeckt und eine gute Balance zwischen Investition und Schutz bietet. Das ist die Option, die du wirklich willst.
Option C: Optimal. Best-Practice-Niveau mit umfassender Abdeckung. Höchste Investition, aber auch maximale Risikoreduzierung und Zukunftssicherheit.
Die Erfahrung zeigt: In den meisten Fällen wird Option B gewählt, manchmal mit einzelnen Elementen aus Option C. Durch die Wahlmöglichkeit fühlt sich die Geschäftsführung eingebunden statt überrumpelt.
Phase 5: Nächste Schritte (2 Minuten)
Beende das Gespräch mit konkreten nächsten Schritten, Verantwortlichkeiten und Terminen. Kein Gespräch sollte ohne ein klares "Wer macht was bis wann?" enden.
ROI-Argumente, die tatsächlich funktionieren
Return on Investment ist ein Begriff, den die Geschäftsführung versteht und schätzt. Bei IT-Sicherheit funktioniert ROI allerdings anders als bei einer neuen Produktionslinie: Du berechnest nicht den Gewinn, den eine Maßnahme bringt, sondern den Verlust, den sie verhindert.
Risk Reduction als ROI. Wenn eine Risikoanalyse ergibt, dass das Unternehmen einem jährlichen erwarteten Verlust (Annual Loss Expectancy) von 500.000 Euro durch Cyberangriffe ausgesetzt ist und eine Investition von 80.000 Euro dieses Risiko um 60 % reduziert, ist der ROI klar: 80.000 Euro Investition vermeiden statistisch gesehen 300.000 Euro Schaden pro Jahr.
Versicherungsprämien. Cyber-Versicherungen werden zunehmend teurer und die Anforderungen an Versicherungsnehmer steigen. Unternehmen, die ein ISMS nachweisen können, erhalten bessere Konditionen. Je nach Unternehmensgröße können die Einsparungen bei den Prämien einen signifikanten Teil der ISMS-Investition refinanzieren.
Kundenanforderungen und Ausschreibungen. Immer mehr Unternehmen, besonders im Automotive-, Gesundheits- und Finanzsektor, fordern von ihren Lieferanten den Nachweis eines ISMS oder einer Zertifizierung. Ohne diesen Nachweis bist du bei Ausschreibungen raus. Das ist kein hypothetisches Risiko, sondern ein konkreter Umsatzverlust, den du beziffern kannst.
Effizienzgewinn durch Standardisierung. Ein strukturiertes ISMS reduziert den Aufwand für wiederkehrende Aufgaben: Statt bei jedem Kundenaudit von Null anzufangen, hast du eine aktuelle Dokumentation. Statt bei jedem Vorfall ad hoc zu reagieren, gibt es einen definierten Prozess. Diese Effizienzgewinne lassen sich in gesparte Arbeitsstunden übersetzen.
Wettbewerbsvorteil. Klingt wie ein Soft-Argument, ist aber messbar: Unternehmen mit nachgewiesener Informationssicherheit gewinnen Ausschreibungen, die sie ohne Nachweis verloren hätten. Frag den Vertrieb, wie oft die Frage nach Sicherheitszertifikaten in Kundengesprächen kommt. Die Antwort wird die Geschäftsführung interessieren.
Reporting-Formate, die die Geschäftsführung tatsächlich liest
Das beste Sicherheitsprogramm der Welt bringt nichts, wenn die Geschäftsführung die Reports nicht liest. Und seien wir ehrlich: Die meisten Sicherheitsberichte werden nicht gelesen. Nicht weil die Geschäftsführung desinteressiert ist, sondern weil die Berichte zu lang, zu technisch und zu wenig handlungsorientiert sind.
Das One-Page Management Summary
Das effektivste Format ist ein einseitiges Management Summary, das folgende Elemente enthält:
Gesamtrisiko-Indikator. Eine einzige Zahl oder Ampelfarbe, die den aktuellen Sicherheitsstatus zusammenfasst. Die Geschäftsführung will auf den ersten Blick wissen: Stehen wir gut da oder nicht?
Top-3-Risiken. Nicht mehr. Nicht die vollständige Risikolandschaft, sondern die drei größten Risiken mit je einem Satz Beschreibung und der geplanten Maßnahme. Mehr Details gibt es auf Nachfrage.
Fortschritt seit letztem Bericht. Was wurde umgesetzt, was ist in Arbeit, was steht noch aus? Am besten als Fortschrittsbalken oder Prozentwert für die wichtigsten Initiativen.
Budget-Status. Wie viel wurde ausgegeben, wie viel ist noch verfügbar, gibt es unerwartete Kosten? Die Geschäftsführung will wissen, ob das Budget im Plan ist.
Handlungsbedarf. Gibt es Entscheidungen, die die Geschäftsführung treffen muss? Wenn ja, welche und bis wann? Formuliere das als konkrete Fragen, nicht als offene Themen.
KPIs, die die Geschäftsführung versteht
Vergiss technische Metriken wie "Anzahl blockierter Angriffe" oder "durchschnittliche Patch-Zeit". Die Geschäftsführung kann damit nichts anfangen. Nutze stattdessen KPIs, die sich direkt auf Geschäftsziele beziehen:
- Anteil der Mitarbeiter mit abgeschlossener Security-Awareness-Schulung (Ziel: 100 %)
- Anzahl offener Audit-Feststellungen mit Fristüberschreitung (Ziel: 0)
- Reifegrad des ISMS auf einer Skala von 1 bis 5 (Ziel: mindestens 3)
- Anzahl der Sicherheitsvorfälle mit Geschäftsauswirkung (Trend: sinkend)
- Compliance-Status gegenüber NIS2/ISO 27001 in Prozent
Diese KPIs sind verständlich, messbar und zeigen Fortschritt oder Handlungsbedarf auf einen Blick. ISMS Lite generiert verständliche Dashboards und Management-Summaries direkt aus den gepflegten ISMS-Daten, sodass das quartalsweise Reporting keine manuelle Fleißarbeit mehr ist. 500 Euro pro Jahr ist das ein Bruchteil der Kosten, die du der Geschäftsführung als Risikominimierung präsentierst.
Regelmäßige Touchpoints statt einmalige Präsentation
Der größte Fehler, den du machen kannst: Einmal im Jahr eine große Präsentation halten und dann ein Jahr lang nicht mehr beim Thema IT-Sicherheit bei der Geschäftsführung vorstellig werden. Bis zur nächsten Präsentation ist das Thema vergessen, Prioritäten haben sich verschoben und du fängst wieder bei Null an.
Stattdessen brauchst du einen regelmäßigen Rhythmus, der das Thema kontinuierlich auf der Agenda hält, ohne die Geschäftsführung zu überlasten.
Der empfohlene Rhythmus
Monatlich: Kurzes Status-Update (15 Minuten). Kann im Rahmen einer bestehenden Managementrunde stattfinden. Fünf Folien maximal: Gesamtstatus, abgeschlossene Maßnahmen, aktuelle Risiken, Handlungsbedarf. Kein Deep Dive, nur die Essenz.
Quartalsweise: Management Review (45-60 Minuten). Ein strukturiertes Review-Meeting, das auch ISO 27001 fordert. Hier werden KPIs besprochen, Trends analysiert, Budgets überprüft und strategische Entscheidungen getroffen. Das ist der richtige Rahmen für größere Investitionsentscheidungen.
Halbjährlich: Strategische Ausrichtung (90 Minuten). Wo steht die Bedrohungslandschaft? Wie entwickelt sich die regulatorische Landschaft? Passen unsere Prioritäten noch? Brauchen wir eine strategische Anpassung? Dieses Meeting stellt sicher, dass das Sicherheitsprogramm mit der Unternehmensstrategie Schritt hält.
Ad hoc: Bei Vorfällen oder dringenden Themen. Klar definierte Schwellenwerte, ab denen die Geschäftsführung sofort informiert wird. Das sollte im Incident-Response-Plan dokumentiert sein, damit es im Ernstfall keine Diskussion darüber gibt, wann und wie informiert wird.
Den Rhythmus etablieren
Der Trick ist, den Rhythmus frühzeitig zu vereinbaren und als festen Serientermin in den Kalendern der Geschäftsführung zu verankern. Beginne mit einem kurzen Format und baue es aus, wenn die Geschäftsführung Interesse zeigt. Lieber regelmäßig 15 Minuten als einmal im Jahr 90 Minuten, die dann gekürzt oder verschoben werden.
Typische Einwände und wie du sie entkräftest
Es gibt eine Reihe von Standardeinwänden, auf die du vorbereitet sein solltest:
"Wir sind zu klein, uns greift niemand an." Angriffe sind heute automatisiert. Ransomware-Gruppen scannen das Internet nach Schwachstellen und greifen jedes verwundbare System an, unabhängig von der Unternehmensgröße. Der BSI-Lagebericht zeigt, dass gerade KMU überproportional betroffen sind, weil sie weniger Schutzmaßnahmen haben. Außerdem: NIS2 definiert Betroffenheit über Sektorzugehörigkeit und Größe, nicht über die subjektive Einschätzung der Bedrohungslage.
"Wir haben doch eine Firewall und Virenscanner." Das ist wie ein Türschloss ohne Alarmanlage: besser als nichts, aber kein ausreichender Schutz gegen organisierte Angreifer. Moderne Angriffe umgehen technische Maßnahmen durch Social Engineering, kompromittierte Lieferketten oder Zero-Day-Schwachstellen. Technik allein reicht nicht, es braucht Prozesse, Schulungen und ein systematisches Risikomanagement.
"Das können wir doch intern machen." In vielen Fällen stimmt das teilweise. Aber: Habt ihr die Kapazitäten? Ist jemand mit der nötigen Expertise an Bord? Und vor allem: Ist jemand freigestellt genug, um das Thema mit der nötigen Priorität zu treiben? Wenn die IT-Abteilung das ISMS "nebenbei" mitmachen soll, wird es nicht funktionieren. Mache eine ehrliche Ressourcen-Analyse und zeige, was intern möglich ist und wo externe Unterstützung effizienter wäre.
"Das kostet zu viel." Vergleiche die Investition mit der Risikoexposition. Zeige die Kosten eines durchschnittlichen Sicherheitsvorfalls in eurer Branche. Und stelle die Frage: "Wie viel Tage Produktionsausfall können wir uns leisten?" Die Antwort macht meistens klar, dass die Investition in Prävention ein Bruchteil der potenziellen Schadenskosten ist.
"Wir haben andere Prioritäten." Das ist oft der ehrlichste Einwand und gleichzeitig der schwierigste. Hier hilft es, nicht gegen andere Prioritäten zu argumentieren, sondern IT-Sicherheit als Voraussetzung für diese Prioritäten zu positionieren. Digitalisierung ohne Sicherheit? Expansion in regulierte Märkte ohne Compliance? Neue Kunden gewinnen ohne Sicherheitsnachweis? IT-Sicherheit ist kein Gegenargument zu anderen Prioritäten, sie ist deren Fundament.
Was du vermeiden solltest
So wichtig wie die richtigen Argumente sind die richtigen Umgangsformen im Gespräch mit der Geschäftsführung. Es gibt einige Muster, die das Gespräch garantiert in die falsche Richtung lenken.
FUD (Fear, Uncertainty, Doubt) vermeiden. Angstmacherei funktioniert vielleicht einmal, aber sie zerstört Vertrauen und Glaubwürdigkeit. Wenn du jedes Quartal den Untergang beschwörst und nichts passiert, wirst du irgendwann nicht mehr ernst genommen. Bleibe sachlich, arbeite mit Fakten und Wahrscheinlichkeiten, nicht mit Worst-Case-Szenarien.
Keine Schuldzuweisungen. "Wenn ihr kein Budget gebt und etwas passiert, seid ihr schuld" mag faktisch stimmen, ist aber kein produktiver Gesprächsbeitrag. Formuliere stattdessen: "Mit dem aktuellen Budget können wir diese Risiken adressieren, diese bleiben offen. Die Entscheidung darüber möchte ich dokumentieren, damit wir Transparenz haben."
Nicht zu viele Details. Die Geschäftsführung muss nicht wissen, wie ein Buffer Overflow funktioniert. Sie muss wissen, was die Konsequenz ist und was dagegen getan werden kann. Halte die Details in der Hinterhand für Nachfragen, aber lade sie nicht ungebeten ab.
Keine Alleingänge. Beziehe andere Stakeholder ein: den CFO für Budgetfragen, den Vertrieb für Kundenanforderungen, die Rechtsabteilung für regulatorische Themen. Wenn die Botschaft aus mehreren Richtungen kommt, hat sie mehr Gewicht.
Der erste Schritt: So startest du das Gespräch
Wenn du bisher noch kein strukturiertes Gespräch mit deiner Geschäftsführung über IT-Sicherheit geführt hast, ist der erste Schritt oft der schwierigste. Hier ist ein pragmatischer Ansatz:
Bereite ein kurzes Briefing vor, maximal zwei Seiten, das folgende Punkte abdeckt: Aktuelle Bedrohungslage für eure Branche (zwei bis drei Sätze), regulatorische Anforderungen mit Fokus auf NIS2-Haftung (drei bis vier Sätze), drei konkrete Risiken für euer Unternehmen mit geschätzter finanzieller Auswirkung und ein konkreter Vorschlag für das weitere Vorgehen.
Bitte um einen 30-minütigen Termin. Formuliere die Einladung so, dass sie Interesse weckt, ohne zu alarmieren: "Ich möchte kurz mit Ihnen über die aktuellen Cybersicherheitsanforderungen für unser Unternehmen sprechen und einen Vorschlag machen, wie wir uns gut aufstellen können."
Im Gespräch selbst: Höre mehr zu als du redest. Frage nach den Prioritäten der Geschäftsführung und zeige, wie IT-Sicherheit diese Prioritäten unterstützt. Und beende das Gespräch mit einem konkreten nächsten Schritt, auch wenn es nur ein Folgetermin ist.
Denn das Ziel des ersten Gesprächs ist nicht, das komplette Budget zu bekommen. Das Ziel ist, einen Dialog zu starten, der regelmäßig weitergeführt wird. Budget und Rückendeckung kommen dann, wenn die Geschäftsführung versteht, warum IT-Sicherheit eine Managementaufgabe ist und kein reines IT-Thema. Und dieses Verständnis baust du Schritt für Schritt auf, nicht in einem einzigen Meeting.