Die Cybersecurity (auch Cybersicherheit) ist nicht mehr auf die IT beschränkt. Sie führt zu regulatorischen Risiken, Rufschädigung und Verantwortlichkeit auf Führungsebene, weshalb jeder Cybervorfall schnell zu einer rechtlichen Angelegenheit wird. Nicht, weil die Rechtsabteilung die Infrastruktur verwaltet, sondern weil Cybersicherheit jetzt im Zentrum der Unternehmensführung steht.
Jahrelang wurde Cybersicherheit als rein technisches Thema verstanden, das in der Verantwortung von CIOs und CISOs lag. Der Fokus lag auf Systemen, Kontrollen und Reaktionsplänen. Diese Sichtweise entspricht jedoch nicht mehr der Realität. Heute löst ein Cybervorfall unmittelbar eine Kettenreaktion aus:
Kurz gesagt, wenn die Auswirkungen unternehmensweit sind, kann die Verantwortung nicht allein bei der IT liegen.
Cybersicherheit und Legal sind durch Governance miteinander verbunden
In einem kürzlich erschienenen Thought Leadership-Beitrag über Information Governance machte Rupali, Head of Legal Expertise and Alliances in North America bei DiliTrust, eine wichtige Feststellung: Unternehmen laufen nicht auf Daten. Sie basieren auf Intelligenz. Und Intelligenz hängt von Disziplin, Struktur und Verantwortlichkeit ab.
Für die Cybersicherheit gilt das gleiche Prinzip, denn die Sicherheitskontrollen sind nur so stark wie die Informationsumgebung, die sie schützen. Wenn ein Unternehmen nicht weiß, welche Daten es besitzt, wo sie sich befinden, wem sie gehören oder warum sie aufbewahrt werden, kann keine noch so ausgefeilte Technik die Gefährdung verhindern.
Hier überschneiden sich die Bereiche Cybersicherheit und Legal. Die Führung der Rechtsabteilung verschafft einen Überblick über Datenschutzverpflichtungen, regulatorische Entwicklungen, vertragliche Verpflichtungen und das Risiko von Rechtsstreitigkeiten. Diese Unternehmensperspektive ist in einer Bedrohungslandschaft, die von ständigem technologischen Wandel und zunehmender Kontrolle geprägt ist, unerlässlich.
Cybersicherheit ohne Führung ist reaktiv. Cybersicherheit, die mit rechtlicher Führung einhergeht, ist vertretbar.
Warum es sich geändert hat: Cyberrisiken sind Risiken für den Unternehmenswert
Der Wandel von einem technischen Anliegen zu einer Notwendigkeit der Governance ist bereits im Gange.
Die Branchenanalysten von Gartner haben in ihrem Bericht „Top Trends in Cybersecurity for 2026“ die Umgestaltung der Unternehmensführung als ein strategisches Thema identifiziert. Dieser Wandel spiegelt eine breitere Realität wider: Unternehmen bewerten Cyber-Risiken jetzt in Begriffen, die Führungskräfte und Vorstände am besten verstehen, nämlich den Shareholder Value*. Aus dem Bericht geht hervor, dass 93 Prozent der Vorstandsmitglieder Cyber-Risiken als Bedrohung für den Unternehmenswert ansehen, und 98 Prozent erwarten, dass diese Bedrohung in den nächsten zwei Jahren zunehmen wird.
Heutzutage fragen die Vorstände nicht mehr, ob die Firewalls aktualisiert sind. Der Schwerpunkt hat sich auf eine wirksame Aufsicht und die Vertretbarkeit von Risiken verlagert.
Darüber hinaus erhöhen die Regulierungsbehörden die Erwartungen: Neue Vorschriften schreiben strenge Fristen für die Berichterstattung vor und erweitern die Rechenschaftspflicht der Führungskräfte. Dies zeigt einmal mehr, dass Entscheidungen im Bereich der Cybersicherheit im heutigen Umfeld rechtliche Konsequenzen haben.
Aufstrebende Technologie erweitert das rechtliche Risiko
In dem Maße, wie neue Technologien den Arbeitsplatz erobern, wird diese Wechselbeziehung zwischen Daten und Sicherheit durch künstliche Intelligenz noch deutlicher.
Gleichzeitig setzen Unternehmen schnell generative KI ein, oft bevor Governance-Modelle ausgereift sind. Mitarbeiter experimentieren mit Tools, die sensible Daten ohne formale Aufsicht verarbeiten, und setzen sich damit einem Risiko aus. Mit neuen Technologien fließen die Daten auch in verschiedene Richtungen durch die Systeme, was die Überwachung und Kontrolle erschwert.
Zu einem bestimmten Zeitpunkt in der Geschichte wurden diese Themen als reine Sicherheitsprobleme betrachtet, aber heute werfen sie umfassendere Fragen auf:
Die Rechtsabteilung ist strategisch positioniert, um die Grenzen festzulegen, innerhalb derer dieses Risiko gemanagt werden muss.
Die Bereiche Cybersicherheit und Legal müssen daher zusammenarbeiten und das Risikomanagement des Unternehmens gemeinsam angehen. Andernfalls kann es passieren, dass Sicherheitsmaßnahmen technische Schwachstellen verringern, während rechtliche und vertragliche Risiken unberührt bleiben.
Die Rolle des General Counsels in der Cybersicherheitsstrategie
Eine Neuausrichtung der Cybersicherheit als gemeinsame Verantwortung schmälert nicht die Rolle des CIO oder CISO, sondern trägt dem allgemeinen Trend Rechnung, dass die Widerstandsfähigkeit von Unternehmen eine integrierte Führung erfordert.
Die Rechtsabteilung spielt eine zentrale Rolle bei der Gestaltung der Risikobereitschaft, der Abstimmung der Cyber-Strategie mit den rechtlichen Verpflichtungen und der Gewährleistung, dass die Datenpraktiken vertretbar sind. Der General Counsel ist in einer einzigartigen Position, um Cybersicherheit mit Governance, Vorstandsaufsicht und Unternehmensverantwortung zu verbinden.
Wie Rupali Patel es beschreibt, ist Information Governance eher ein Geschäftsmodell als eine einzelne Richtlinie, und so muss auch die Cybersicherheit verstanden werden. Letztendlich ist Cybersicherheit kein eigenständiges technisches Programm oder Anliegen, sondern Teil der breiteren Risikoarchitektur des Unternehmens.
Quellen:
* Die wichtigsten Trends im Bereich der Cybersicherheit für 2026
