Herr Dzombeta, Herr Naake – wie positioniert sich EY im Bereich Cybersecurity?
Srdan Dzombeta: Wir verfolgen einen ganzheitlichen Ansatz. Cybersecurity ist für uns nicht nur eine technische Disziplin, sondern vor allem eine Frage von Governance, Risikomanagement und strategischer Steuerung. Wir begleiten Unternehmen entlang des gesamten Cybersecurity-Lebenszyklus – von der Strategie über Organisations- und Governance-Modelle bis zur technischen Umsetzung und Weiterentwicklung bestehender Strukturen. Ausgangspunkt sind Risiken, Verantwortlichkeiten und regulatorische Anforderungen. Ziel ist es, Cybersecurity als integralen Bestandteil der Unternehmenssteuerung zu etablieren und Organisationen resilient gegenüber wachsenden Bedrohungen zu machen.
NIS2 erweitert den Kreis regulierter Unternehmen. Was heißt das in der Praxis?
Lutz Naake: Für viele Organisationen wird Cybersecurity erstmals zur gesetzlichen Pflicht. Neben klassischen Betreibern kritischer Infrastrukturen rücken große Teile des Mittelstands in den Fokus. Der Gesetzgeber reagiert damit auf Schäden durch Cyberattacken von inzwischen über 200 Milliarden Euro jährlich. Unternehmen müssen ihre Cyber- und IT-Kontrollsysteme strukturiert aufbauen und regelmäßig prüfen lassen. Dazu gehören Risikoanalysen, klare Sicherheitsrichtlinien, belastbare Notfall- und Meldeprozesse sowie die Absicherung der Lieferketten. Gleichzeitig betont der Gesetzgeber die Verantwortung der Führungsebene: Geschäftsführung und Vorstand müssen Cyberrisiken aktiv überwachen und entsprechende Kompetenzen aufbauen. Cybersecurity wird damit zur Managementaufgabe.
Unternehmen sehen sich mit zahlreichen Vorgaben konfrontiert. Wie lässt sich Cyber-Compliance effizient organisieren?
Srdan Dzombeta: Entscheidend ist ein integrierter Managementansatz. Regulatorische Anforderungen sollten über gemeinsame Governance-Strukturen, klare Zuständigkeiten und abgestimmte Prozesse gesteuert werden. So lassen sich Anforderungen erfüllen, ohne zusätzliche Parallelstrukturen aufzubauen und bestehende Organisationen zu überlasten.
Lutz Naake: Wichtig ist auch, Compliance nicht isoliert zu betrachten. Ausgangspunkt sollten die Kontrollen aus dem eigenen Cyber-Risikomanagement sein. Regulatorische Vorgaben lassen sich darauf abbilden – so entstehen Synergien, und vorhandene Strukturen können effizient genutzt werden.
KI verändert viele Unternehmensprozesse. Wo sehen Sie die größten Cyberrisiken?
Srdan Dzombeta: Ein zentrales Risiko ist die unkontrollierte Nutzung von KI-Tools, die sogenannte Shadow AI. Mitarbeitende geben vertrauliche Informationen in nicht freigegebene Systeme ein. Firmen verlieren so schnell den Überblick, wo sensible Daten verarbeitet werden und wie sie geschützt sind. Gleichzeitig geraten KI-Systeme selbst stärker ins Visier, etwa durch Manipulationen wie Prompt-Injection-Angriffe oder gezielte Beeinflussung von Modellen.
Lutz Naake: In vielen Organisationen fehlt bislang eine klare KI-Governance. Häufig ist nicht eindeutig geregelt, wer verantwortlich ist, welche Anwendungen zugelassen sind und wie der Einsatz überwacht wird.
Verändert KI auch die Bedrohungslage?
Srdan Dzombeta: Ja, wir sehen ein technologisches Wettrennen. KI senkt die Einstiegshürden für Cyberkriminelle und ermöglicht automatisierte, skalierbare Angriffe. Parallel setzen auch Sicherheitslösungen KI ein, um Angriffsmuster schneller zu erkennen, Anomalien früh zu identifizieren und Vorfälle effizient zu analysieren.
Thema Cloud: Wie realistisch ist mehr Unabhängigkeit von internationalen Anbietern?
Srdan Dzombeta: Das Streben nach digitaler Souveränität ist nachvollziehbar. Viele Organisationensationen wollen mehr Kontrolle über Datenstandorte und rechtliche Rahmenbedingungen behalten. Gleichzeitig sind Hyperscaler zentrale Innovationstreiber – etwa bei Skalierbarkeit, Resilienz und modernen Sicherheitsfunktionen. In der Praxis dominieren daher hybride oder Multi-Cloud-Strategien. Aus Sicht der Cybersecurity erhöht das jedoch die Komplexität, da unterschiedliche Umgebungen, Identitätsmodelle und Sicherheitsarchitekturen konsistent gesteuert werden müssen.
Cybersecurity betrifft zunehmend auch industrielle Anlagen. Wie hoch ist der Handlungsbedarf?
Srdan Dzombeta: Unternehmen müssen hier aktiv werden. Viele Industrieanlagen wurden für isolierte Umgebungen entwickelt – nicht für vernetzte Systeme mit wachsender Angriffsfläche. Der Nachholbedarf ist entsprechend hoch. Oft fehlen grundlegende Prozesse zur Identifikation, Inventarisierung und Bewertung kritischer Systeme, um geeignete Schutzmaßnahmen ableiten zu können. Gleichzeitig steigt der regulatorische Druck, etwa durch NIS2. Unternehmen müssen Cyberrisiken in industriellen Umgebungen stärker in ihre Gesamtsteuerung integrieren und klare, durchgängige Sicherheitsstrukturen etablieren.
Wird Cybersecurity vom Kostenfaktor zum Werttreiber?
Lutz Naake: Definitiv. Strategisch organisierte Cybersicherheit kann Synergien schaffen und Kosten senken. Gleichzeitig stärkt sie das Vertrauen von Kunden und Partnern und wird damit auch wirtschaftlich relevant. Cybersecurity entwickelt sich zum Wettbewerbsfaktor. Wer Risiken systematisch steuert, erhöht Resilienz und schafft eine stabile Grundlage für digitale Geschäftsmodelle. Damit wird sie zu einem zentralen Element der Unternehmenssteuerung und zu einem wichtigen Baustein für nachhaltigen Geschäftserfolg.
de.ey.com/reisefuehrer
