WINTER Beratung

Risikomanagement-Vergleich: Warum Nachhaltigkeit wie Cybersecurity behandelt werden muss

Risikomanagement-Vergleich: Warum Nachhaltigkeit wie Cybersecurity behandelt werden muss

Nachhaltigkeit sollte nicht als Moralthema oder ‚Nice-to-Have‘ betrachtet werden, sondern als Teil des Risikomanagments.

Vor kurzem habe ich einen Vortrag zu Cybersecurity besucht. Der Aufbau, die Zielgruppe und der Anspruch an diese waren ähnlich zu dem, was ich sonst von Vorträgen zu Nachhaltigkeit kenne. Die Reaktion des Publikums war jedoch anders. Während beim Thema Cybersecurity konzentrierte Aufmerksamkeit, Nachfragen und sichtbares Problembewusstsein dominierten, bleibt das Interesse beim Thema Nachhaltigkeit üblicherweise wesentlich verhaltener. Weniger Rückfragen, weniger Dringlichkeit, weniger Anschlussdiskussion.

Kann man in einem typischen Cybersecurity-Vortrag konsequent das Wort „Cybersecurity“ durch „Nachhaltigkeit“ ersetzen?

Mit diesem Artikel stelle ich die These auf: Nachhaltigkeit leidet nicht an fehlender Relevanz, sondern an einem falschen Framing. Solange sie primär als moralisches, politisches oder kommunikatives Thema verstanden wird, bleibt sie für viele Unternehmen abstrakt. Wird sie hingegen als das betrachtet, was sie tatsächlich ist, nämlich ein strategisches Risiko- und Zukunftsthema, verändert sich die Wahrnehmung grundlegend.

1. Bedrohungslage im Wandel: Wenn Risiken exponentiell wachsen

Ein zentrales Argument im Cybersecurity-Vortrag war die veränderte Bedrohungslage. Cyberangriffe sind heute nicht nur zahlreicher als noch vor wenigen Jahren, sie sind auch gezielter, automatisierter und wirkungsvoller. Treiber dieser Entwicklung sind vor allem die stetig wachsende Rechenleistung und der Einsatz immer leistungsfähigerer KI-Modelle. Was früher spezialisierten Akteuren mit hohem Aufwand vorbehalten war, ist heute vielfach skalierbar, kostengünstig und in Teilen automatisiert. Die Eintrittswahrscheinlichkeit von Angriffen steigt, ebenso wie das potenzielle Schadensausmaß.

In Bezug auf Nachhaltigkeit zeigt sich ein erstaunlich ähnliches Bild. Auch hier hat sich die Bedrohungslage grundlegend verändert. Steigende Durchschnittstemperaturen führen dazu, dass Extremwetterereignisse häufiger auftreten, intensiver ausfallen und größere Schäden verursachen. Hitzewellen, Starkregen, Hochwasser oder Dürre sind längst keine seltenen Ausnahmen mehr, sondern entwickeln sich zu einem strukturellen Risiko für Standorte, Lieferketten und Geschäftsmodelle. Studien zufolge beläuft sich der Schaden allein an Infrastruktur, Gebäuden und Landwirtschaft auf 900 Mrd. Euro bis 2050, Gesundheits- Ökosystem- und Lebensqualitätsverluste noch nicht berücksichtigt.

Rsiken wachsen nicht linear, sondern exponentiell

Die zugrunde liegende Dynamik ist in beiden Fällen identisch. Risiken wachsen nicht linear, sondern exponentiell. Ereignisse treten häufiger auf, ihre Auswirkungen sind gravierender, und die Kosten eines Schadensfalls steigen überproportional. Gleichzeitig erhöht sich der Preis des Nichtstuns. Was heute noch als beherrschbar erscheint, kann morgen existenzbedrohend werden; nicht, weil etwas völlig Neues eintritt, sondern weil Unternhemen bekannte Risiken systematisch unterschätzen.

In der Cybersecurity ist diese Erkenntnis weitgehend angekommen. Kaum ein Unternehmen geht heute noch davon aus, „zu klein“ oder „zu unbedeutend“ für Angriffe zu sein. Beim Thema Nachhaltigkeit fehlt diese Einsicht vielerorts noch. Dabei folgt die Bedrohungslage derselben Logik: Die Frage ist nicht, ob Risiken eintreten, sondern wann und wie gut man darauf vorbereitet ist.

2. Investitionen ohne Garantie: Prävention als unternehmerische Versicherung

Ein weiterer zentraler Punkt des Cybersecurity-Vortrags betraf die Frage nach Investitionen. Cybersecurity ist teuer. Sie bindet Budget, Personal und Managementaufmerksamkeit. Im Idealfall bleibt sie unsichtbar, denn wenn Schutzmaßnahmen greifen, passiert schlicht nichts. Genau darin liegt jedoch das Dilemma: Der Erfolg von Cybersecurity lässt sich nicht anhand eingetretener Ereignisse messen, sondern ausschließlich an ausgebliebenen Schäden.

Dass Unternehmen dennoch bereit sind, kontinuierlich in IT-Sicherheit zu investieren, hat einen einfachen Grund. Niemand käme auf die Idee, das Ausbleiben eines erfolgreichen Angriffs als Beweis dafür zu werten, dass Firewalls, Backups oder Schulungen überflüssig sind. Prävention wird hier zu Recht als unternehmerische Versicherung verstanden, eine Versicherung, die man hoffentlich nie in Anspruch nehmen muss und deren Fehlen aber im Ernstfall existenzbedrohend sein kann.

Im besten Fall werden sie nie gebraucht.

Für Nachhaltigkeit und Klimaanpassung, zeigt sich erneut eine verblüffende Parallele. Maßnahmen zum Schutz vor Extremwetterereignissen, zur Absicherung von Standorten oder zur Stabilisierung von Lieferketten sind ebenfalls Investitionen ohne Garantie. Hochwasserschutz, Hitzeschutzkonzepte oder Redundanzen in der Beschaffung verursachen Kosten, ohne unmittelbar Erträge zu generieren. Auch hier gilt: Im besten Fall braucht man sie nicht.

Die zentrale Botschaft ist in beiden Fällen dieselbe. Ein ausbleibender Schadensfall ist kein Beleg für eine Überinvestition, sondern das Ziel der Maßnahme. Prävention wird häufig erst dann bewertet, wenn sie fehlt und der Schaden bereits eingetreten ist. Dann ist es jedoch zu spät für nüchterne Kosten-Nutzen-Abwägungen. Unternehmen, die Prävention konsequent als Versicherung begreifen, in Bezug auf Cybersecurity ebenso wie in der Nachhaltigkeit, verschaffen sich nicht unbedingt einen kurzfristigen Vorteil, wohl aber langfristige Stabilität und Handlungsfähigkeit.

Mehrere Schlagzeilen zu Schäden aufgrund von Cyberangriffen sind übereinander dargestellt.

3. Wahrnehmungslücke im Management: Warum wir Risiken systematisch unterschätzen

Vergleicht man die heutige Wahrnehmung von Cyberrisiken mit der von Klimarisiken in Unternehmen, zeigt sich eine deutliche Asymmetrie. Cybersecurity wird inzwischen in vielen Geschäftsführungen als ernstzunehmendes, unternehmenskritisches Thema behandelt. Budgets sind etabliert, Zuständigkeiten klar geregelt, Berichterstattung und Audits gehören zum Standard. Unternehmen hingegen betrachten Nachhaltigkeit und regulatorische Anforderungen zu realen, physischen Risiken häufig noch als nachgelagertes Thema: wichtig, aber nicht dringend – und manchmal sogar als lästig.

Die These dahinter ist einfach: Nachhaltigkeit ist heute dort angekommen, wo Cybersecurity vor etwa zehn Jahren stand. Damals galt IT-Sicherheit vielfach als rein technisches Randthema. Erst eine bisher nicht endende Serie öffentlichkeitswirksamer Vorfälle, reale wirtschaftliche Schäden und persönliche Konsequenzen für Entscheider haben zu einem Umdenken geführt. Was früher als theoretisches Risiko galt, wurde plötzlich konkret und damit managementrelevant. Die Beispiele sind zahlreich: Polizei, Händler für Konzerttickets oder Serviettenhersteller.

Ein wesentlicher Grund für die unterschiedliche Ernsthaftigkeit liegt in der Sichtbarkeit von Schäden. Cyberangriffe sind unmittelbar spürbar: Systeme stehen still, Daten sind verschlüsselt, Kunden und Öffentlichkeit werden informiert. Die Ursache ist klar zuzuordnen, der Schaden eindeutig benennbar. Klimarisiken wirken dagegen häufig indirekt. Lieferausfälle, Produktionsunterbrechungen oder steigende Versicherungskosten lassen sich zwar auf Extremwetterereignisse zurückführen, erscheinen aber oft als externe Störfaktoren und nicht als Folge unternehmerischer Unterlassung.

Klimarisiken sind träge.

Hinzu kommt die zeitliche Dimension. Cyberrisiken materialisieren sich in der Regel plötzlich und mit kurzer Vorlaufzeit. Klimarisiken hingegen sind träge. Sie bauen sich über Jahre auf, ihre Ursachen liegen in der Vergangenheit, ihre Auswirkungen treten zeitverzögert ein. Diese zeitliche Entkopplung erschwert es, Dringlichkeit zu erzeugen und Verantwortung klar zuzuweisen.

Schließlich spielen persönliche Haftungs- und Reputationsrisiken eine entscheidende Rolle. Bei Cybervorfällen geraten Geschäftsführungen schnell in den Fokus von Aufsichtsbehörden, Kunden und Medien. Die individuelle Verantwortung ist greifbar. Bei Schäden infolge des Klimawandels fehlt diese direkte Zuschreibung bislang häufig noch, auch wenn sich dies mittlerweile ändert, wie Gerichte immer wieder festellen.

Diese Implikation ist problematisch. Viele Unternehmen nehmen die Bedrohung erst dann ernst, wenn Schäden unmittelbar und nicht mehr wegzudiskutieren sind. Zu diesem Zeitpunkt sind Handlungsoptionen aufgrund der genannten Trägheit jedoch meist eingeschränkt (sofern überhaupt möglich) und Kosten kaum noch steuerbar. Gerade weil Klimarisiken verzögert wirken, erfordern sie vorausschauendes Management, nicht als moralische Verpflichtung, sondern als nüchterne Reaktion auf absehbare unternehmerische Risiken.

4. Führungssache: Warum Technik und Maßnahmen allein nicht ausreichen

In dem Vortrag hat der Speaker außerdem die Rolle der Unternehmensführung hervorgehoben. Technische Lösungen, Richtlinien und Tools sind notwendig, reichen aber allein nicht aus. Cybersecurity funktioniert nur dann wirksam, wenn sie von der Geschäftsführung klar priorisiert, eingefordert und vorgelebt wird. Wo IT-Sicherheit als delegierbares Spezialthema verstanden wird, bleiben Schutzmaßnahmen fragmentiert und anfällig.

Diese Logik lässt sich eins zu eins auf Nachhaltigkeit übertragen. Auch hier scheitern viele Initiativen nicht an fehlendem Fachwissen oder unzureichender Technik, sondern an mangelnder Verankerung auf Führungsebene. Solange wir Nachhaltigkeit als Projekt, Stabsstelle oder Berichtspflicht behandeln, entfaltet sie kaum Wirkung im operativen Alltag. Erst wenn wir sie als strategisches Thema begreifen, das Entscheidungen, Investitionen und Zielkonflikte prägt, verändert sich Verhalten dauerhaft.

Verhalten wird durch Führung geprägt.

In beiden Fällen handelt es sich also um eine Kulturfrage, nicht um ein Einzelprojekt. Regeln und Prozesse müssen definiert, kommuniziert und konsequent angewendet werden. Noch entscheidender ist jedoch das Vorbildverhalten der Führungskräfte. Mitarbeitende orientieren sich weniger an Leitlinien als an dem, was im Alltag tatsächlich erwartet, belohnt oder sanktioniert wird. Ob es um den Umgang mit Passwörtern und Phishing-Mails geht oder um Ressourcennutzung, Dienstreisen und Lieferantenauswahl: Verhalten wird durch Führung geprägt.

Entsprechend zentral ist die Einbindung aller Mitarbeitenden. Cybersecurity scheitert selten an Firewalls, sondern an Klicks. Nachhaltigkeit scheitert selten an fehlenden Konzepten, sondern an täglichen Routinen. In beiden Fällen ist der sogenannte „Human Factor“ das größte Risiko, aber auch der größte Hebel. Unternehmen, die Nachhaltigkeit mit derselben Führungslogik angehen wie Cybersecurity, erkennen, dass Technik nur den Rahmen setzt. Wirksam wird sie erst durch konsequente Führung, klare Verantwortung und eine Kultur, die Risiken ernst nimmt, bevor sie zum Schaden werden.

Mehrere Schlagzeilen zu Schäden aufgrund von Extremwetterereignissen sind übereinander dargestellt.

5. Die Lieferkette als Einfallstor: Risiken enden nicht am Werkstor

Im Anschluss an den Vortrag habe ich dem Speaker eine Frage gestellt. Mein Gedanke war, dass Risiken nicht an den eigenen Systemgrenzen haltmachen. Selbst wenn interne IT-Systeme gut abgesichert sind, entstehen neue Angriffsflächen dort, wo Hardware, Software oder Dienstleistungen von Dritten eingebunden werden. Externe Dienstleister, eingekaufte Komponenten oder unzureichend geprüfte Updates sind häufige Einfallstore für Angriffe. Auch wichtige Lieferanten können betroffen sein, sodass bei einem Lieferausfall das eigene Unternehmen gestört ist. Cybersecurity ist daher längst keine rein interne Angelegenheit mehr, sondern eine Frage der gesamten Wertschöpfungskette.

Auch in der Nachhaltigkeit zeigt sich diese Logik in nahezu identischer Form. Umwelt- und Klimarisiken entstehen nicht nur im eigenen Betrieb, sondern zu großen Teilen in vorgelagerten Stufen der Lieferkette. Vorprodukte, Rohstoffe, Transportwege und Energiequellen bestimmen maßgeblich den ökologischen Fußabdruck und die Resilienz eines Unternehmens. Gleichzeitig verlassen sich viele Unternehmen auf Selbstauskünfte ihrer Lieferanten, deren Verlässlichkeit oft nur eingeschränkt überprüfbar ist. Hinzu kommen Extremwetterereignisse an deren Standorten, die garantiert, aber nicht vorhersehbar sind.

audits, Berichts- und Sorgfaltspflichten sind der Versuch, systemische Risiken beherrschbar zu machen.

Die Konsequenz ist in beiden Fällen dieselbe: Vertrauen allein reicht nicht aus. In der Cybersecurity haben sich Audits, Mindeststandards, Zertifizierungen und zunehmend auch regulatorische Vorgaben etabliert, um Risiken entlang der Lieferkette zu reduzieren. Vergleichbare Instrumente gewinnen auch in der Nachhaltigkeit an Bedeutung. Umwelt- und Energieaudits, Berichts- und Sorgfaltspflichten sind keine bürokratische Schikane, sondern der Versuch, systemische Risiken beherrschbar zu machen.

Entscheidend ist dabei der ganzheitliche Ansatz. Einzelmaßnahmen im eigenen Unternehmen greifen zu kurz, wenn sie nicht durch konsistente Anforderungen an Lieferanten und Dienstleister ergänzt werden. Wie in der IT-Sicherheit gilt auch hier: Die Widerstandsfähigkeit eines Systems ist nur so stark wie sein schwächstes Glied. Unternehmen, die Nachhaltigkeit entlang der gesamten Lieferkette denken und steuern, reduzieren nicht nur Risiken, sondern schaffen Transparenz, Vergleichbarkeit und langfristige Stabilität.

Fazit: Nachhaltigkeit neu denken – vom Moralthema zum Risikomanagement

Der Vergleich zwischen Cybersecurity und Nachhaltigkeit wirkt auf den ersten Blick ungewöhnlich. Betrachtet man jedoch die zugrunde liegenden Mechanismen, treten die Parallelen klar hervor. In beiden Fällen geht es um wachsende Risiken, deren Eintrittswahrscheinlichkeit steigt, deren Schäden erheblich sein können und deren Beherrschung frühzeitige, oft unbequeme Investitionen erfordert. In beiden Fällen zeigen sich dieselben Muster: Prävention ist teuer, ihr Nutzen bleibt im Erfolgsfall unsichtbar, und ihre Wirksamkeit wird häufig erst dann erkannt, wenn sie fehlt.

So wird deutlich, dass Nachhaltigkeit kein moralisches Zusatzthema und keine Frage individueller Haltung ist, sondern ein klassisches unternehmerisches Risikomanagement. Sie betrifft die langfristige Sicherung von Standorten, Lieferketten und Geschäftsmodellen. Gleichzeitig ist sie eine Führungs- und Governance-Frage. Wie bei der Cybersecurity entscheidet nicht die Existenz von Konzepten oder Maßnahmen über den Erfolg, sondern deren Priorisierung, Verankerung und die konsequente Umsetzung durch die Unternehmensführung.

Unternehmen handeln aus betriebswirtschaftlicher Vernunft.

Nachhaltigkeit ist damit vor allem eine Investition in Resilienz und Zukunftsfähigkeit. Sie schafft die Voraussetzungen dafür, auch unter veränderten klimatischen, regulatorischen und gesellschaftlichen Rahmenbedingungen handlungsfähig zu bleiben. Unternehmen, die diesen Zusammenhang erkennen, handeln nicht aus Idealismus, sondern aus betriebswirtschaftlicher Vernunft.

Mein abschließender Gedanke ist unbequem, aber naheliegend: Unternehmen, die Nachhaltigkeit heute so behandeln, wie Cybersecurity vor fünfzehn Jahren behandelt wurde, nämlich als Randthema, das man delegieren oder aussitzen kann, werden in einigen Jahren dieselben Fehler erklären müssen. Der Unterschied wird sein, dass die Schäden dann nicht mehr digital, sondern physisch, finanziell und strukturell sind.

Der erstes Schritt zur Lösung: Klimarisikoanalyse

Möchten Sie Ihr Unternehmen gegen die Folgen des Klimawandels absichern? Vereinbaren Sie jetzt einen unverbindlichen ersten Termin. Mit unserer Klimarisikoanalyse überprüfen wir die Zukunftsfähigkeit Ihres Unternehmens, individuell und bedarfsgerecht.

Kontakt

Matthias Winter

, , , , ,