94 Prozent halten digitale Resilienz für hochrelevant. Aber Relevanz ist keine Fähigkeit.

94 Prozent halten digitale Resilienz für hochrelevant. Aber Relevanz ist keine Fähigkeit.

94 Prozent halten digitale Resilienz für hochrelevant. Doch Relevanz ist keine Fähigkeit. Die Lücke klafft zwischen Bewusstsein und Umsetzung.

two bullet surveillance cameras attached on wall

Mai 4, 2026

Organisation

Vom IT-Thema zur Vorstandsfrage

Digitale Resilienz entwickelt sich im Finanzsektor von einer operativen IT-Aufgabe zu einem zentralen strategischen Steuerungsinstrument. Laut der Studie Digitale Resilienz im Finanzsektor von Lünendonk und Hossenfelder in Kooperation mit KPMG bewerten inzwischen 94 Prozent der Finanzdienstleister digitale Resilienz als sehr relevant. Hintergrund sind steigende geopolitische Risiken, zunehmende Cyberangriffe sowie die verschärften regulatorischen Anforderungen durch den Digital Operational Resilience Act.

Für die Untersuchung wurden 95 Finanzdienstleister, darunter Banken, Versicherungen, Asset-Manager und Zahlungsdienstleister, sowie 14 IKT-Drittanbieter befragt. Die Zahl von 94 Prozent ist eindrucksvoll, aber sie sagt zunächst nur etwas über das Bewusstsein aus, nicht über die Fähigkeit. Und genau hier klafft die Lücke, die die Studie sichtbar macht.

Relevanz ist keine Fähigkeit

Die zentrale Erkenntnis der Studie ist, dass zwischen dem Bewusstsein für die Bedeutung der Resilienz und der tatsächlichen Umsetzung eine erhebliche Lücke besteht. Fast alle Häuser halten Resilienz für wichtig, aber das bedeutet nicht, dass sie auch resilient sind. Relevanz zu erkennen ist der erste Schritt, aber er führt nicht von selbst zur Fähigkeit, im Ernstfall widerstandsfähig zu sein.

Diese Lücke ist gefährlich, weil sie eine trügerische Sicherheit erzeugt. Ein Haus, das die Resilienz für hochrelevant hält und dies in Strategiepapieren festhält, fühlt sich vorbereitet, ist es aber möglicherweise nicht. Erst wenn ein realer Vorfall eintritt, zeigt sich, ob das Bewusstsein in tatsächliche Widerstandsfähigkeit übersetzt wurde oder ob es bei der Absichtserklärung geblieben ist.

Der Weg von der Relevanz zur Fähigkeit führt über konkrete Arbeit: über die Identifikation der kritischen Prozesse, über die Absicherung der Systeme, über erprobte Notfallpläne und über die regelmäßige Übung des Ernstfalls. Diese Arbeit ist mühsam und weniger sichtbar als die strategische Erklärung, aber sie ist es, die über die tatsächliche Resilienz entscheidet. Wer die Lücke schließen will, muss diese Arbeit leisten, statt sich auf das Bewusstsein zu verlassen.

Die Verantwortung liegt zu oft allein in der IT

Ein wichtiger Befund der Studie betrifft die Verortung der Verantwortung. Sie wird noch zu oft einseitig in der IT-Abteilung gesehen, was eine umfassende Risikobetrachtung verhindert. Solange Resilienz als reines IT-Thema behandelt wird, bleibt sie auf die technische Ebene beschränkt und erreicht nicht die strategische Steuerung, in die sie gehört.

Das ist ein grundlegendes Missverständnis. Digitale Resilienz betrifft nicht nur die Technik, sondern das gesamte Geschäft. Wenn ein kritischer Prozess ausfällt, ist nicht die IT betroffen, sondern das Geschäft, das auf diesem Prozess beruht. Die Frage, welche Prozesse wie lange ausfallen dürfen, ohne dass das Geschäft Schaden nimmt, ist eine geschäftliche, keine technische Frage. Sie gehört deshalb in die Verantwortung der Geschäftsleitung, nicht allein in die IT.

Der Digital Operational Resilience Act trägt dieser Erkenntnis Rechnung, indem er die Resilienz zur Sache der Leitungsebene macht. Die regulatorische Anforderung zwingt die Häuser, die Resilienz aus der IT herauszuheben und auf die strategische Ebene zu bringen. Wer das nicht von sich aus tut, wird durch die Regulierung dazu gebracht, und es ist klüger, die Verantwortung aktiv zu übernehmen, als sie sich verordnen zu lassen.

Die Drittanbieter als strategischer Faktor

Ein weiterer Schwerpunkt der Studie sind die IKT-Drittanbieter. Sie sind keine reinen Lieferanten mehr, sondern strategische Partner für Geschäft und IT, deren eigenes Resilienz-Niveau direkten Einfluss auf die Stabilität des Finanzsystems hat. Wenn ein zentraler Dienstleister ausfällt, fällt mit ihm ein Teil der Häuser aus, die von ihm abhängen. Die Resilienz eines Hauses hängt damit nicht nur an ihm selbst, sondern an seinen Dienstleistern.

Die Studie zeigt, dass viele Häuser das Risiko übermäßiger Abhängigkeit von ihren IKT-Anbietern erkennen, dass die Steuerung dieser kritischen Partner aber oft hinter den Anforderungen zurückbleibt. Hier wiederholt sich das Muster der Lücke: Das Risiko ist erkannt, aber die Steuerung folgt nicht. Ein Haus, das von wenigen großen Dienstleistern abhängt, ohne diese Abhängigkeit aktiv zu steuern, ist verwundbar, auch wenn es das Risiko kennt.

Das ungenutzte Potenzial der KI

Interessant ist schließlich der Befund zur Rolle der KI. Acht von zehn Befragten erwarten, dass KI bis 2028 eine entscheidende Rolle bei der Umsetzung regulatorischer Anforderungen spielen wird. Doch die operative Nutzung bleibt deutlich hinter dieser Erwartung zurück: Nur ein kleiner Teil plant gezielte KI-Investitionen, und nur ein knappes Viertel setzt KI bereits intensiv für das Risikomanagement ein.

Hier liegt eine weitere Lücke, diesmal zwischen Erwartung und Handeln. Angesichts des Fachkräftemangels und der steigenden Reporting-Aufwände wird das ungenutzte Potenzial der KI zur strategischen Schwachstelle. Ein Haus, das die Bedeutung der KI für die Resilienz erkennt, sie aber nicht einsetzt, verschenkt genau das Werkzeug, das ihm helfen könnte, die Lücke zwischen Bewusstsein und Fähigkeit zu schließen.

Warum die Lücke gerade jetzt gefährlich ist

Die Lücke zwischen Bewusstsein und Fähigkeit ist nicht neu, aber sie wird gerade jetzt gefährlich, weil mehrere Entwicklungen zusammentreffen. Die geopolitischen Spannungen erhöhen das Risiko gezielter Angriffe auf kritische Infrastrukturen, zu denen der Finanzsektor zählt. Die Cyberangriffe werden zugleich raffinierter und häufiger. Und die regulatorischen Anforderungen verschärfen sich, allen voran durch den Digital Operational Resilience Act, der die Resilienz zur prüfbaren Pflicht macht.

In dieser Lage genügt es nicht mehr, die Resilienz für wichtig zu halten. Wer angegriffen wird, dem hilft das Bewusstsein nicht, sondern nur die tatsächliche Widerstandsfähigkeit. Und wer geprüft wird, dem hilft die Absichtserklärung nicht, sondern nur der Nachweis funktionierender Vorkehrungen. Die Zeit, in der man die Lücke ignorieren konnte, weil nichts passierte und niemand prüfte, geht zu Ende.

Die Anatomie echter Resilienz

Echte Resilienz besteht aus mehreren Schichten, die zusammenwirken müssen. Die erste Schicht ist die Kenntnis der eigenen kritischen Prozesse: Welche Prozesse sind so wichtig, dass ihr Ausfall das Geschäft bedroht, und wie lange dürfen sie höchstens ausfallen? Ohne diese Kenntnis lässt sich die Resilienz nicht gezielt aufbauen, weil unklar bleibt, was geschützt werden muss.

Die zweite Schicht ist die Absicherung dieser Prozesse gegen die wahrscheinlichen Bedrohungen, von Cyberangriffen über Ausfälle von Dienstleistern bis zu internen Störungen. Die dritte Schicht sind die Notfallpläne, die festlegen, was im Ernstfall zu tun ist, wer entscheidet und wie der Betrieb aufrechterhalten oder wiederhergestellt wird. Und die vierte Schicht ist die regelmäßige Übung dieser Pläne, denn ein Plan, der nie geübt wurde, versagt im Ernstfall mit hoher Wahrscheinlichkeit.

Diese vier Schichten lassen sich nicht durch ein Strategiepapier ersetzen. Sie verlangen konkrete, kontinuierliche Arbeit, die in der Organisation verankert sein muss. Genau diese Arbeit ist es, die viele Häuser noch vor sich haben, obwohl sie die Resilienz längst für hochrelevant erklärt haben. Die 94 Prozent beziehen sich auf das Bewusstsein, nicht auf die geleistete Arbeit, und darin liegt die ganze Spannung des Befunds.

Die Rolle der Leitungsebene

Damit die Arbeit geleistet wird, muss die Leitungsebene sie zu ihrer Sache machen. Solange die Resilienz in der IT verbleibt, fehlt ihr die Durchsetzungskraft und die Ressourcenausstattung, die sie braucht. Die Leitungsebene entscheidet über die Prioritäten und die Mittel, und nur wenn sie die Resilienz priorisiert, bekommt diese die Aufmerksamkeit, die ihrer erklärten Relevanz entspricht.

Das bedeutet konkret, dass die Resilienz auf die Tagesordnung der Leitungsgremien gehört, dass klare Verantwortlichkeiten auf hoher Ebene definiert werden und dass die Fortschritte regelmäßig berichtet und hinterfragt werden. Erst diese Verankerung auf der Leitungsebene überführt die erklärte Relevanz in tatsächliche Priorität und damit in die Arbeit, die echte Resilienz schafft.

Was zu tun ist

Aus den Befunden ergibt sich eine klare Agenda. Erstens muss die Resilienz aus der IT herausgehoben und zur Vorstandsfrage gemacht werden, mit klaren Verantwortlichkeiten auf der Leitungsebene. Zweitens muss die Steuerung der IKT-Drittanbieter den erkannten Risiken angepasst werden, statt sie als bloße Lieferanten zu behandeln. Drittens sollte das Potenzial der KI für das Risiko- und Resilienzmanagement aktiv erschlossen werden, statt es nur zu erwarten.

Mehr zum Thema: Gefühltes Vertrauen ist keine Vertrauenswürdigkeit. Bei 89 Prozent der Banken klafft genau hier die Lücke. und KI-Schulung für Mitarbeiter: Was wirklich funktioniert und was nicht..

Der gemeinsame Nenner all dieser Punkte ist, die Lücke zwischen Bewusstsein und Umsetzung zu schließen. Die Relevanz ist erkannt, das hat die Studie eindrucksvoll gezeigt. Jetzt geht es darum, aus der Relevanz eine Fähigkeit zu machen. Wir helfen Ihnen, Ihre digitale Resilienz von der Absichtserklärung in eine belastbare, geübte Fähigkeit zu überführen, von der Verantwortung auf Leitungsebene bis zur Steuerung Ihrer Dienstleister. Aus der Branche, für die Branche. Beginnen Sie mit einem Workshop.

Kurz ins Gespräch kommen

Kurz ins Gespräch kommen

Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.