2026 markiert einen Wendepunkt für Governance, Risk und Compliance in Unternehmen. Was lange als reaktive Kontrollfunktion verstanden wurde, entwickelt sich zunehmend zu einem strategischen Enabler von Resilienz, Innovation und nachhaltiger Unternehmenssteuerung.

Die Welt um Organisationen herum wird komplexer: neue regulatorische Anforderungen, digitale Transformation, globale Unsicherheiten und ein rasanter technologischer Wandel treiben GRC-Funktionen in neue Rollen und Verantwortlichkeiten.

Dieser Beitrag fasst die zentralen Trends zusammen, die 2026 die Ausrichtung von GRC definieren werden und zeigt auf, wie Unternehmen sich strategisch vorbereiten muessen, um nicht nur regelkonform zu bleiben, sondern echte Wettbewerbsvorteile aus GRC zu generieren.

Das wichtigste in Kürze

• 2026 wird GRC nicht mehr nur als Kontrollfunktion gesehen, sondern als strategischer Treiber für Resilienz, Innovation und Wertschaffung.
• KI-Governance und Automatisierung werden zentrale Elemente werden, um Risiken frühzeitig zu erkennen und sogar vorherzusagen.
• Cyber-Sicherheit und operative Resilienz entwickeln sich zu Kernthemen auf Vorstandsebene.
• Die Integration von ESG-Faktoren und Lieferkettenresilienz wird Pflichtteil jeder GRC-Strategie.
• Regulatorische Komplexität verlangt integrierte Compliance-Systeme statt punktueller Lösungen.
• Datenqualität, Ethik, Kultur und kontinuierliche Compliance werden zu Wettbewerbsfaktoren.
• Organisationen muessen predictive Risikostrategien einsetzen, nicht nur reaktiv handeln.
• Fortgeschrittene Technologien wie RegTech, autonome GRC-Workflows und Echtzeit-Monitoring stehen im Fokus.

Warum 2026 ein Schluesseljahr fuer GRC ist

In den letzten Jahren haben sich regulatorische Anforderungen und globale Risiken stark ausgeweitet: von Nachhaltigkeitsberichterstattung über AI-Regulierung bis hin zu Cyber- und Lieferkettenrisiken. Gleichzeitig beschleunigt sich die digitale Transformation, und viele Unternehmen nutzen zunehmend KI und Automatisierung in Kernprozessen.

Diese Dynamik zwingt Organisationen dazu, GRC nicht mehr als isolierte Infrastrukturfunktion zu betrachten, sondern als Teil der strategischen Steuerung und Entscheidungsfindung.

Die wichtigsten GRC-Trends fuer 2026

1. Governance wird strategisch, nicht nur regelgetrieben

Governance entwickelt sich von der reinen Überwachung regelkonformer Prozesse hin zu einem Rahmenwerk, das Transparenz, Verantwortlichkeit und Entscheidungsqualität fördert. GRC wird zunehmend in der Lage sein, Risikoantworten aktiv zu gestalten, statt nur Risiken zu dokumentieren. Boards verlangen klare, handlungsorientierte Risiko-Reports, nicht nur Daten für das Archiv.

2. AI-Governance und intelligente Automatisierung

Künstliche Intelligenz wird 2026 tief in GRC-Prozesse integriert sein. Generative und agentische KI-Systeme werden nicht nur Daten aufbereiten, sondern Risiken identifizieren, Compliance-Tests automatisieren, Szenarien simulieren und Governance-Lücken aufdecken. Unternehmen werden Governance-Rahmen brauchen, die diese Systeme steuern, kontrollieren und auditierbar machen.

3. Cyber-Risiken als Governance- und Resilienzthema

Cyber-Sicherheit ist kein technisches Spezialgebiet mehr, sondern ein zentrales Governance-Risiko. Cyber-Risiken sind heute verflochten mit Lieferketten, Third-Party-Abhängigkeiten und operativer Resilienz. Organisationen muessen ein integriertes Risikomanagement aufbauen, das Cyber, Betrieb und Compliance vereint.

4. Integrierte, datengetriebene GRC-Plattformen

Statt isolierter Abteilungen und Insellösungen werden integrierte GRC-Plattformen zum Standard. Sie vereinen Risiko, Compliance, Audit, Datenqualität, RegTech und Reporting in einem kohärenten System. Datenqualität wird zur Grundlage für jedes GRC-Programm, weil KI und Automatisierung nur dann valide Ergebnisse liefern, wenn die Datenbasis robust ist.

5. ESG und Lieferkettenresilienz

Nachhaltigkeit, soziale Verantwortung und Governance-Aspekte wie Menschenrechte in Lieferketten sind nicht mehr optionale Add-ons, sondern regulatorisch und stakeholderseitig verbindliche Anforderungen. Unternehmen muessen ESG-Risiken in ihre Governance- und Risikostrategien einbetten und gleichzeitig die Resilienz entlang der Lieferkette verbessern.

6. Regulatorische Komplexität und globale Anforderungen

Die regulatorische Landschaft wird immer komplexer, mit uebereinanderliegenden Anforderungen aus verschiedenen Regionen und Branchen. Unternehmen muessen kontinuierliche Compliance-Ueberwachung statt periodischer Ueberpruefungen etablieren, um stets nachweisen zu koennen, dass sie aktuellen Vorschriften entsprechen. Dies erfordert automatisierte Mechanismen, Echtzeit-Auditierungsfähigkeiten und flexible Compliance-Modelle.

7. Ethik, Kultur und menschzentrierte Governance

Auch wenn Technologie dominierende Themen sind, bleibt der Faktor Mensch entscheidend. Eine risikobewusste Kultur, in der ethisches Verhalten, Verantwortlichkeit und Transparenz alltäglich geübt werden, wird zu einem entscheidenden Wettbewerbsfaktor. Governance muss ethische Richtlinien operationalisieren und in Entscheidungsprozesse integrieren.

8. Predictive Risikostrategien und Scenario Planning

Anstatt Risiken nur zu identifizieren, muessen Organisationen diese antizipieren und ihre Reaktionen simulieren. Advanced Analytics, Machine Learning und Risikoexperimente helfen, Risiken vorherzusagen, Priorisierungen vorzunehmen und resiliente Strategien zu entwickeln.

Wie Unternehmen sich vorbereiten muessen

Um von diesen Trends zu profitieren, muessen Unternehmen mehrere strategische Schritte gehen:

• GRC neu positionieren als strategische Funktion, nicht nur als Compliance-Taskforce.
• KI-Governance-Rahmen entwickeln inklusive Richtlinien, Kontrollmechanismen und Auditing.
• Cyber-Risiken ganzheitlich integrieren in Risikomanagement und Business Continuity.
• Investieren in integrierte GRC-Plattformen mit Echtzeit-Monitoring.
• ESG und Lieferkettenresilienz in GRC-Prozesse einbeziehen.
• Eine risikobewusste, ethisch orientierte Kultur fördern.
• Datenqualität und Modellgovernance als Grundpfeiler etablieren.
• Predictive Risk Analytics und Szenarioplanung operationalisieren.

Fazit

2026 wird ein Jahr, in dem Governance, Risk und Compliance nicht mehr nur reaktive Pflichtprogramme sind, sondern aktive Treiber für Unternehmenserfolg. Organisationen, die ihre GRC-Funktion strategisch ausrichten, Technologie verantwortungsvoll einbinden und gleichzeitig Governance, Risiko und Compliance als zusammenhängendes System begreifen, werden langfristig robuster, resilienter und vertrauenswürdiger sein.

FAQ

Was bedeutet GRC im Jahr 2026?
GRC ist nicht mehr nur ein Instrument der Kontrolle, sondern eine strategische Funktion, die Risiko, Compliance, Ethik und Resilienz verbindet.

Warum ist AI-Governance so wichtig geworden?
Weil KI-Systeme heute nicht nur Daten analysieren, sondern Entscheidungen beeinflussen und Risiken automatisch erkennen oder sogar auslösen können.

Wie hängt Cyber-Risiko mit GRC zusammen?
Cyber-Risiken haben direkte Auswirkungen auf Governance-Verantwortung, Resilienz und Compliance, weil sie operativen Betrieb und regulatorische Anforderungen unmittelbar berühren.

Was bedeutet integrierte GRC-Plattform?
Eine Plattform, die Daten, Risikoerkenntnisse, Compliance-Kontrollen, Audit und Reporting vereint und damit Silos auflöst.

Wie kann ein Unternehmen sich auf diese Trends vorbereiten?
Durch strategische Planung, datengetriebenes Risikomanagement, Investitionen in moderne GRC-Systeme und eine Unternehmenskultur, die Risiko und Ethik in Entscheidungen integriert.

Die Debatte um künstliche Intelligenz hat mit dem viralen Aufstieg von OpenClaw eine neue Dimension erreicht. OpenClaw ist ein quelloffener KI-Agent, der weit über klassische Chat-Funktionen hinausgeht und in die Lage versetzt wird, auf eigenen Prozessinstanzen eigenständig Aktionen auszuführen. Anders als traditionelle Assistenz-KI beantwortet OpenClaw nicht nur Anfragen, sondern kann verknüpfte Aufgaben tatsächlich automatisiert ausführen – von der Bearbeitung von E-Mails über Terminmanagement bis hin zur Steuerung von Anwendungen. Diese neue „agentic AI“ verändert bereits heute die Art, wie KI in digitalen Arbeitsumgebungen genutzt wird, wirft aber gleichzeitig erhebliche Fragen rund um Governance, Risiko und Compliance (GRC) auf.

Das wichtigste in Kürze

• Was ist OpenClaw?
  OpenClaw ist ein Open-Source-KI-Agent, der autonome Aktionen auf Systemen ausführen kann, wenn ihm entsprechende Zugriffsrechte eingeräumt werden. Es kombiniert KI-Modelle mit direktem Zugriff auf lokale Ressourcen, Messaging-Schnittstellen und externe Dienste.
• Neuartige Risiken:
  Durch seine Fähigkeit, Aufgaben ohne kontinuierliche menschliche Kontrolle auszuführen, kann OpenClaw sensible Daten verarbeiten, Aktionen auslösen und auf IT-Infrastrukturen zugreifen. Das bringt neue Sicherheits-, Datenschutz- und Haftungsrisiken mit sich.
• Compliance-Fragestellungen:
  Unternehmen sind rechtlich für das Verhalten ihrer KI-Agenten verantwortlich. Werden durch autonome Agenten gesetzliche Vorgaben verletzt, haftet das Unternehmen dafür, als hätten Mitarbeitende die Handlung vorgenommen.
• Governance-Herausforderung:
  Klassische Governance-Modelle greifen häufig nicht mehr, wenn KI nicht nur Empfehlungen generiert, sondern selbst handelt. Organisationen brauchen neue Rahmenwerke zur Kontrolle und Überwachung von autonomen KI-Systemen.
• Handlungsempfehlung:
  Vor der produktiven Nutzung müssen klare Richtlinien, Risikoanalysen, Berechtigungsmodelle und Kontrollmechanismen etabliert werden, um Missbrauch, Datenschutzverletzungen oder unerwünschte Automatisierungen zu verhindern.

Was ist OpenClaw und warum ist es relevant?

OpenClaw ist ein Framework für die Erstellung sogenannter agentic KI-Assistenten – also KI-Systeme, die nicht nur Antworten liefern, sondern eigenständig Handlungen ausführen können. Klassische KI-Modelle beantworten Anfragen oder generieren Inhalte, bleiben jedoch passiv. OpenClaw hingegen kann durch die Kombination von KI-Logik mit direkten Systemzugriffen z. B. über Messaging-Apps Aufgaben ausführen, Daten verarbeiten oder externe Dienste ansteuern.

Was diesen Ansatz besonders relevant macht, ist seine Autonomie: OpenClaw kann Ziele verfolgen, Arbeitsprozesse automatisch steuern und sich an veränderte Kontexte anpassen, ohne kontinuierliche menschliche Steuerung.

Governance-Perspektive: Steuerungsrahmen für autonome KI

Veränderte Governance-Anforderungen

Traditionelle Governance-Modelle setzen darauf, dass Technologie von Menschen kontrolliert wird. Bei OpenClaw-artigen Systemen gilt dies nur noch bedingt. Wenn KI selbst agiert, entstehen Fragen wie:

• Wer entscheidet über die Berechtigungen, die ein Agent erhält?
• Welche Risiken sind akzeptabel bei autonomen Ausführungen?
• Wie stellen Verantwortliche sicher, dass Handlungen nachvollziehbar und auditierbar sind?

Solche Fragen zeigen: Governance muss über klassische IT-Kontrollen hinausgehen und autonome Verhaltensweisen einschließen.

Rollen und Verantwortlichkeiten

Ein wirksames Governance-Framework sollte klar definieren:

• Verantwortliche Personen und Gremien für die Freigabe und Überwachung autonomen KI-Handelns
• Genehmigungsprozesse für Berechtigungen und Zugriffsrechte der Agenten
• Audit- und Revisionsmechanismen, um Nachrichten, Datenzugriffe und Aktionen nachzuvollziehen

Ohne solche Strukturen droht eine „Governance-Lücke“, bei der Agenten ungeprüft operieren und Unternehmensführung nur noch reaktiv agiert.

Risikomanagement: Sicherheit, Betrieb und Datenrisiken

Der Einsatz von OpenClaw bringt spezifische Risiken mit sich:

Sicherheit und Cyberrisiko

Autonome KI-Agenten können auf lokale Dateien, Kommunikationskanäle und externe APIs zugreifen. Das erweitert die Angriffsfläche erheblich, weil:

• Angreifer Schadcode als „Skills“ tarnen und Implantate einschleusen können
• Agenten Rechte erlangen, die systemübergreifende Aktionen erlauben
• Unübersichtliche Berechtigungen Datenlecks und Missbrauch erleichtern

Solche Risiken erfordern eine gründliche Sicherheitsanalyse, Netzwerksegmentierung und Monitoring der KI-Aktivitäten.

Datenschutz und Privatsphäre

Weil autonome Agenten Daten lesen, verarbeiten und weitergeben können, müssen Unternehmen prüfen, ob diese Aktivitäten mit Datenschutzgesetzen konform sind. Dazu gehört:

• Rechtmäßige Datenverarbeitung und Zweckbindung
• Kontrolle über sensible Informationen
• Transparente Protokollierung aller Zugriffe

Ein Verstoß kann zu erheblichen rechtlichen und reputativen Folgen führen.

Compliance: Rechtliche und regulatorische Aspekte

Rechtliche Verantwortlichkeit

Wenn ein KI-Agent autonom handelt, gelten seine Aktionen rechtlich als unternehmensseitig ausgeführt. Unternehmen stehen daher in der Pflicht:

• gesetzliche Rahmenbedingungen zu beachten
• Haftungsfragen zu klären
• Compliance-Regelwerke auf autonome KI-Systeme anzupassen

Das betrifft beispielsweise Datenschutz-, Handels- und Wettbewerbsrecht.

Interne Richtlinien und Kontrollen

Compliance erfordert klare interne Vorgaben darüber:

• welche Systeme mit autonomen Agenten interagieren dürfen
• welche Aufgaben automatisiert werden dürfen
• wie Berechtigungen und Zugriffe dokumentiert werden

Ohne klare Vorgaben steigt das Risiko, dass Agenten außerhalb genehmigter Bereiche agieren.

Vorbereitung und Best Practices für den Einsatz

Um OpenClaw-artige Systeme verantwortungsvoll zu nutzen, sollten Unternehmen:

1. Governance-Framework anpassen: KI-Policies, Genehmigungsprozesse und Verantwortlichkeiten müssen KI-autonome Funktionen einschließen.
2. Risikoanalyse durchführen: Sicherheits- und Datenschutzrisiken identifizieren und absichern, bevor KI-Agenten eingesetzt werden.
3. Zugriffsrechte begrenzen: Prinzip der minimalen Rechtevergabe und strenge Berechtigungsmodelle gelten besonders für autonome Aktionen.
4. Monitoring und Logging einführen: Um nachvollziehen zu können, welche Aktionen KI-Agenten ausführen.
5. Schulungen und Change-Management: Mitarbeitende und Führungskräfte müssen verstehen, wie autonome KI funktioniert und welche Verantwortung damit verbunden ist.

Fazit

OpenClaw ist ein frühes Beispiel für eine neue Generation von KI-Agenten, die nicht nur informieren, sondern eigenständig handeln. Für Unternehmen bedeutet dies einen Paradigmenwechsel: Vertraute Governance- und Compliance-Modelle reichen nicht mehr aus. Organisationen müssen bestehende Kontrollmechanismen überdenken, neue Richtlinien für autonome KI schaffen und Risiken aktiv steuern. Gleichzeitig eröffnet diese Technologie Effizienzgewinne und neue Automatisierungsmöglichkeiten – aber nur, wenn sie mit einem verantwortungsvollen GRC-Rahmen kombiniert wird.

FAQ

1. Was unterscheidet OpenClaw von klassischen KI-Tools?
OpenClaw kann nicht nur Antworten generieren, sondern autonom Aufgaben ausführen, z. B. E-Mails bearbeiten, Anwendungen steuern oder Aktionen initiieren, wenn entsprechende Rechte erteilt werden.

2. Warum ist Governance hier so wichtig?
Weil autonome Aktionen nicht nur Empfehlungen sind, sondern echtes Handeln darstellen. Ohne klare Steuerungsprozesse riskieren Unternehmen unbeabsichtigte, nicht nachvollziehbare Resultate.

3. Welche Risiken bringen autonome KI-Agenten mit sich?
Sicherheitsrisiken, Datenschutzverletzungen, Compliance-Verstöße und juristische Haftung können entstehen, wenn Agenten unbeaufsichtigt oder zu großzügig mit Berechtigungen ausgestattet werden.

4. Wie kann ein Unternehmen sicher starten?
Mit einem klaren Governance-Rahmen, Risikoanalysen, begrenzten Berechtigungen und kontinuierlichem Monitoring.

5. Sind autonome KI-Agenten für jeden Unternehmensteil geeignet?
Nicht unbedingt. Bereiche mit hohen Compliance-Anforderungen oder sensiblen Daten sollten besonders vorsichtig sein und den Einsatz sorgfältig abwägen.

Die Explosion generativer KI verändert nicht nur, wie Unternehmen Daten nutzen – sie stellt grundlegende Anforderungen an Risiko- und Compliance-Strategien neu. Gartner prognostiziert, dass bis 2028 etwa 50 % aller Organisationen Zero-Trust-Daten-Governance-Strategien implementieren werden, um mit dem massiven Anstieg an nicht verifizierten, KI-generierten Daten umzugehen und Risiken wie das sogenannte „AI Model Collapse“ zu adressieren.

Dieser Beitrag erklärt, wie es dazu kommt, was Zero Trust Data Governance bedeutet, welche Risiken Unternehmen drohen – und wie sie rechtzeitig handeln sollten.

Das Wichtigste in Kürze

• Gartner bestätigt: Bis 2028 werden 50 % der Organisationen Zero-Trust-Data-Governance umsetzen, weil nicht verifizierte KI-Daten Risiken für Compliance, Modellqualität und Entscheidungsprozesse schaffen.
• AI Model Collapse: KI-Modelle können schlechter und unzuverlässiger werden, wenn sie wiederholt auf eigenen, ungeprüften Daten trainiert werden.
• Zero-Trust-Ansatz: Daten dürfen nicht mehr implizit vertraut werden – Authentifizierung, Verifizierung und aktives Metadaten-Management sind zentral.
• Konkrete Maßnahmen: Rollen schaffen (z. B. AI Governance Lead), Teams cross-funktional ausrichten, bestehende Governance erweitern und Tools für Metadaten-Tracking einsetzen.

Warum jetzt? Die Daten- und KI-Revolution

Unternehmen investieren massiv in generative KI. Ein Großteil der Organisationen plant, die Investitionen in generative KI weiter zu erhöhen. Dieser Trend bringt zwei zentrale Herausforderungen mit sich.

Unverified AI-Generated Data wächst rasant

KI-Modelle werden zunehmend mit Daten aus Quellen trainiert, die selbst bereits Inhalte generiert haben – etwa durch frühere KI-Modelle oder unklassifizierte Datenströme. Wenn ein Modell mit immer mehr KI-generierten Inhalten trainiert wird, die nicht verifiziert sind, droht ein Modell-Collapse.

Large Language Models könnten zunehmend Fehler, Verzerrungen und Ungenauigkeiten verstärken, weil sie im Kern auf ihren eigenen Ausgaben aufbauen. Die Qualität sinkt schleichend, während das Vertrauen in die Ergebnisse trügerisch hoch bleibt.

Was ist Zero Trust Data Governance?

Traditionelle Daten-Governance geht oft davon aus, dass Daten grundsätzlich vertrauenswürdig sind, solange sie intern vorliegen oder angeblich von Menschen erstellt wurden. Diese Annahme ist im KI-Zeitalter nicht mehr haltbar.

Zero Trust Data Governance bedeutet daher:

• Keine implizite Vertrauensannahme gegenüber Datenquellen
• Jede Datenquelle wird geprüft, authentifiziert und verifiziert
• Herkunft, Qualität und Nutzungszweck werden über Metadaten transparent gemacht
• Daten werden kontinuierlich überwacht und nicht nur einmalig freigegeben

Daten gelten erst dann als vertrauenswürdig, wenn sie diese Prüfmechanismen durchlaufen haben.

Risiken ohne Zero Trust Data Governance

Unternehmen, die weiterhin Daten ohne strikte Governance-Kontrollen nutzen, gehen erhebliche Risiken ein.

Modell-Collapse und Qualitätsverlust

KI-Modelle können durch rekursive Trainingsdaten an Präzision verlieren. Fehler und Bias werden nicht reduziert, sondern verstärkt.

Compliance- und Regulierungsrisiken

Mit zunehmender Regulierung von KI und Datenherkunft steigt das Risiko von Audit-Feststellungen, Sanktionen und rechtlichen Konsequenzen, wenn Herkunft und Qualität von Daten nicht nachvollziehbar sind.

Vertrauensverlust im Business

Strategische Entscheidungen auf Basis unzuverlässiger Daten führen zu Fehlentscheidungen, finanziellen Verlusten und Reputationsschäden.

Wie Unternehmen jetzt reagieren sollten

1. Eine klare Verantwortung schaffen

Unternehmen sollten eine dedizierte Rolle etablieren, etwa einen AI Governance Lead, der Daten-, KI-, Risiko- und Compliance-Themen zusammenführt.

2. Cross-funktionale Zusammenarbeit etablieren

Data & Analytics, IT-Security, Compliance, Risk Management und Fachbereiche müssen gemeinsam an Governance-Modellen arbeiten.

3. Bestehende Governance-Frameworks erweitern

Vorhandene Daten-Governance-Modelle sollten um Zero-Trust-Prinzipien, Sicherheitsmechanismen, Metadaten-Management und ethische Leitlinien ergänzt werden.

4. Aktives Metadaten-Management implementieren

Metadaten werden zum zentralen Steuerungsinstrument. Unternehmen benötigen Lösungen, die Herkunft, Qualität, Nutzungsrechte und Risiken automatisiert erfassen und bewerten.

5. In Skills und Technologie investieren

Zero Trust Data Governance erfordert qualifizierte Data Stewards, Governance-Experten und geeignete technische Plattformen, um Governance nicht nur zu definieren, sondern operativ umzusetzen.

Fazit

Die Verbreitung generativer KI verändert nicht nur die Menge der Daten, sondern vor allem die Frage, welchen Daten noch vertraut werden kann. Gartner macht deutlich: Ohne Zero Trust Data Governance setzen sich Unternehmen erheblichen Risiken aus – von Modell-Collapse über Compliance-Lücken bis hin zu strategischen Fehlentscheidungen.

2026 ist Zero Trust Data Governance kein optionales Zukunftsthema mehr, sondern eine zentrale Voraussetzung für vertrauenswürdige KI, belastbare Entscheidungen und nachhaltige Governance-Strukturen.

Häufige Fragen (FAQ)

Was ist Zero Trust Data Governance?
Zero Trust Data Governance bedeutet, dass Daten nicht automatisch als vertrauenswürdig gelten. Jede Datenquelle muss geprüft, verifiziert und kontinuierlich überwacht werden.

Was versteht man unter AI Model Collapse?
AI Model Collapse beschreibt das Risiko, dass KI-Modelle an Qualität verlieren, wenn sie wiederholt auf eigenen, ungeprüften KI-Daten trainiert werden.

Warum ist das ein GRC-Thema?
Weil Datenqualität, Herkunft und Verlässlichkeit direkte Auswirkungen auf Risiko-Management, Compliance, Audit-Fähigkeit und Unternehmensentscheidungen haben.

Wann wird Zero Trust Data Governance relevant?
Die breite Einführung wird bereits vor 2028 erwartet. Für viele Unternehmen ist 2026 der Zeitpunkt, um Governance-Strukturen strategisch neu auszurichten.

Unternehmen bewegen sich heute in einem Umfeld, das von Unsicherheit, Geschwindigkeit und zunehmender Komplexität geprägt ist. Strategische Entscheidungen, operative Umsetzung und finanzielle Performance lassen sich nicht mehr getrennt von Risiken betrachten. Genau hier setzt Enterprise Risk Management (ERM) an. Ein modernes ERM-Framework verbindet Strategie, Risiken und Unternehmensleistung zu einem integrierten Steuerungsansatz.

Dieser Artikel zeigt, wie ein wirksames ERM-Framework aufgebaut wird, warum die Verknüpfung mit der Strategie entscheidend ist und welche zentrale Rolle der internationale Standard ISO 31000 dabei spielt.

Das wichtigste in Kürze

• ERM ist ein ganzheitlicher Ansatz zur Steuerung von Chancen und Risiken auf Unternehmensebene
• Ein wirksames ERM-Framework verbindet Strategie, Risiko und Performance systematisch
• Risiken müssen entlang strategischer Ziele identifiziert und bewertet werden
• Risikoappetit und Risikotoleranzen sind zentrale Steuerungselemente
• ISO 31000 liefert den international anerkannten Bezugsrahmen für professionelles Risikomanagement
• ERM unterstützt bessere Entscheidungen, Resilienz und nachhaltigen Unternehmenserfolg

Was ist Enterprise Risk Management (ERM)?

Enterprise Risk Management beschreibt einen unternehmensweiten, strukturierten Ansatz zur Identifikation, Bewertung, Steuerung und Überwachung von Risiken und Chancen. Im Gegensatz zum traditionellen Risikomanagement, das oft isoliert in einzelnen Funktionen stattfindet, betrachtet ERM das Gesamtrisikoportfolio eines Unternehmens.

Ziel ist es nicht, Risiken zu vermeiden, sondern fundierte Entscheidungen zu ermöglichen, indem Transparenz über Unsicherheiten geschaffen wird. Ein reifes ERM-System unterstützt Führungskräfte dabei, Risiken bewusst einzugehen, wenn sie im Einklang mit der Strategie und dem Risikoappetit stehen.

Warum ERM Strategie, Risiko und Performance verbinden muss

Viele ERM-Initiativen scheitern daran, dass Risiken losgelöst von der Unternehmensstrategie betrachtet werden. Risiken sind jedoch immer eine Folge strategischer Entscheidungen. Ohne diese Verbindung bleibt Risikomanagement eine reine Compliance- oder Reporting-Übung.

Ein integrierter ERM-Ansatz stellt sicher, dass:

• strategische Ziele die Grundlage der Risikoidentifikation bilden
• Risiken priorisiert werden, die den grössten Einfluss auf die Zielerreichung haben
• Performance-Kennzahlen im Kontext der zugrunde liegenden Risiken interpretiert werden
• Management und Aufsichtsorgane bessere, ausgewogenere Entscheidungen treffen

Die Kernbestandteile eines wirksamen ERM-Frameworks

1. Governance und Verantwortlichkeiten

Ein funktionierendes ERM beginnt mit klaren Rollen und Verantwortlichkeiten. Vorstand und Geschäftsführung tragen die Gesamtverantwortung, während Aufsichtsorgane die Wirksamkeit überwachen. Auf operativer Ebene sind Risikoowner für einzelne Risiken zuständig.

Wesentlich ist, dass ERM nicht als Aufgabe einer einzelnen Abteilung verstanden wird, sondern als Führungsinstrument.

2. Verknüpfung von ERM und Unternehmensstrategie

Der Aufbau eines ERM-Frameworks sollte mit der Strategie beginnen. Zentrale Fragen sind:

• Welche strategischen Ziele verfolgt das Unternehmen?
• Welche Annahmen liegen diesen Zielen zugrunde?
• Welche Unsicherheiten können die Zielerreichung gefährden oder begünstigen?

Risiken werden entlang strategischer Initiativen identifiziert, nicht entlang organisatorischer Silos.

3. Risikoidentifikation und -bewertung

Ein strukturierter Prozess stellt sicher, dass sowohl interne als auch externe Risiken berücksichtigt werden. Dazu gehören unter anderem:

• strategische Risiken
• operative Risiken
• finanzielle Risiken
• regulatorische und rechtliche Risiken
• technologische und digitale Risiken
• ESG- und Reputationsrisiken

Die Bewertung erfolgt typischerweise anhand von Eintrittswahrscheinlichkeit und Auswirkung, idealerweise ergänzt um Szenarioanalysen.

4. Risikoappetit und Risikotoleranzen

Der Risikoappetit definiert, wie viel Risiko ein Unternehmen bereit ist einzugehen, um seine Ziele zu erreichen. Er bildet die Brücke zwischen Strategie und operativer Steuerung.

Klare Risikotoleranzen ermöglichen es, Risiken messbar zu steuern und Abweichungen frühzeitig zu erkennen. Ohne einen definierten Risikoappetit bleibt ERM wirkungslos.

5. Integration in Performance-Management und Entscheidungsprozesse

Ein reifes ERM-Framework ist eng mit Budgetierung, Forecasting und Performance-Management verzahnt. Risiken werden bei Investitionsentscheidungen, strategischen Projekten und Zielvereinbarungen systematisch berücksichtigt.

So entsteht ein konsistentes Bild aus Leistung und Risiko.

6. Monitoring, Reporting und kontinuierliche Verbesserung

ERM ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmässiges Monitoring, aussagekräftige Berichte und klar definierte Frühwarnindikatoren sind entscheidend.

Gleichzeitig muss das Framework regelmässig überprüft und an veränderte Rahmenbedingungen angepasst werden.

Die Bedeutung von ISO 31000 für Enterprise Risk Management

ISO 31000 ist der international anerkannte Standard für Risikomanagement und bildet die konzeptionelle Grundlage für viele ERM-Frameworks. Er ist branchenunabhängig und für Organisationen jeder Grösse anwendbar.

Warum ISO 31000 so wichtig ist

• Er definiert klare Prinzipien für wirksames Risikomanagement
• Er stellt sicher, dass Risikomanagement wertschaffend und nicht bürokratisch ist
• Er betont die Integration von Risiko in Governance, Strategie und Prozesse
• Er fördert eine einheitliche Sprache und Methodik im Unternehmen

ISO 31000 liefert kein starres Regelwerk, sondern einen flexiblen Rahmen, der individuell angepasst werden kann. Genau das macht ihn ideal für ERM.

Die zentralen Elemente von ISO 31000

ISO 31000 basiert auf drei Ebenen:

• Prinzipien: Wertschaffung, Integration, Struktur, Anpassungsfähigkeit und kontinuierliche Verbesserung
• Rahmenwerk: Governance, Rollen, Ressourcen und Einbettung in die Organisation
• Prozess: Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken

Ein ERM-Framework, das sich an ISO 31000 orientiert, ist anschlussfähig, prüfungssicher und international vergleichbar.

Vorteile eines integrierten ERM-Frameworks

Unternehmen, die ERM strategisch einsetzen, profitieren unter anderem von:

• besseren und schnelleren Entscheidungen
• höherer Transparenz über kritische Risiken
• stärkerer Resilienz gegenüber Krisen
• verbesserter Kapitalallokation
• höherem Vertrauen von Investoren und Stakeholdern
• nachhaltiger Unternehmensperformance

ERM wird damit vom Pflichtprogramm zum Wettbewerbsvorteil.

Typische Fehler beim Aufbau von ERM

• Fokus ausschliesslich auf Compliance
• fehlende Unterstützung durch das Top-Management
• keine klare Verbindung zur Strategie
• zu komplexe Methoden und Modelle
• mangelnde Integration in bestehende Prozesse

Ein pragmatischer, strategisch verankerter Ansatz ist entscheidend für den Erfolg.

Fazit

Ein modernes Enterprise Risk Management Framework ist weit mehr als ein Risikoregister. Es ist ein zentrales Steuerungsinstrument, das Strategie, Risiken und Performance miteinander verbindet. ISO 31000 liefert dafür den bewährten Rahmen.

Unternehmen, die ERM konsequent integrieren, schaffen die Grundlage für bessere Entscheidungen, höhere Resilienz und nachhaltigen Erfolg in einem unsicheren Umfeld.

FAQ zu Enterprise Risk Management

Was ist der Unterschied zwischen Risikomanagement und ERM?

Risikomanagement betrachtet häufig einzelne Risiken oder Bereiche. ERM verfolgt einen ganzheitlichen, unternehmensweiten Ansatz und verknüpft Risiken direkt mit Strategie und Performance.

Ist ERM nur für grosse Unternehmen relevant?

Nein. ERM ist für Unternehmen jeder Grösse sinnvoll. Der Umfang und die Komplexität des Frameworks sollten jedoch zur Organisation passen.

Welche Rolle spielt ISO 31000 im ERM?

ISO 31000 liefert die Prinzipien, den Rahmen und den Prozess für professionelles Risikomanagement und dient als anerkannter Referenzstandard für ERM.

Wie aufwendig ist die Einführung eines ERM-Frameworks?

Der Aufwand hängt von Grösse, Branche und Reifegrad des Unternehmens ab. Ein pragmatischer, schrittweiser Ansatz ist meist am erfolgreichsten.

Wie misst man den Erfolg von ERM?

Erfolg zeigt sich nicht nur in weniger Schäden, sondern vor allem in besseren Entscheidungen, höherer Zielerreichung und gesteigerter Resilienz.

Einleitung

In einem früheren Zazoon-Artikel haben wir beleuchtet, wie Boeing durch mangelbehaftete Fertigungsprozesse, fehlende Rückverfolgbarkeit und eine schwache Risikokultur in eine tiefe Krise geriet. Seitdem hat das Unternehmen angekündigt, seine Steuerungs- und Sicherheitsmechanismen zu stärken. Doch wie sieht die Realität heute aus? Aus Sicht von November 2025 prüfen wir, was sich bei Boeing verbessert hat, wo noch Lücken bestehen und welche Lehren sich für das Risikomanagement in industrie- und regulierungsintensiven Unternehmen ergeben.

Das Wichtigste in Kürze

• Boeing hat erste Verbesserungen im Risikomanagement eingeführt, etwa Meldesysteme und stärkeres Qualitätscontrolling.
• Ein aktueller Audit zeigt jedoch weiterhin erhebliche Defizite im Prozess- und Qualitätsmanagement.
• Hauptproblem bleibt die nicht ausreichend funktionierende Verbindung zwischen Fertigung, Zulieferern, Risikoüberwachung und Führungsebene.
• Regulatorischer Druck ist hoch – Boeing sieht sich nach wie vor starken Auflagen und Kontrolleinheiten gegenüber.
• Fazit: Fortschritt erkennbar, echter Wandel aber noch nicht abgeschlossen.

Rückblick auf die damalige Situation

In unserem ursprünglichen Artikel beschrieben wir vier wesentliche Schwachstellen bei Boeing: mangelhafte Dokumentation in der Fertigung, eine Sicherheitskultur mit Hinweis- und Meldedefiziten, eine starke Priorisierung von Wachstum statt von Qualität sowie ein formales Risikomanagement, das nicht mit den physischen Prozessen verknüpft war. Dieser Zustand führte dazu, dass Risiken nicht frühzeitig adressiert wurden und Fehlentwicklungen sich ungehindert fortsetzen konnten.

Was ist seitdem passiert?

Boeing hat mehrere Initiativen gestartet: Meldesysteme wurden erweitert, Qualitätspersonal aufgestockt, Prozessvorgaben neu formuliert, und der Umgang mit Zulieferern intensiviert. Zudem wächst externer Druck durch Regulatoren, was das Thema Risiko und Sicherheit weiter auf die Agenda setzt. Diese Maßnahmen sind wichtige erste Schritte in Richtung eines robusteren Risikomanagements.

Wo bleiben die Lücken?

Trotz dieser Schritte zeigt sich im Jahr 2025: Die Umsetzung bleibt unvollständig. Audits offenbaren immer noch erhebliche Qualitäts- und Prozessmängel – Fertigungsteile werden beispielsweise nicht durchgehend korrekt dokumentiert oder Rückverfolgbarkeit nicht gewährleistet. Die Verbindung zwischen Meldungen aus der Produktion, Ergebnissen von Kontrollen, Zuliefererinformationen und strategischer Risikosteuerung funktioniert noch nicht vollumfänglich. Kultur- und Governance-Aspekte bleiben schwach verankert: Eine echte Fehler- und Meldungskultur ist noch nicht über alle Ebenen hinweg etabliert.

Bewertung und Bedeutung für das Risikomanagement

Aus heutiger Sicht ist Boeing in einem Übergang: vom traditionellen, reaktiven Risikomanagement hin zu einem integrierten Ansatz. Doch dieser Wandel ist noch nicht abgeschlossen. Entscheidend ist, Risikomanagement nicht mehr isoliert zu sehen, sondern als Teil des gesamten Steuerungssystems – von Fertigung über Zulieferung bis zu Führung und Strategie. Transparenz, Verantwortlichkeit und Verbindung von Daten und Prozessen sind dabei Schlüsselbegriffe.

Fazit

Boeing hat wichtige Schritte zur Verbesserung seines Risikomanagements unternommen. Die ehrliche Anerkennung der Schwächen und die ersten Maßnahmen sind positiv. Doch der tiefgreifende Wandel – hin zu einer Unternehmenskultur, in der Risiko- und Qualitätssteuerung selbstverständlich sind – ist noch nicht umgesetzt. Für Unternehmen, insbesondere in regulierten Industrien, zeigt sich: Es braucht nicht nur technische Prozesse, sondern eine ganzheitliche Verankerung von Risikomanagement in Kultur, Struktur und Strategie, damit Kontrolle nicht nachträglich erfolgt, sondern Risiken vorab neutralisiert werden.

FAQ

Was heisst hier Risikomanagement konkret?
Risikomanagement umfasst alle Massnahmen zur Identifikation, Bewertung, Steuerung und Überwachung von Risiken – angefangen bei Fertigung und Zulieferung bis hin zu Kultur, Kommunikation und Strategie.

Warum ist bei Boeing trotz Verbesserungen noch Handlungsbedarf?
Weil die Verbindung zwischen physischen Prozessen (wie Fertigung), Meldesystemen, Zulieferern und strategischer Steuerung noch unvollständig ist. Solange diese Integration fehlt, bleiben Risiken bestehen.

Welche Rolle spielt die Unternehmenskultur?
Eine zentrale. Ohne eine Kultur, in der Mitarbeitende Risiken melden können und wollen, bleibt Risikomanagement Stückwerk. Prozesse allein reichen nicht.

Was können andere Unternehmen lernen?
Dass Risikomanagement nicht nur Compliance oder Technik ist, sondern integraler Bestandteil der Unternehmenssteuerung. Es erfordert klare Verantwortlichkeiten, vernetzte Prozesse und eine gelebte Kultur der Offenheit.

Ab wann gilt ein Risikomanagement als „integriert“?
Wenn Meldungen, Daten, Prozesse, Führung und Strategie zusammenwirken – Risiken früh erkannt und gesteuert werden können und Risikomanagement nicht isoliert als Funktion existiert.

Wenn man an Start-ups im Finanzbereich denkt, kommen einem meist Innovation, Wachstum und Geschwindigkeit in den Sinn – aber selten Governance oder Compliance. Das britische Fintech Revolut zeigt jedoch, dass sich beides nicht ausschliesst. Nach Jahren rasanter Expansion und einigen internen Reibungen hat das Unternehmen gelernt, dass gute Strukturen genauso wichtig sind wie kreative Ideen. Heute gilt Revolut als Beispiel dafür, wie Governance, Risk und Compliance (GRC) zu einem Teil der Unternehmenskultur werden können – und wie man mit einem ungewöhnlichen System namens „Karma“ Mitarbeitende dazu bringt, Verantwortung für gutes Verhalten zu übernehmen.

Das Wichtigste in Kürze

• Revolut hat ein internes Punktesystem („Karma“) eingeführt, das Team-Boni an Compliance- und Risikoverhalten knüpft.
• Mitarbeitende und Abteilungen sammeln Punkte, wenn sie Richtlinien einhalten, Schulungen absolvieren oder Risiken frühzeitig melden.
• Das System soll nicht bestrafen, sondern gemeinsames Verantwortungsbewusstsein fördern – und hat laut Revolut die Compliance-Performance um rund 25 Prozent verbessert.
• GRC ist damit kein Kontrollinstrument mehr, sondern ein Teil des täglichen Handelns.

Warum Revolut sein Verständnis von GRC geändert hat

Revolut war lange Zeit ein Paradebeispiel für Wachstum um jeden Preis. Innerhalb weniger Jahre wurde das Unternehmen zu einem der bekanntesten Fintechs Europas, mit Millionen Kunden und einer aggressiven Expansionsstrategie. Doch mit dieser Geschwindigkeit kamen auch Probleme: Berichte über interne Überlastung, mangelnde Kontrollen und Schwächen bei der Geldwäscheprävention sorgten zeitweise für Schlagzeilen.

Die Geschäftsführung zog Konsequenzen. Statt Compliance als lästige Pflicht zu sehen, wollte man daraus ein Wettbewerbsvorteil machen. 2020 führte Revolut das „Karma-System“ ein – ein Punktesystem, das Mitarbeitende und Teams direkt dafür belohnt, wenn sie GRC aktiv leben.

Wie das Karma-System funktioniert

Die Idee ist einfach, aber wirkungsvoll: Jede Abteilung bekommt Punkte für gutes Risikoverhalten. Dazu zählen abgeschlossene Schulungen, korrekte Dokumentation, frühe Meldung potenzieller Probleme oder die Einhaltung interner Richtlinien. Verstösse oder Versäumnisse führen dagegen zu Punktabzug.

Diese Punkte werden regelmässig in einem internen Dashboard ausgewertet und wirken sich auf Bonuszahlungen aus. Der Clou: Nicht Einzelpersonen, sondern ganze Teams werden bewertet. So entsteht sozialer Druck – aber auch Zusammenhalt. Das Ziel ist, dass alle Mitarbeitenden Verantwortung übernehmen, weil ihr eigenes Verhalten das Team-Ergebnis beeinflusst.

Ein Revolut-Manager beschrieb das System in einem Interview so: „Es geht nicht darum, Fehler zu bestrafen. Es geht darum, Verhalten sichtbar zu machen, das Risiken früh erkennt und verhindert.“

GRC als Teil der Unternehmenskultur

Das Karma-System ist nicht nur ein Tool, sondern Ausdruck eines Kulturwandels. Revolut hat verstanden, dass GRC kein isoliertes Regelwerk ist, sondern Teil des unternehmerischen Denkens.

Governance bedeutet hier: klare Zuständigkeiten, nachvollziehbare Entscheidungen und Transparenz im Reporting. Risikomanagement heisst: Risiken nicht erst im Krisenfall zu erkennen, sondern sie im Alltag zu messen, zu priorisieren und bewusst zu steuern. Und Compliance ist nicht länger Synonym für Bürokratie, sondern wird als gemeinsames Ziel verstanden – ähnlich wie Kundenzufriedenheit oder Umsatzwachstum.

Indem GRC auf diese Weise in den Arbeitsalltag integriert wird, entsteht eine lernende Organisation. Mitarbeitende wissen, dass sie selbst Teil des Risikomanagements sind – nicht die Compliance-Abteilung „irgendwo da oben“.

Was andere Unternehmen davon lernen können

Das Revolut-Modell ist kein Patentrezept, aber es liefert wichtige Impulse:

1. Anreize schaffen funktioniert besser als Kontrolle. Wer GRC in eine positive Kultur übersetzt, motiviert Mitarbeitende, statt sie zu überwachen.
2. Teamverantwortung ist stärker als Einzelbewertung. Wenn ganze Abteilungen für GRC-Ergebnisse verantwortlich sind, entsteht echte Zusammenarbeit.
3. Transparenz ist der Schlüssel. Offene Dashboards, regelmässige Kommunikation und klare Ziele schaffen Vertrauen und Orientierung.
4. Führungskräfte müssen vorangehen. Eine GRC-Kultur entsteht nur, wenn das Management sie glaubwürdig lebt – nicht, wenn sie von oben verordnet wird.

Herausforderungen und offene Fragen

Natürlich ist das Karma-System kein Allheilmittel. Manche Kritiker befürchten, dass ein Punktesystem zu mechanisch sein könnte oder dazu verleitet, gute Zahlen zu produzieren statt gutes Verhalten. Revolut selbst räumt ein, dass das System nur funktioniert, wenn es von Führungskräften mit Sinn und Verständnis eingesetzt wird.

Dennoch zeigt das Beispiel, dass es möglich ist, GRC menschlich zu gestalten – als etwas, das Menschen motiviert und Organisationen stärkt, statt sie zu bremsen.

Fazit

Revolut hat in den vergangenen Jahren eine bemerkenswerte Entwicklung durchgemacht. Vom schnellen Fintech hin zu einem Unternehmen, das Governance, Risikomanagement und Compliance nicht als Bürde, sondern als Erfolgsfaktor begreift. Das Karma-System mag ungewöhnlich klingen, doch es zeigt, was passiert, wenn GRC Teil der Kultur wird: Menschen übernehmen Verantwortung, Risiken werden früh erkannt, und Vertrauen entsteht auf natürliche Weise.

Gerade in einer Zeit, in der viele Unternehmen mit Unsicherheit kämpfen, ist das vielleicht die wichtigste Erkenntnis: Gute Governance beginnt nicht im Audit-Bericht, sondern im täglichen Verhalten jedes Einzelnen.

---

FAQ

Was ist das Karma-System bei Revolut? Ein internes Punktesystem, das die Einhaltung von Risiko- und Compliance-Regeln messbar macht. Teams sammeln Punkte für gutes Verhalten, die sich auf Bonuszahlungen auswirken.

Wie hat sich das System auf die Performance ausgewirkt? Nach Angaben von Revolut hat das Karma-System die unternehmensweite Compliance-Performance um etwa 25 Prozent verbessert.

Warum ist das System teambasiert? Revolut wollte keine Angstkultur schaffen. Statt Einzelne zu bewerten, werden Teams als Einheit gesehen – so entsteht gemeinsames Verantwortungsgefühl.

Können andere Unternehmen das übernehmen? Ja, aber mit Anpassung. Wichtig ist, dass es nicht nur um Punkte geht, sondern um echtes Bewusstsein. GRC muss Teil der Führung und Kommunikation werden.

Was macht Revolut heute anders als früher? Das Unternehmen setzt stärker auf Transparenz, klare Prozesse und kontinuierliches Lernen – statt auf schnelles Wachstum um jeden Preis.

Die globale Schifffahrtsbranche trotzt der Flaute. Trotz geopolitischer Konflikte, Zöllen und schwacher Industrieproduktion in Europa melden viele Reedereien stabile oder sogar wachsende Geschäfte. Das überrascht, denn eigentlich sprechen die wirtschaftlichen Rahmenbedingungen gegen einen Aufschwung: Handelsbarrieren nehmen zu, Transportkosten steigen, und die Weltkonjunktur kühlt sich ab.

Doch laut der aktuellen Reederstudie von PwC Deutschland ist die Branche erstaunlich widerstandsfähig. 93 Prozent der befragten Reedereien gaben an, ihre Schiffe seien voll ausgelastet, und 58 Prozent erwarten in den kommenden zwölf Monaten weiteres Wachstum. Nur vier Prozent rechnen mit einem Abschwung. Diese Zuversicht steht im Kontrast zur allgemeinen wirtschaftlichen Lage, zeigt aber, wie stark professionelles Governance-, Risk- und Compliance-Management (GRC) zur Stabilität beiträgt.

Das Wichtigste in Kürze

• Laut der PwC-Reederstudie 2025 sind 93 Prozent der Schiffe deutscher Reedereien ausgelastet, 58 Prozent erwarten Wachstum.
• Trotz Zöllen, Handelskonflikten und schwacher Konjunktur zeigt sich die Branche robust.
• Hauptgrund ist eine strategische Entkopplung von der deutschen Industrie und die Diversifikation internationaler Märkte.
• Ein funktionierendes GRC-System – also gute Governance, starkes Risikomanagement und verlässliche Compliance – ist der entscheidende Stabilitätsfaktor.

Wirtschaftliche Lage der Schifffahrt: Zwischen Flaute und Flexibilität

Die maritime Wirtschaft ist traditionell ein Frühindikator für die globale Konjunktur. Doch während viele Industriezweige derzeit stagnieren, beweist die Schifffahrtsbranche bemerkenswerte Resilienz.

Die PwC-Reederstudie, die 2025 bereits zum 17. Mal erschienen ist, zeigt ein erstaunlich stabiles Bild: Trotz geopolitischer Spannungen, Energiepreisschwankungen und Handelsbarrieren sind die Flotten weiterhin gut ausgelastet. Auch die Baltic Exchange bestätigt in ihrem Ausblick für 2025 moderate Wachstumsraten im Container- und LNG-Segment. Fitch Ratings beurteilt die weltweite Schifffahrt für 2025 als „stabil“, trotz hoher Unsicherheiten auf den globalen Märkten.

Diese Stabilität ist kein Zufall. Viele Reedereien haben ihre Geschäftsmodelle in den letzten Jahren konsequent angepasst. Nur noch etwa drei von zehn Unternehmen geben an, dass ihre Erträge direkt von der deutschen Industrieproduktion abhängen. Stattdessen setzen sie auf internationale Märkte, Langfristverträge und spezialisierte Nischen.

Warum es der Branche trotz Krise gut geht

Mehrere Faktoren erklären die Widerstandskraft der Schifffahrtsbranche:

1. Globale Diversifikation
   Deutsche Reedereien haben ihre Abhängigkeit vom Binnenmarkt stark reduziert. Wer in mehreren Regionen operiert, gleicht Nachfrageschwächen einzelner Märkte durch andere aus.
2. Langfristige Charterverträge
   Viele Reedereien sichern Einnahmen über mehrjährige Verträge. Diese bieten Stabilität, selbst wenn Frachtraten kurzfristig fallen.
3. Effizientes Kosten- und Routenmanagement
   Unternehmen reagieren flexibel auf geopolitische Störungen, etwa Umleitungen über das Kap der Guten Hoffnung anstelle des Roten Meers.
4. Investitionen in Technologie und Nachhaltigkeit
   Digitalisierung und alternative Antriebstechnologien (z. B. LNG, Methanol) helfen, regulatorische Anforderungen zu erfüllen und langfristige Kostenvorteile zu schaffen.
5. Solide Governance-Strukturen
   Viele Reedereien verfügen heute über professionelle Aufsichtsstrukturen, Risikokomitees und Compliance-Funktionen – etwas, das vor zehn Jahren noch selten war.

Diese Faktoren sind Teil eines umfassenden GRC-Ansatzes, der die Grundlage für Stabilität und Wachstum bildet.

Governance: Stabilität durch klare Steuerung

Eine starke Governance-Struktur ist das Rückgrat jeder krisenfesten Organisation. Reedereien, die gut durch schwierige Zeiten navigieren, zeichnen sich durch klare Entscheidungswege und transparente Verantwortlichkeiten aus.

In der Praxis bedeutet das: Strategische Entscheidungen zu Flottenmanagement, Finanzierung, Nachhaltigkeit oder Versicherung werden nicht isoliert getroffen, sondern in Abstimmung mit Risiko- und Compliance-Abteilungen. Der Aufsichtsrat fungiert dabei nicht nur als Kontrollorgan, sondern als strategischer Partner.

Diese Strukturen erlauben es Reedereien, schnell und fundiert auf Marktveränderungen zu reagieren, ohne in operative Hektik zu verfallen.

Risikomanagement: Frühwarnsystem gegen geopolitische und operative Risiken

Die Schifffahrt ist geprägt von Unsicherheiten: politische Konflikte, Piraterie, Umweltauflagen, volatile Energiepreise oder Cyberangriffe. Ein robustes Risikomanagement ist deshalb zentral.

Erfolgreiche Reedereien nutzen Szenarioanalysen, um zu bewerten, wie sich Handelskriege, Routenblockaden oder Hafenstreiks auswirken könnten. Sie überwachen kontinuierlich Faktoren wie Treibstoffpreise, Versicherungsbedingungen und regulatorische Entwicklungen.

Auch Cyberrisiken spielen eine zunehmende Rolle. Digitale Angriffe auf Schiffe oder Hafensysteme können den Betrieb lahmlegen. Professionelle Reedereien integrieren daher Cybersecurity fest in ihr Risikomanagement – ein Bereich, der laut PwC-Studie bei 78 Prozent der Befragten inzwischen auf Vorstandsebene verankert ist.

Compliance: Vertrauen durch Regeltreue

Neben Governance und Risikomanagement ist Compliance der dritte Pfeiler maritimer Resilienz. Der regulatorische Druck auf Reedereien nimmt stetig zu – von Emissionsgrenzen über ESG-Reporting bis hin zu internationalen Sanktionsvorschriften.

Unternehmen, die proaktiv handeln, sichern sich dadurch einen klaren Vorteil. Sie vermeiden Bußgelder, verbessern ihre Kreditwürdigkeit und stärken das Vertrauen von Kunden und Investoren. Besonders ESG-Konformität spielt eine wachsende Rolle: Reedereien, die Nachhaltigkeitsziele messbar umsetzen, profitieren bei Finanzierung und Auftragsvergabe.

Ein durchdachtes Compliance-Managementsystem nach ISO 37301 schafft hier die notwendige Struktur: Richtlinien, Prüfprozesse und Dokumentation werden standardisiert, Audits vereinfacht und Risiken reduziert.

Wie gutes GRC zur Resilienz beiträgt

Governance, Risk und Compliance sind in der Schifffahrt längst mehr als Pflichtübungen. Sie bilden den Rahmen, der es Unternehmen ermöglicht, Stabilität in einem volatilen Umfeld zu bewahren.

GRC schafft Transparenz über Risiken, definiert Verantwortlichkeiten und sichert die Einhaltung globaler Standards. Dadurch werden Risiken nicht nur erkannt, sondern aktiv gesteuert. Das Ergebnis ist eine Branche, die auch in Krisenzeiten wächst – weil sie vorbereitet ist, nicht weil sie Glück hat.

Fazit

Die Schifffahrt bleibt eine Schlüsselbranche der globalen Wirtschaft – und sie beweist, dass Stabilität kein Zufall ist. Studien wie die von PwC zeigen: Gute Unternehmensführung, wirksames Risikomanagement und gelebte Compliance machen den Unterschied zwischen Unsicherheit und Resilienz.

Reedereien, die GRC als strategisches Instrument verstehen, fahren sicherer – auch bei Gegenwind. Governance sorgt für klare Navigation, Risikomanagement erkennt Stürme frühzeitig, und Compliance schützt vor rechtlichen Untiefen. Kurz gesagt: Gutes GRC ist der Kompass, der die Schifffahrt krisenfest macht.

---

FAQ

Warum geht es der Schifffahrtsbranche trotz Konjunkturflaute gut?
Viele Reedereien haben sich global aufgestellt, langfristige Verträge abgeschlossen und ihr Risikomanagement professionalisiert. So gleichen sie Schwächen einzelner Märkte aus.

Was zeigt die PwC-Reederstudie 2025?
93 Prozent der Reedereien berichten von voller Auslastung, 58 Prozent erwarten Wachstum. Nur vier Prozent rechnen mit einem Abschwung – ein Zeichen hoher Stabilität.

Welche Rolle spielt GRC in der Schifffahrt?
Ein gutes Governance-, Risiko- und Compliance-System schafft Transparenz, Sicherheit und Effizienz. Es ist der zentrale Grund, warum viele Reedereien heute widerstandsfähig sind.

Welche Risiken sind aktuell besonders relevant?
Neben geopolitischen Konflikten und Zöllen zählen Cyberangriffe, regulatorische Anforderungen und ESG-Standards zu den grössten Herausforderungen.

Wie können Reedereien ihr GRC verbessern?
Durch klare Governance-Strukturen, regelmässige Risikoanalysen, zertifizierte Compliance-Systeme (z. B. ISO 37301) und digitale GRC-Plattformen, die Transparenz und Kontrolle über alle Prozesse schaffen.

Die globale Wirtschaft ist heute stärker vernetzt als je zuvor. Unternehmen sind auf ein weit verzweigtes Netz aus Lieferanten, Dienstleistern und Technologiepartnern angewiesen. Diese Abhängigkeiten schaffen Effizienz – aber sie bringen auch erhebliche Risiken mit sich.

Cyberangriffe auf Zulieferer, Menschenrechtsverletzungen in der Lieferkette oder plötzliche Insolvenzen kritischer Dienstleister können unmittelbare Auswirkungen auf das eigene Unternehmen haben. Diese Ereignisse gefährden nicht nur die operative Stabilität, sondern auch Reputation, Compliance und finanzielle Sicherheit.

Im Rahmen von Governance, Risk und Compliance (GRC) rückt das Thema Third-Party- und Lieferkettenrisiken deshalb immer stärker in den Mittelpunkt. Unternehmen müssen lernen, Risiken über Unternehmensgrenzen hinaus zu erkennen, zu bewerten und zu steuern.

Das Wichtigste in Kürze

• Lieferketten und Third-Party-Abhängigkeiten sind eine der grössten Schwachstellen moderner Organisationen.
• Die grössten Risiken entstehen durch mangelnde Transparenz, fehlende Kontrolle und unzureichendes Risikomanagement.
• Regulatorische Anforderungen wie das Lieferkettengesetz, ESG-Reporting und NIS-2 erhöhen den Druck auf Unternehmen, ihre Partner sorgfältig zu überwachen.
• Ein integriertes GRC-System hilft, Risiken systematisch zu erfassen, Verantwortlichkeiten zu definieren und Compliance sicherzustellen.

Warum Lieferkettenrisiken so gefährlich sind

Lieferketten sind heute komplex, global und dynamisch. Ein Produkt kann Bauteile aus fünf Ländern enthalten, über zehn Lieferantenstufen hinweg entstehen und von mehreren Logistikdienstleistern bewegt werden. Diese Struktur bietet enorme Kostenvorteile, macht Unternehmen aber gleichzeitig verletzlich.

Schon ein Ausfall einer einzigen Komponente kann die gesamte Produktion lahmlegen. Noch gravierender sind Fälle, in denen ethische, ökologische oder sicherheitsrelevante Verstösse innerhalb der Lieferkette auftreten. Menschenrechtsverletzungen, Umweltvergehen oder Datenpannen bei Partnern führen unweigerlich zu Reputationsschäden und können rechtliche Konsequenzen nach sich ziehen.

Zudem sind viele Risiken nicht direkt sichtbar. Sub-Lieferanten bleiben oft im Dunkeln, und viele Unternehmen wissen nicht, wer sich in den tieferen Ebenen ihrer Lieferkette tatsächlich befindet. Dieses fehlende Wissen ist einer der Hauptgründe, warum Unternehmen auf Krisen nur reagieren können, statt sie zu verhindern.

Der regulatorische Druck wächst

In den letzten Jahren hat die Politik reagiert. Sowohl in der EU als auch in der Schweiz und Deutschland entstehen neue Vorgaben, die Unternehmen zu mehr Verantwortung in ihrer Lieferkette verpflichten.

Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) sowie die geplante EU-Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive, CSDDD) verlangen von Unternehmen, Risiken entlang ihrer gesamten Wertschöpfungskette zu identifizieren, zu überwachen und zu adressieren.

Parallel dazu verschärfen ESG-Vorgaben wie die CSRD (Corporate Sustainability Reporting Directive) und die ESRS-Standards die Berichterstattungspflichten. Unternehmen müssen künftig nachweisen, dass sie ökologische und soziale Risiken in ihrer Lieferkette kennen und steuern.

Auch aus IT- und Sicherheits­perspektive wird der Druck grösser: Mit der NIS-2-Richtlinie und DORA im Finanzsektor rückt die Sicherheit von Drittparteien in den Fokus. Jedes Unternehmen ist verantwortlich, dass auch seine Partner angemessene Sicherheitsmassnahmen implementieren.

Der GRC-Ansatz: Struktur statt Reaktion

Um diesen Anforderungen gerecht zu werden, brauchen Unternehmen einen systematischen GRC-Ansatz. Governance, Risk und Compliance dürfen nicht isoliert betrachtet werden, sondern müssen die gesamte Lieferkette umfassen.

Ein modernes Third-Party-Risk-Management (TPRM) verfolgt drei Ziele: Transparenz schaffen, Risiken bewerten und Massnahmen steuern.

1. Transparenz schaffen:
   Unternehmen müssen zunächst wissen, wer ihre Partner sind – auch über direkte Zulieferer hinaus. Eine vollständige Lieferantenliste ist der erste Schritt, gefolgt von einer Klassifizierung nach Kritikalität und Risikoexposition.
2. Risiken bewerten:
   Für jeden Partner sollte eine strukturierte Risikobewertung erfolgen. Diese kann Faktoren wie finanzielle Stabilität, IT-Sicherheit, Nachhaltigkeit, Rechtskonformität und Reputationsrisiken umfassen.
3. Massnahmen steuern:
   Auf Basis der Bewertung werden konkrete Kontrollen und Monitoring-Massnahmen definiert. Dazu gehören Audits, Zertifikatsprüfungen, kontinuierliches Screening und klare Eskalationsprozesse bei Auffälligkeiten.

Digitalisierung und Automatisierung als Erfolgsfaktoren

Die Komplexität globaler Lieferketten lässt sich kaum noch manuell beherrschen. Digitale GRC-Plattformen bieten die Möglichkeit, Daten zu zentralisieren und Risiken automatisiert zu überwachen.

Moderne Systeme integrieren Datenfeeds zu Finanzkennzahlen, Cyberrisiken und Compliance-Verstössen und erkennen so frühzeitig Auffälligkeiten. Ein weiterer Vorteil: Reporting und Nachweispflichten lassen sich automatisiert erfüllen – ein entscheidender Punkt im ESG- und Audit-Kontext.

Durch die Verbindung von TPRM mit bestehenden GRC-Modulen (z. B. Incident-, Policy- oder Audit-Management) entsteht ein ganzheitliches Risikobild. Das erhöht nicht nur die Sicherheit, sondern auch die strategische Handlungsfähigkeit.

Erfolgsfaktoren für ein wirksames Third-Party-Risk-Management

Unternehmen, die Third-Party- und Lieferkettenrisiken effektiv steuern wollen, sollten folgende Prinzipien beachten:

• Verantwortung klar definieren: TPRM muss organisatorisch verankert werden, idealerweise in enger Zusammenarbeit von Einkauf, Compliance und Risikomanagement.
• Risiken priorisieren: Nicht alle Lieferanten sind gleich kritisch. Ressourcen sollten sich auf die wichtigsten Partner konzentrieren.
• Regelmässige Überprüfung: Lieferantenbewertungen müssen dynamisch sein. Risiken ändern sich mit Markt, Politik und Technologie.
• Dokumentation und Nachvollziehbarkeit: Jede Entscheidung, Bewertung und Massnahme sollte dokumentiert werden – für Audits und regulatorische Nachweise.
• Integration in GRC-Systeme: Nur durch die Verknüpfung mit Governance-, Risiko- und Compliance-Prozessen entsteht echte Transparenz.

Fazit

Third-Party- und Lieferkettenrisiken sind längst nicht mehr nur ein Thema für den Einkauf, sondern ein zentrales Element moderner Unternehmenssteuerung. In einer Welt, in der Unternehmen zunehmend für die Handlungen ihrer Partner haftbar gemacht werden, ist Transparenz entscheidend.

Ein professionell aufgesetztes Third-Party-Risk-Management, eingebettet in ein integriertes GRC-System, ermöglicht es Unternehmen, Risiken frühzeitig zu erkennen, regulatorische Anforderungen zu erfüllen und die Resilienz der gesamten Wertschöpfungskette zu stärken.

---

FAQ

Was versteht man unter Third-Party-Risiken?
Darunter fallen Risiken, die durch externe Geschäftspartner entstehen – etwa Lieferanten, IT-Dienstleister oder Berater. Sie können finanzielle, operative, rechtliche oder reputationsbezogene Folgen haben.

Warum sind Lieferkettenrisiken für GRC relevant?
Weil Governance, Risk und Compliance längst nicht mehr an den Unternehmensgrenzen enden. Regulatoren erwarten, dass Unternehmen ihre Partner nach denselben Standards prüfen, die intern gelten.

Wie kann man Lieferkettenrisiken bewerten?
Durch strukturierte Risikoanalysen, die Kriterien wie Nachhaltigkeit, Menschenrechte, Datensicherheit, Finanzlage und rechtliche Konformität abdecken.

Welche Rolle spielt Technologie im TPRM?
Digitale GRC-Plattformen automatisieren Risikoüberwachung, Reporting und Dokumentation und ermöglichen Echtzeit-Transparenz über Partnernetzwerke hinweg.

Welche Standards helfen bei der Umsetzung?
Wichtige Normen und Rahmenwerke sind ISO 31000 (Risikomanagement), ISO 27001 (Informationssicherheit), ISO 37301 (Compliance), ISO 9001 (Qualitätsmanagement) sowie die ESG-bezogenen Reporting-Standards ESRS und CSRD.

Der Fall First Brands – was passiert ist

First Brands, ein US-amerikanischer Zulieferer für Autoersatzteile, stellte Anfang 2025 Antrag auf Insolvenz nach Chapter 11. Das Unternehmen hatte Verbindlichkeiten in zweistelliger Milliardenhöhe angehäuft. Ein erheblicher Teil dieser Schulden war in komplexen Konstruktionen verborgen, die für Außenstehende nur schwer nachvollziehbar waren.

Besonders problematisch war die Nutzung von Finanzierungsmodellen wie Factoring und Supply-Chain-Finanzierungen, die oft nicht vollständig in den Bilanzen auftauchen. Solange die Liquidität floss, schien dieses Modell zu funktionieren. Doch als Kreditgeber aufgrund mangelnder Transparenz misstrauisch wurden und Geldflüsse blockierten, verschärfte sich die Krise. Innerhalb weniger Monate verlor das Unternehmen die Zahlungsfähigkeit.

Parallelen zu früheren Insolvenzen

Der Fall reiht sich in eine ganze Serie von Unternehmenspleiten ein, die durch ähnliche Muster geprägt sind.

Wirecard in Deutschland brach 2020 zusammen, nachdem Manipulationen in den Bilanzen aufgedeckt worden waren. Über Jahre hinweg hatten Wirtschaftsprüfer, Investoren und Aufsichtsbehörden die Warnsignale übersehen.

Greensill Capital in Großbritannien, ein Finanzdienstleister für Lieferketten, kollabierte 2021. Auch hier spielte Intransparenz eine große Rolle: Investoren und Kunden verstanden die Komplexität der Kreditstrukturen nicht, bis es zu spät war.

Carillion, ein britischer Bau- und Dienstleistungskonzern, meldete 2018 Insolvenz an, weil aggressive Bilanzierung und mangelndes Risikomanagement die tatsächliche finanzielle Lage verschleierten.

In allen Fällen zeigt sich dasselbe Muster: eine Kombination aus übermäßiger Verschuldung, intransparenten Strukturen, unzureichender Kontrolle durch Aufsichtsorgane und fehlendem Risikobewusstsein.

Governance – wenn Kontrolle versagt

Der Zusammenbruch von First Brands macht deutlich, dass Governance-Strukturen nur dann Wirkung entfalten, wenn sie konsequent gelebt werden. Aufsichtsgremien müssen über die Kompetenz und den Willen verfügen, auch komplexe Finanzierungsmodelle kritisch zu hinterfragen. Wenn Verwaltungsräte sich zu stark auf das Management verlassen oder Berichte ungeprüft übernehmen, bleiben zentrale Risiken im Verborgenen.

Governance bedeutet nicht nur formale Aufsicht, sondern aktive Kontrolle, die auch unangenehme Fragen stellt. Nur so lässt sich verhindern, dass Geschäftsmodelle entstehen, die auf instabilen Fundamenten beruhen.

Risikomanagement – das unterschätzte Frühwarnsystem

Risikomanagement hätte in den genannten Fällen als Frühwarnsystem dienen können. Typische Signale für drohende Krisen lassen sich erkennen: ein extrem hoher Fremdkapitalanteil, Finanzierungsinstrumente, die außerhalb der Bilanz stehen, Abhängigkeiten von wenigen Banken oder Investoren sowie fehlende Szenarien für Liquiditätsengpässe.

Unternehmen, die internationale Standards wie ISO 31000 nutzen, sind klar im Vorteil. Diese Norm gibt einen Rahmen vor, Risiken systematisch zu erfassen, zu bewerten und zu überwachen. Wichtig ist, dass Risikomanagement nicht als reine Pflichtübung verstanden wird, sondern als strategisches Instrument, das den langfristigen Fortbestand des Unternehmens sichern kann.

Compliance – Regulierung als Chance

Auch die Rolle der Compliance darf nicht unterschätzt werden. Regulierungen wie die europäische CSRD und die ESRS-Standards verlangen von Unternehmen mehr Transparenz in Berichten und Kennzahlen. Auf internationaler Ebene schaffen Normen wie ISO 37301 für Compliance-Managementsysteme zusätzliche Orientierung.

Solche Vorgaben sind keine bürokratische Last, sondern ein Schutzmechanismus. Sie helfen, Transparenz zu schaffen und Vertrauen bei Investoren, Aufsichtsbehörden und Geschäftspartnern aufzubauen. Unternehmen, die Compliance systematisch in ihre Prozesse integrieren, sind weniger anfällig für die Art von Schieflagen, die bei First Brands sichtbar wurde.

Was Unternehmen jetzt lernen müssen

Die wichtigste Lehre aus dem Fall lautet: Intransparente Finanzierungsmodelle und übermäßige Verschuldung sind ein erhebliches Risiko – nicht nur für die betroffenen Unternehmen, sondern für ganze Branchen und Lieferketten. Für europäische Unternehmen bedeutet das:

• Governance-Strukturen müssen so aufgestellt sein, dass auch komplexe Geschäftsmodelle kritisch geprüft werden können.
• Risikomanagement darf nicht auf die Identifizierung von Standardszenarien beschränkt sein, sondern muss Stresssituationen und Worst-Case-Szenarien berücksichtigen.
• Compliance-Vorgaben sollten nicht als Bürde, sondern als Werkzeug verstanden werden, das Transparenz schafft und Krisen vorbeugt.

Fazit

First Brands ist ein weiteres Beispiel dafür, dass GRC kein theoretisches Konzept und kein „Nice-to-have“ ist, sondern ein entscheidender Erfolgsfaktor für nachhaltige Unternehmensführung. Wer Governance, Risikomanagement und Compliance ernst nimmt, schützt nicht nur das eigene Unternehmen, sondern auch Investoren, Partner und Kunden.

FAQ

Warum sind Insolvenzen wie First Brands für GRC relevant? Weil sie zeigen, dass fehlende Transparenz, schwache Kontrollen und unzureichendes Risikomanagement zu massiven Krisen führen können.

Kann so etwas auch in Europa passieren? Ja, Fälle wie Wirecard, Greensill oder Carillion beweisen, dass auch europäische Unternehmen betroffen sein können.

Welche Standards helfen, Risiken besser zu managen? Zu den wichtigsten zählen ISO 31000 (Risikomanagement), ISO 37301 (Compliance), ISO 27001 (Informationssicherheit) sowie die europäischen Vorgaben CSRD und ESRS.

Welche Rolle spielt Transparenz? Transparenz ist der Schlüsselfaktor, um Vertrauen bei Investoren, Aufsichtsbehörden und Geschäftspartnern zu sichern. Ohne Transparenz wächst das Risiko, dass Fehlentwicklungen zu spät erkannt werden.

Die wachsende Abhängigkeit von Informationstechnologien macht Unternehmen zunehmend anfällig für Störungen, Ausfälle und Cyberangriffe. Ein einziger IT-Ausfall kann heute ganze Geschäftsprozesse lahmlegen, Lieferketten unterbrechen oder Kundenbeziehungen nachhaltig schädigen. Um dem zu begegnen, hat die Internationale Organisation für Normung (ISO) im Mai 2025 die überarbeitete Fassung des Standards ISO/IEC 27031 veröffentlicht. Er bietet einen Leitfaden für die Sicherstellung der ICT-Readiness (Information and Communication Technology Readiness for Business Continuity, IRBC) und verbindet Informationssicherheit mit Business Continuity Management.

Das Wichtigste in Kürze

• ISO/IEC 27031:2025 wurde im Mai 2025 veröffentlicht
• Bietet ein Framework für ICT-Readiness zur Unterstützung der Business Continuity
• Nutzt den PDCA-Zyklus (Plan-Do-Check-Act) als methodisches Fundament
• Starke Anbindung an ISO/IEC 27001 (Informationssicherheit) und ISO 22301 (Business Continuity Management)
• Fokus auf Cloud-Dienste, Cyberbedrohungen und moderne IT-Infrastrukturen

Was ist ISO/IEC 27031?

ISO/IEC 27031 ist ein internationaler Leitfaden, der beschreibt, wie Unternehmen ihre Informations- und Kommunikationstechnologien so vorbereiten können, dass diese im Ernstfall zuverlässig zur Aufrechterhaltung des Geschäftsbetriebs beitragen. Der Standard definiert Prinzipien, Prozesse und Maßnahmen, die sicherstellen sollen, dass ICT-Systeme auch im Falle von Störungen schnell wieder funktionsfähig sind.

Er schließt damit die Lücke zwischen klassischem Business Continuity Management und moderner IT-Sicherheit. Während ISO 22301 den allgemeinen Rahmen für Business Continuity setzt, konkretisiert ISO 27031, wie ICT-Systeme vorbereitet, überwacht und wiederhergestellt werden müssen.

Die Kernelemente des Standards

Rahmenwerk für ICT-Readiness

Der Standard beschreibt ein Framework, das Unternehmen hilft, ihre ICT-Umgebungen systematisch auf Ausfälle und Notfälle vorzubereiten.

PDCA-Zyklus

ISO/IEC 27031 basiert auf dem Plan-Do-Check-Act-Ansatz. Unternehmen planen Maßnahmen, setzen diese um, überwachen deren Wirksamkeit und verbessern sie kontinuierlich.

Recovery Objectives

Ein zentraler Bestandteil ist die Definition von Wiederherstellungszielen, wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO). Diese geben an, wie schnell Systeme wiederhergestellt werden müssen und wie viel Datenverlust akzeptabel ist.

Fokus auf aktuelle Technologien

Die 2025er Version legt besonderen Wert auf Cloud-Umgebungen, Virtualisierung und externe Dienstleister. Damit trägt sie den veränderten Infrastrukturen moderner Organisationen Rechnung.

Warum ISO/IEC 27031 für GRC so wichtig ist

Der Standard ist eng mit Governance, Risiko- und Compliance-Management verbunden.

• Governance: Unternehmen müssen klare Verantwortlichkeiten für ICT-Readiness festlegen und eine Führungsebene etablieren, die Cyber-Resilienz aktiv steuert.
• Risikomanagement: Die Integration von ICT-Risiken in das Enterprise Risk Management wird gestärkt. Risiken wie Cyberangriffe, Systemausfälle oder Lieferantenausfälle lassen sich präziser bewerten und steuern.
• Compliance: ISO/IEC 27031 ergänzt bestehende Standards wie ISO/IEC 27001 und ISO 22301, sodass Organisationen ein konsistentes, revisionssicheres und prüfbares Managementsystem aufbauen können.

Praxisnutzen für Unternehmen

• Schnelle und strukturierte Reaktion auf IT-Ausfälle
• Bessere Resilienz gegenüber Cyberangriffen und Systemstörungen
• Klare Schnittstellen zu Informationssicherheits- und Business-Continuity-Programmen
• Höhere Transparenz und Nachweisbarkeit im Rahmen von Audits
• Stärkung von Vertrauen bei Kunden, Investoren und Aufsichtsbehörden

Fazit

ISO/IEC 27031:2025 ist ein wichtiger Schritt, um Unternehmen widerstandsfähiger gegen IT-Risiken zu machen. Mit seiner klaren Struktur, der Verbindung zu bestehenden Managementsystemen und dem Fokus auf moderne Technologien bietet er Organisationen einen praxisnahen Rahmen, um ICT-Resilienz in ihre GRC-Strategien zu integrieren. Wer frühzeitig auf den neuen Standard setzt, verbessert nicht nur seine Reaktionsfähigkeit, sondern stärkt langfristig seine Wettbewerbsfähigkeit.

---

FAQ

Was ist der Unterschied zwischen ISO 27031 und ISO 22301?
ISO 22301 definiert den allgemeinen Rahmen für Business Continuity Management. ISO 27031 konkretisiert, wie ICT-Systeme darin eingebunden werden.

Ist ISO/IEC 27031 zertifizierbar?
Nein, der Standard ist ein Leitfaden. Er ergänzt Zertifizierungen wie ISO 27001 und ISO 22301, die für Audits und externe Nachweise genutzt werden können.

Welche Unternehmen sollten ISO 27031 umsetzen?
Alle Organisationen, die stark von IT und digitalen Prozessen abhängig sind. Besonders relevant ist er für Finanzdienstleister, Industrie, Energie, Gesundheitswesen und öffentliche Verwaltung.

Was ist ICT-Readiness?
ICT-Readiness bezeichnet die Fähigkeit von Informations- und Kommunikationstechnologien, im Krisenfall die Kontinuität des Geschäftsbetriebs sicherzustellen.

Welche Vorteile bringt die Anwendung?
Bessere Resilienz, klare Prozesse im Krisenfall, höhere Compliance-Sicherheit und Stärkung des Vertrauens bei Stakeholdern.