Resilienz

DALL·E 2024-07-17 10.58.39 - A realistic widescreen image depicting the resilience strategy of German industry. The scene features modern factories with advanced machinery and rob

Die Resilienz deutscher Unternehmen lässt sich derzeit an einer merkwürdigen Doppelbewegung ablesen: Sie wird strategisch höher bewertet als je zuvor – und operativ zugleich dort am häufigsten verletzt, wo man sich lange auf Routine verlassen hat. In den Risiko-Rankings der Versicherer und Beratungen steht „Cyber“ inzwischen nicht mehr als Spezialthema im IT-Keller, sondern als betriebswirtschaftlicher Stresstest für Produktion, Lieferfähigkeit und Reputation. Der Allianz Risk Barometer 2026 führt Cybervorfälle – inklusive Ransomware – erneut als Top-Risiko; bemerkenswert ist, dass KI-Risiken in der Wahrnehmung stark nach oben rücken.

Wer wissen will, wie das in Deutschland „unten“ aussieht, muss nur die nüchternen Zahlen der Angriffsrealität lesen. PwC verweist in der Deutschlandauswertung der Digital Trust Insights 2026 darauf, dass in den vergangenen drei Jahren rund 89 Prozent der deutschen Unternehmen von Datendiebstahl oder -missbrauch betroffen gewesen seien. Das ist keine Randnotiz mehr, sondern beschreibt den Normalzustand für ein Land, das seine Wertschöpfung über vernetzte Lieferketten und digitalisierte Prozesse organisiert.

Resilienz wird vielerorts noch immer mit „mehr Prävention“ verwechselt – als ließe sich das Risiko durch eine weitere Tool-Lizenz und ein Security-Poster in der Kantine erledigen. PwC setzt dem ausdrücklich das Resilienzverständnis entgegen: Es geht nicht nur darum, Angriffe zu verhindern, sondern den Betrieb unter Angriff stabil zu halten und schnell wiederherzustellen. Genau diese Fähigkeit – das Weiterarbeiten trotz Störung – ist in vielen Organisationen weniger ausgeprägt als das Vokabular, das man darüber pflegt.

Die Behördenperspektive fällt ähnlich aus, nur weniger geschäftsfreundlich formuliert. Der BSI-Lagebericht zur IT-Sicherheit 2025 wird in mehreren Medienberichten als „angespannt“ zusammengefasst; die Angriffsflächen seien oft unzureichend geschützt, neue Phishing-Varianten und organisierte Erpressung blieben Treiber. Besonders auffällig ist ein Detail, das für die deutsche Unternehmenslandschaft mit ihrem Mittelstands-Kern politisch wie ökonomisch brisant ist: Laut Zeit-Bericht zum BSI-Lagebild richtete sich der Großteil der zur Anzeige gebrachten Ransomware-Fälle gegen kleinere und mittlere Unternehmen – gerade dort, wo Notfallorganisation, Personaldecke und Professionalität strukturell knapper sind.

Resilienz ist allerdings mehr als Cyber. Sie beginnt inzwischen früher, bei der Frage, ob ein Unternehmen seine digitale Wertschöpfung überhaupt aus eigener Hand steuern kann. Bitkom hat im November 2025 die Debatte um „digitale Souveränität“ mit Zahlen unterfüttert, die man auch als Resilienzindikator lesen kann: Neun von zehn Unternehmen seien digital abhängig; 57 Prozent könnten ohne Digitalimporte maximal ein Jahr überstehen. Das ist kein Plädoyer für Autarkie, sondern eine Erinnerung daran, dass Abhängigkeit nicht erst dann gefährlich wird, wenn sie politisch eskaliert – sondern sobald sie in einer Krise die Handlungsfähigkeit einschränkt, etwa durch Exportkontrollen, Cloud-Ausfälle, Lizenzentzug oder schlicht Konzentrationsrisiken bei wenigen Anbietern.

Damit sind wir bei der Form von Resilienz, die in den Chefetagen gern „Supply Chain“ heißt, im Alltag aber häufig „zu spät gemerkt“ bedeutet. Handelsblatt beschreibt im Dezember 2025, wie sich der Welthandel nach Pandemie, Klimarisiken und Geopolitik vom Effizienzparadigma wegbewegt: Transparenz, Flexibilität und Verlässlichkeit rücken in den Vordergrund. Der Satz klingt wie eine Managementfloskel – bis man ihn als Kostenrechnung liest. Denn Resilienz ist selten billig, aber Unresilienz ist häufig ruinös: Sie materialisiert sich als Produktionsstillstand, Vertragsstrafen, beschleunigte Kundenabwanderung – und als dauerhafte Risikoaufschläge in Einkauf, Finanzierung und Versicherung.

Dass Deutschland an dieser Stelle strukturell exponiert bleibt, hat mit seiner internationalen Arbeitsteilung zu tun: hohe Exportquote, tiefe Zuliefernetze, starke Spezialisierung. Der geopolitische Teil des Resilienzproblems wird daher nicht im Seminarraum gelöst. Eine aktuelle Welt-Analyse (mit Verweis auf Experten und Unternehmensaktivität in Taiwan) schildert, wie schnell eine Taiwan-Eskalation zur realen Knappheit bei Halbleitern werden könnte – und wie unvorbereitet Politik und Unternehmen auf solche „Szenario-Schocks“ oft sind. Resilienz heißt dann nicht mehr „robuster Prozess“, sondern ganz banal: alternative Bezugsquellen, Lagerlogik, Second Sourcing, Vertragsdesign und die Fähigkeit, Produkte notfalls zu redesignen.

Auf der Cyber-Seite bekommt dieses Lieferkettenargument eine zweite, digitale Dimension. Der World Economic Forum-Ausblick 2026 wird in aktuellen Branchenberichten so zusammengefasst, dass KI und Drittparteien-/Supply-Chain-Risiken zu den dominierenden Treibern der Bedrohungslage gehören: Angriffsflächen wachsen durch GenAI, und Abhängigkeiten von Software-Lieferketten und wenigen Plattformen erzeugen systemische Kaskadenrisiken. Das ist für deutsche Unternehmen deshalb relevant, weil ihre Sicherheitsarchitektur häufig stärker „unternehmenszentriert“ gedacht ist – während reale Angriffe längst „ökosystemzentriert“ funktionieren: Der Angriff kommt nicht durch die Haustür, sondern über den Dienstleister, das Update, das Plugin, den externen Zugriff.

Wie steht es also um die Resilienz deutscher Unternehmen – jenseits der Begriffspolitik? Man kann es so zuspitzen: In der Wahrnehmung sind viele weiter, in der Messbarkeit weniger. Selbst dort, wo investiert wird, fehlt oft die harte Operationalisierung: Welche kritischen Prozesse müssen im Ernstfall in welcher Zeit wieder laufen? Welche Systeme sind wirklich „Tier 0“? Welche Abhängigkeiten sind unbekannt? Wer entscheidet im Angriff, wenn Geschwindigkeit wichtiger ist als Gremienroutine? Die Praxis zeigt, dass Resilienz nicht am Mangel an Strategiepapiere scheitert, sondern an der fehlenden Übersetzung in Betriebsmechanik: Übungen, Rollenklarheit, Wiederanlaufpläne, saubere Identitäten, segmentierte Netze, überprüfbare Backups, belastbare Kommunikationswege.

Der entscheidende Punkt ist dabei organisatorisch – und typisch deutsch. Resilienz kollidiert mit der impliziten Annahme, dass Normalbetrieb der Regelfall sei und Störung die Ausnahme. Unter digitalen Bedingungen ist es umgekehrt: Störung ist der Regelfall, Normalbetrieb das Ergebnis von Vorbereitung. Das erklärt auch, warum Resilienz inzwischen bis in die Produktpolitik hineinwandert: Wer digitale Produkte in der EU verkauft, wird sich künftig stärker an Sicherheitsanforderungen, Meldepflichten und Nachweissystematiken orientieren müssen; das verschiebt Verantwortung weg vom „IT macht das“ hin zur Geschäftsleitung, weil Ausfälle und Datenvorfälle längst als Geschäftsrisiko behandelt werden.

Was folgt daraus für Deutschland als Standort und für Unternehmen als Akteure? Erstens: Resilienz muss als Produktivitätsfrage verstanden werden, nicht als Sicherheitsromantik. Wer Ausfälle reduziert, verkürzt nicht nur Downtime, sondern stabilisiert Liefertermine, senkt Ausschuss, vermeidet Eskalationskosten. Zweitens: Die Debatte um digitale Souveränität ist in der Praxis eine Debatte um Konzentrationsrisiken – und damit um Architekturentscheidungen: Multi-Cloud, Exit-Fähigkeit, Standardisierung, Vertrags- und Datenportabilität. Drittens: Der Mittelstand braucht Resilienzmodelle, die ohne Konzernapparat funktionieren – nicht als abgespeckte Kopie, sondern als eigenes Betriebssystem: klare Minimalstandards, Managed Services dort, wo Skaleneffekte real sind, und konsequente Notfallfähigkeit.

Resilienz ist damit ein Lackmustest für die deutsche Unternehmensführung im digitalen Zeitalter. Die gute Nachricht lautet: Das Thema ist oben angekommen – in Risiko-Rankings, in Vorständen, in Budgets. Die schlechte: Die Angriffsrealität ist schneller als die organisatorische Reife. Deutschland steht bei Resilienz nicht am Anfang. Aber es steht auch nicht dort, wo es gern stünde: bei der ruhigen Gewissheit, dass ein Schlag kommt – und der Betrieb trotzdem weiterläuft.

Seit Oktober 2025 liest sich Resilienz in den großen Beratungsstudien erstaunlich einheitlich: nicht als „Krisenmodus“, sondern als Betriebszustand – und zwar dort, wo Deutschland traditionell stark war (Industrie, Export, komplexe Wertschöpfung). Der gemeinsame Nenner lautet: Wer Resilienz weiterhin als Vorratshaltung versteht, baut Lager; wer sie als Fähigkeit begreift, baut Entscheidungs- und Datenwege.

Erstens rückt Geopolitik vom Außenrauschen ins Pflichtenheft der Unternehmensführung. McKinsey beschreibt das ausdrücklich als Managementaufgabe: Unternehmen sollen eine klare „house view“ entwickeln, Szenarien regelmäßig durchspielen und operative Flexibilität so gestalten, dass man Märkte „öffnen“ oder „schließen“ kann, ohne die Organisation zu lähmen. BCG geht noch einen Schritt weiter und baut dafür sogar Strukturen wie ein „Center for Geopolitics“ aus – die Botschaft: Geopolitik wird nicht mehr kommentiert, sondern als Fähigkeit organisiert.

Zweitens verschmilzt Resilienz immer stärker mit Cyber- und Digital-Trust-Themen. PwC zeigt für Deutschland eine harte, wenig romantische Ausgangslage: 89 % der Unternehmen waren in den letzten drei Jahren von Datendiebstahl/-missbrauch betroffen; 92 % sehen wegen geopolitischer Unsicherheiten akuten Handlungsbedarf und wollen ihre Cyberstrategie kurzfristig weiterentwickeln. Das ist der Punkt, an dem „Resilienz“ in der Praxis nicht mehr nur Lieferketten-Redundanz bedeutet, sondern auch Software-Lieferkette, Cloud-Risiken, Drittparteien, KI-/Quanten-Bedrohungen – also die Verwundbarkeit der digitalen Produktionsrealität.

Drittens wird klarer, warum Deutschland (und DACH) beim Thema „Resilienz durch Digitalisierung“ oft mehr pilotiert als skaliert. Strategy&/BVL nennen das „Digitalisierungsparadox“ in der Logistik: 96 % sind in Transformation, aber nur 10 % skalieren Technologien erfolgreich; bei GenAI sind es 3 % mit unternehmensweiter Integration. Das ist für Resilienz zentral, weil Sichtbarkeit, Frühwarnung, Alternativrouten, „control towers“ und schnelle Umsteuerung eben Skalierung voraussetzen – nicht PowerPoint.

Viertens verschiebt sich der Hebel in Richtung Einkauf/Operations: Roland Berger beschreibt, wie Pandemie, Inflation, Regulierung und Geopolitik den Einkauf vom Kostendrücker zum Stabilitätsanker machen – mit Diversifizierung, neuen Kollaborationsmodellen und (interessant nüchtern) der Aufforderung, die „digitale Revolution“ inklusive GenAI im Einkauf zu nutzen, aber entlang eines klaren Resilienz-Playbooks.

Der Welthandel wird nicht zwingend kleiner – aber anders. BCG skizziert Anfang Januar 2026 Szenarien, in denen der Güterhandel trotz Fragmentierung mit 2,5 % p.a. bis 2034 wachsen könnte (von rund 23 Bio. $ 2024 auf knapp 30 Bio. $ 2034), während sich die Handelsrouten in ein „Patchwork“ regionaler Knoten neu ordnen. Für deutsche Unternehmen liegt der Lackmustest damit weniger in der Frage „Globalisierung ja/nein“, sondern in der Fähigkeit, parallel in mehreren Regelwelten zu operieren: mit robusten Liefer- und Datenketten, schnelleren Entscheidungswegen und einem Resilienzbegriff, der nicht nach Sicherheitsabteilung klingt, sondern nach Wettbewerbsstrategie.