Blog des deutschen Enterprise-Software-Ingenieurbüro und Unternehmensberatung 4WT Co., Ltd. in Bangkok

Deutsche Ingenieure mit über 36 Jahren praktischer Erfahrung remote aus Bangkok.
Wir verbinden technische Exzellenz mit unternehmerischer Beratungskompetenz.
https://it-e-com.de
WhatsApp-Kanal | RSS-Feed
Inhaltsverzeichnis
04.01.2026
Warum technolog
04.01.2026
Der blinde Flec
02.01.2026
Geiz ist geil?
31.12.2025
Kapital wird im
30.12.2025
Sanierung oder
29.12.2025
Wenn Technik ni
27.12.2025
Warum gerade je
27.12.2025
Teil 3: Das Ner
27.12.2025
Teil 2: Das Ner
27.12.2025
Teil 1: Das Ner
24.12.2025
Wenn Führung d
23.12.2025
Der Jahreswechs
23.12.2025
Weiterwursteln
23.12.2025
Die Zeitbombe i
23.12.2025
Warum Ihr IT-Pr
18.12.2025
Wenn IT-Projekt
14.12.2025
Warum IT-Proble
02.12.2025
Urheberrecht in
21.11.2025
Wer wir bei 4WT
20.11.2025
Warum Ihre Firm
19.11.2025
Hat unsere Gese
17.11.2025
Warum ein Gesch
12.11.2025
Warum 4WT bewus
09.11.2025
Echte deutsche
07.11.2025
Definitionssach
29.10.2025
Die Ingenieure
28.10.2025
Wie Unternehmen
22.10.2025
Unternehmensber
18.10.2025
Warum deutsche
11.10.2025
Prognose einer
06.10.2025
Java im Wandel:
04.10.2025
Wie eine KI Uwe
26.09.2025
Deutschland ste
18.09.2025
Der Zyklus der
10.09.2025
Von der DDR bis
27.08.2025
Expat-Alternati
23.08.2025
Was macht eigen
16.08.2025
Expansion nach
11.08.2025
Der 4WT Krisenk
09.08.2025
IT-Resilienz 20
01.08.2025
Warum ich meine
29.07.2025
Warum wir arbei
21.07.2025
Porträt: Uwe R
20.07.2025
Warum deutsche
15.07.2025
Wie mittelstän
22.06.2025
Wie wir bei 4WT
16.06.2025
Software-Ingeni
16.06.2025
Software Tester
15.06.2025
German Engineer
13.06.2025
Klartext für C
11.06.2025
Kann eine KI in
10.06.2025
Kann eine KI in
09.06.2025
Vom Unternehmer
03.06.2025
Freiberufler un
04.05.2025
Was kostet eine
02.05.2025
Thailand als Pr
30.04.2025
Effizientes Tes
29.04.2025
Offshore-Outsou
26.04.2025
Der unerwartete
25.04.2025
Thailand als Of
24.04.2025
Warum professio
23.04.2025
Vergleich erfah
22.04.2025
Die unterschät



Audio: Blogcast zu diese Seite:
Video: Seitenzusammenfassung


Der blinde Fleck vieler Geschäftsführer: Sie haften – aber Ihre Organisation arbeitet dagegen

Der blinde Fleck vieler Geschäftsführer: Sie haften – aber Ihre Organisation arbeitet dagegen
Viele Geschäftsführer im Mittelstand investieren derzeit in KI-Agenten für Kundenservice, prüfen Automatisierung statt Neueinstellung, beschäftigen sich mit Retention Management, Liquiditätssicherung oder lassen eine Unternehmensbewertung per KMU-Rechner durchführen. All das ist sinnvoll.

Was jedoch oft übersehen wird:

Die größte Haftung entsteht nicht durch fehlende Innovation – sondern durch scheinbar harmlose Alltagsprozesse.


„Wir nutzen doch HTTPS“ –
warum dieses Argument unter NIS-2 nicht mehr trägt

Ein Klassiker aus der Praxis:
  • Passwörter werden per E-Mail versendet
  • Zugangsdaten stehen im GET-Parameter einer URL
  • Der Einwand lautet: „Der Transport ist doch verschlüsselt (HTTPS).“
Technisch ist das korrekt.
Rechtlich und organisatorisch ist es unter NIS-2 eine Katastrophe.

Warum?
  • GET-Parameter landen im Klartext:
    • in Server-Logs (access.log)
    • im Browser-Verlauf
    • in Proxy- und Firewall-Logs
      → Verstoß gegen Security by Design
  • E-Mails:
    • liegen jahrelang unverschlüsselt im Postfach
    • im „Gesendet“-Ordner des Kunden
    • im Support-Postfach Ihres Unternehmens
Das Entscheidende:
Das ist kein Hackerangriff.
Das ist eine grob fahrlässige Schwachstelle im Standardprozess.

Unter NIS-2 ist genau das der Punkt, an dem die persönliche Haftung des Geschäftsführers beginnt:

    Sie hätten organisatorisch und technisch sicherstellen müssen,
    dass sensible Daten nicht so verarbeitet werden.


Die „Passwort-Richtlinie“ und die TXT-Datei in der Schublade

Ein zweites, ebenso typisches Szenario:
  • Der Geschäftsführer unterschreibt eine Passwort-Richtlinie
    (12 Zeichen, Sonderzeichen, Wechsel alle 90 Tage)
  • Der Administrator denkt sich:
    „Das kann sich kein Mensch merken.“
  • Ergebnis:
  • passwords.txt
    • oder der berühmte Zettel in der Schublade
Das eigentliche Haftungsproblem liegt nicht beim Admin, sondern beim Geschäftsführer.

Unter NIS-2 reicht es nicht mehr, Regeln zu erlassen.
Sie haben eine Überwachungspflicht.

Die kritische Frage des Auditors lautet dann:

    „Herr Geschäftsführer, wie haben Sie technisch sichergestellt,
    dass Mitarbeiter keine Passwort-TXT-Dateien anlegen können?“

Die Antwort

    „Ich habe ihnen vertraut.“

ist keine Entlastung, sondern der Beweis eines Organisationsverschuldens.


Das eigentliche Dilemma: Unpraktische Regeln erzeugen Regelverstöße

Die Realität im Mittelstand ist klar:
  • Ihre Mitarbeiter umgehen Regeln nicht aus Böswilligkeit,
  • sondern weil sie unpraktisch sind.
  • Gleichzeitig haften Sie persönlich, wenn genau diese Umgehungen zum Vorfall führen.
Das ist der Kernkonflikt moderner Geschäftsführung:
Sie tragen die Haftung – aber die operative Realität entzieht sich Ihrer Kontrolle.


Die Lösung liegt nicht in mehr Papier, sondern in Technik

Genau hier greifen moderne, haftungsrelevante Schutzmechanismen:
  • Identity & Access Management (IAM)
  • Single Sign-On (SSO)
  • Privileged Access Management (PAM)
  • Sichere Datentransfer-Verfahren (z. B. One-Time-Secret statt E-Mail)
 Diese Systeme lösen zwei Probleme gleichzeitig:
  • Ihre Mitarbeiter können die Regeln einhalten, ohne Umwege zu suchen
  • Sie erfüllen Ihre Überwachungs- und Organisationspflicht nachweisbar
 Das ist der eigentliche NIS-2-Schutzschild für Geschäftsführer.


KI, Automatisierung und Cyber-Haftung gehören zusammen

Ob Sie:
  • KI im Vertrieb automatisieren
  • KI-Use-Cases in der Produktion einführen
  • KI-Agenten im Kundenservice integrieren
  • über Stiftungslösungen, Unternehmensbörsen, einen Unternehmensbroker oder sogar einen Notfallplan bei Geschäftsführer-Ausfall nachdenken
 entscheidend ist immer dieselbe Frage:

Ist Ihre Organisation so gebaut,
dass sie auch unter Stress, Wachstum und Automatisierung rechtssicher funktioniert?

    Wenn nicht, entsteht kein technisches Risiko –
    sondern ein persönliches Haftungsrisiko.


Fazit für Geschäftsführer

  • NIS-2 ist kein IT-Thema, sondern Unternehmensführung
  • Vertrauen ersetzt keine technischen Kontrollen
  • Unpraktische Regeln erzeugen Haftung
  • Gute Technik schützt Menschen, nicht nur Daten
  • Cyber-Sicherheit ist heute Teil der Liquiditäts- und Existenzsicherung
Nicht, weil Hacker gefährlich sind –
sondern weil Organisationen es oft selbst sind.


Rechtlicher Hintergrund: Warum NIS-2 die Rolle des Geschäftsführers verändert

Die NIS-2-Richtlinie der EU ist kein IT-Projekt und kein Spezialgesetz für Konzerne.
Sie ist eine Governance- und Haftungsrichtlinie, die die Verantwortung ausdrücklich auf die Geschäftsführungsebene verlagert.

Für welche Unternehmen gilt NIS-2?

Hier ist eine wichtige Einordnung notwendig, um unnötige Verunsicherung zu vermeiden:
  • Unternehmen, die keine
    • Vertrauensdiensteanbieter (Trust Service Provider),
    • öffentlichen Telekommunikationsanbieter
    • oder Anbieter strategisch kritischer Leistungen
      sind, fallen nicht automatisch unter NIS-2.
  • Für diese Unternehmen greift NIS-2 grundsätzlich erst ab der Schwelle „mittleres Unternehmen“:
    • ab 50 Mitarbeitenden oder
    • ab 10 Mio. Euro Jahresumsatz
Kleine Unternehmen unterhalb dieser Schwelle sind in der Regel nicht unmittelbar betroffen.

Aber:
Sobald diese Größenordnung erreicht ist – oder absehbar erreicht wird –
stellt sich nicht mehr die Frage ob, sondern wie Sie vorbereitet sind.


Ab wann gilt NIS-2?

  • Die EU-Richtlinie ist seit 2023 beschlossen
  • Die nationale Umsetzung in den Mitgliedsstaaten läuft
  • Für Unternehmen bedeutet das:
    ab 2025/2026 gelten die Pflichten faktisch verbindlich, Prüfungen und Sanktionen folgen zeitversetzt
Entscheidend für Sie als Geschäftsführer ist nicht das exakte Inkrafttretensdatum, sondern:

    Ab jetzt wird geprüft, ob Sie sich vorbereitet haben.


Was NIS-2 konkret vom Geschäftsführer verlangt – in Klartext

NIS-2 verlangt keine technische Detailkenntnis vom CEO.
Aber sie verlangt nachweisbare organisatorische Verantwortung.
Konkret heißt das:
  • Sie dürfen sich auf IT-Spezialisten stützen
  • Sie dürfen Verantwortung delegieren
  • Sie dürfen Haftung nicht delegieren
Die Richtlinie spricht ausdrücklich von:
  • angemessenen technischen UND organisatorischen Maßnahmen
  • Überwachungspflichten der Geschäftsleitung
  • persönlicher Verantwortlichkeit bei vorhersehbaren Schwachstellen
Der zentrale Punkt ist neu und für viele ungewohnt:

    „Ich habe meinem IT-Team vertraut“ gilt nicht mehr als Entlastung.


Warum Vertrauen in diesem Kontext leichtsinnig wäre

Das klingt hart, ist aber realistisch:
  • Ihre Mitarbeiter handeln nicht falsch,
  • sie handeln pragmatisch.
Aus der Praxis wissen wir:
  • Mitarbeiter kennen Datenschutzregeln
  • sie wissen, was „richtig“ wäre
  • sie bekommen aber oft weder Prozesse noch Werkzeuge, um es richtig zu tun
Der typische Zielkonflikt:
  • Prozesse senken kurzfristig Produktivität
  • Sicherheits-Tools kosten Lizenzen
  • Budgets werden nicht freigegeben
  • Leistung wird trotzdem erwartet
Die logische Folge:

    Der Mitarbeiter wählt den Weg des geringsten Widerstands.

Nicht aus Bequemlichkeit, sondern aus Systemdruck.

Seit dem 1.1.2026 wird genau dieses Verhalten für die Geschäftsführung gefährlich:
Nicht das Wissen der Mitarbeiter zählt, sondern die organisatorische Ermöglichung durch das Unternehmen.


Warum interne Kontrollen nicht ausreichen

Ein CEO steht hier in einem strukturellen Dilemma:
  • Interne IT prüft sich faktisch selbst
  • Interne Audits sind Teil der Hierarchie
  • Kritische Punkte werden oft „mitgedacht“ oder relativiert
NIS-2 setzt deshalb implizit auf ein bekanntes Prinzip aus anderen Hochrisikobereichen:

    Unabhängige, externe Prüfung

Nicht aus Misstrauen gegenüber Mitarbeitern, sondern:
  • zur Entlastung der Geschäftsführung
  • zur objektiven Bewertung realer Prozesse
  • zur Dokumentation, dass Organisationspflichten erfüllt wurden
Ein externes Audit ist damit kein Kontrollinstrument, sondern:
ein Haftungsschutz für den Geschäftsführer.


Der Denkfehler vieler CEOs

Viele Geschäftsführer denken:

    „Wenn ich Prozesse verschärfe und Tools einführe, verliere ich Produktivität.“

Kurzfristig ist das oft richtig.
Langfristig ist es gefährlich.

Denn NIS-2 bewertet nicht, ob Ihre Mitarbeiter schnell arbeiten,
sondern ob Ihr Unternehmen vorhersehbare Risiken organisatorisch beherrscht.

Oder anders gesagt:

    Produktivität ohne Struktur ist seit 2026 kein Wettbewerbsvorteil mehr,
    sondern ein Haftungsrisiko.


Einordnung zum Schluss

NIS-2 will keine Angst erzeugen.
Die Richtlinie folgt einer einfachen Logik:
  • Komplexe, digitalisierte Organisationen
  • können nicht mehr allein auf Vertrauen basieren
  • Verantwortung muss systemisch abgesichert werden
Für Geschäftsführer bedeutet das:

    Nicht mehr selbst alles wissen zu müssen –
    aber sicherzustellen, dass Wissen, Prozesse und Technik zusammenpassen.

Genau hier beginnt professionelle Unternehmensführung im digitalen Zeitalter.



Copyright Ingenieurbüro 4WT, 4wt-it.com


In welchem Blogartikel kommt folgendes Suchwort vor?   
Filter:  
Video-Zusammenfassung dieser Seite:


Copyright Ingenieurbüro 4WT, 4wt-it.com

Über 4WT
Dieser Beitrag spiegelt die Perspektive von 4WT wieder – einem Ingenieurbüro, das Unternehmen dabei unterstützt, komplexe IT-Landschaften wieder beherrschbar zu machen.
Unser Fokus liegt nicht auf schnellen Lösungen oder Methodentrends, sondern auf Klarheit, Entscheidungsfähigkeit und verantwortungsvoller Automatisierung an der Schnittstelle zwischen Unternehmertum und IT.

Call-to-Action:

Hinweis: Den besten Überblick über diesen Artikel erhalten Sie durch Abspielen des Audio-Broadcast ganz oben auf dieser Seite.
4WT – Deutsches Enterprise-Software-Ingenieurbüro & Unternehmensberatung in Thailand

Wir sind gestandene IT-Ingenieure und seit über 35 Jahren Unternehmer und Geschäftsführer.
Vom Freiberufler über Personengesellschaften bis zur Kapitalgesellschaft kennen wir beide Welten: Technik und Verantwortung.

Sie bekommen deutsche Ingenieurs-Härte (das Team) PLUS asiatische Diplomatie und Netzwerk (Pam/CEO).
Wir lösen technische Probleme mit dem Vorschlaghammer und politische Probleme mit dem Florett.

4WT wurde 1990 in Berlin gegründet und arbeitet seit 2008 aus Bangkok für Unternehmen aus dem DACH-Raum.
Unser Schwerpunkt liegt nicht auf „neuen Features“, sondern auf Stabilität, Transparenz und Entscheidungsfähigkeit in bestehenden IT-Landschaften.

Wir unterstützen Mittelstand und Konzerne bei:
  • Legacy-Stabilisierung und Blackbox-Analysen
  • Qualitätssicherung, Test-Engineering und technische Due Diligence
  • strukturellen IT-Problemen an der Schnittstelle von Technik, Organisation und Management

Deutsche Ingenieurslogik für KMUs in unsicheren Zeiten. Wir verstehen IT nicht als Selbstzweck, sondern als Nervensystem des Unternehmens.
Wer IT nachhaltig verbessern will, muss Prozesse, Menschen und Entscheidungslogik mitdenken – genau hier beginnt unsere Arbeit.

Einsatzbereit für temporäre Stabilisierungs-, Übergabe- oder Feuerwehr-Mandate.
Remote, fokussiert, ohne Meeting-Overhead – mit klaren Ergebnissen für die Geschäftsführung.

4WT arbeitet zu über 99 % für deutsche Klienten.
Abrechnung in EUR (DE-Konto), THB/USD (TH-Konto) sowie ausgewählten Kryptowährungen.

4WT Co., Ltd.  ·  Bangkok Ministry of Commerce Thailand  ·  Reg.-Nr. 010555101551


Uwe Richter, COO 4WT Co., Ltd. https://it-e-com.de

Weitere Themen und Artikel finden Sie auf: LinkedIn


© 2008 Deutsches Software-Ingenieurbüro und Unternehmensberatung 4WT Co., Ltd.
- Deutsche Qualität. Globale Lösungen. | Bangkok, Thailand | Impressum  

🤖

Fragen Sie unseren KI-Assistenten