Beim Lesen des Berichts von Radar, Northwave und OneMore Secure bleibt mir eine Formulierung besonders im Kopf – technisch und zugleich aufschlussreich:"Supply Chain Security… fällt auf 2,5 ab, was sie zu einer der am schlechtesten bewerteten Maßnahmen macht." Das ist mehr als nur eine Zahl. Es beschreibt einen Riss im Eis. Einen Riss, der nicht dort entsteht, wo wir hinsehen, sondern an Stellen, die wir übersehen haben. Und dieser Riss wächst schon lange.
Es ist fast unheimlich, wie gut das mit dem übereinstimmt, was ENISA in seinem Threat Landscape-Bericht beschreibt: Angreifer wählen immer öfter Lieferanten als Angriffspunkt, da dies "hohe systemische Auswirkungen mit minimalem Aufwand" ermöglicht. Die IBM X-Force-Analyse von 2025 zeigt, dass 82 Prozent der Angriffe mittlerweile "malwarefrei" sind – die Täter dringen nicht mehr gewaltsam ein, sondern nutzen bereits vorhandene Schwachstellen. Zudem liegt die Durchbruchszeit jetzt bei 29 Minuten. Es geht längst nicht mehr nur um Technik, sondern um Zeit.
Was mich aber wirklich innehalten lässt, sind nicht die Zahlen allein, sondern der Kontrast: Schweden ist eines der am stärksten digitalisierten Länder der Welt. Wir sind Vorreiter bei KI, IoT, Automatisierung und Cloud-Diensten. Wir bauen komplexe Systeme, die alles verbinden – von Häfen über Krankenhäuser bis hin zur Industrieproduktion. Wir sind wie ein riesiges Eisfeld, verbunden durch dünne, elegante Strukturen, wo ein einziger Riss die ganze Fläche zum Vibrieren bringen kann.
Und doch ist genau an diesen Verbindungen unsere Reife am geringsten. Es ist keine technische, sondern eine kulturelle Herausforderung. Wir haben eine Gesellschaft aufgebaut, die darauf vertraut, dass das Eis trägt. Aber wir sprechen nicht darüber, was passiert, wenn es das nicht mehr tut.
Hier beginne ich zu überlegen, ob wir unser Denken grundlegend ändern müssen. Ich sage oft, dass wir als digitale Individuen und Unternehmen nicht mehr Regeln, Checklisten oder Rahmenwerke brauchen, die niemand umsetzt. Keine Zertifikate, die nichts bedeuten, sondern etwas Fundamentaleres. Wir brauchen eine neue Erzählung darüber, was digitale Resilienz wirklich bedeutet.
Wenn die EU-Richtlinie NIS2 von "Supply Chain Governance" und "Management Accountability" spricht, versucht sie uns Folgendes zu vermitteln: Sicherheit ist keine interne Angelegenheit mehr. Sie ist eine gemeinsame Infrastruktur – wie das Stromnetz, die Straßen oder das Leitungswasser. Es geht nicht darum, jede einzelne Organisation zu schützen, sondern das gesamte Eisfeld. Niemand ist unwichtig, kein Unternehmen trägt nicht direkt oder indirekt zur gesellschaftlichen Sicherheit bei. Daher halte ich Diskussionen darüber, ob man von NIS2/CSL betroffen ist, für irrelevant. Die Frage sollte lauten: WIE bin ich betroffen, und WAS muss ich tun?
Vielleicht liegt hier eine einzigartige Chance für Schweden. Wir sind ein kleines, aber wichtiges Land. Gewohnt an Zusammenarbeit, mit kurzen Entscheidungswegen, einer öffentlichen Hand, die bündeln kann, und einer Privatwirtschaft, die schnell handelt. Unsere Kultur erlaubt es, Menschen an einen Tisch zu bringen, um gemeinsame Probleme zu besprechen. Diese Stärke zeigt sich nicht in technischen Kennzahlen, ist aber entscheidend, wenn sich Landschaften verändern. Wir sind schließlich das Land von Minecraft, Spotify, ABBA, Björn Borg, Erdbeeren, Milch und vielem mehr.
Stellen wir uns vor, wir nutzen diese enorme Innovationskraft, um etwas Einzigartiges zu schaffen – keine neue Behörde, keine weitere Regelwerkschicht, keine Netzwerke, die nur elitäre Clubs sind, sondern ein echtes Netzwerk, das die Risse im Eis erkennt und einfach kommuniziert. Informationen teilen, bevor sie gefährlich werden. Handeln, bevor jemand durchbricht. Cybersicherheit nicht als Kostenfaktor sehen, sondern als Grundvoraussetzung, damit das ganze Eisfeld trägt.
Das mag naiv klingen. Doch genau solche Gedanken brauchen wir, wenn sich die Welt schneller verändert als unsere Institutionen folgen können. Denn Studien von ENISA bis zur EU-Kommission zeigen: Erfolgreich sind die Länder, die verstehen, dass digitale Resilienz keine technische, sondern eine gesellschaftliche Frage ist. Dann dürfen diese Netzwerke nicht nur aus Machthabern, Politikern, Behörden und ausgewählten Unternehmen bestehen. Sie müssen die Vielfalt des echten digitalen Schwedens widerspiegeln.
Und genau hier müssen wir anfangen: Mutig zu sagen, dass das Eis sich bewegt – an alle, die betroffen sind. Informieren, dass Risse existieren, wie sie sich bewegen und verhalten. Nicht mehr so tun, als stünde jedes Unternehmen auf einer eigenen Plattform oder müsse allein zurechtkommen. Wir sind verbunden, mit allen Vor- und Nachteilen. Eine echte Herdenimmunität gegen digitale Gefahren schaffen, Schwachstellen mit gemeinsamen Erfahrungen schließen.
Am Ende überlebt nicht das stärkste Unternehmen. Überlebt wird die Gesellschaft, die auf das Flüstern vor dem Sturm hört und so allen das Überleben ermöglicht.
Quellenverzeichnis
Radar, Northwave & OneMore Secure.(2026).Threat Intelligence Update Q1 – Cyber Risk Navigator: Aufbau operativer Resilienz.(Hauptquelle für Zahlen zu Supply Chain-Reife, KI-gesteuerten Angriffen und NIS2-Compliance.)
ENISA – Agentur der Europäischen Union für Cybersicherheit.(2024).ENISA Threat Landscape 2024.(Grundlage für Analysen zu Angreifermethoden, Lieferkettenangriffen und systemischen Risiken.)
ENISA – Agentur der Europäischen Union für Cybersicherheit.(2023).Good Practices zur Cybersicherheit in Lieferketten.(Basis für die Analyse struktureller Schwächen in Lieferketten und Systemeffekte.)
IBM Security X‑Force.(2025).Threat Intelligence Index 2025.(Quelle für Zahlen zu malwarefreien Angriffen, identitätsbasierten Angriffen und Durchbruchzeiten.)
EU-Kommission.(2023–2025).NIS2-Umsetzungsberichte & Bewertungen der Mitgliedstaaten.(Grundlage für Diskussionen über NIS2-Reife, Governance-Anforderungen und Herausforderungen der Mitgliedstaaten.)
EU-Kommission.(2022).Richtlinie (EU) 2022/2555 – NIS2-Richtlinie.(Primäre Rechtsquelle für Anforderungen an Supply Chain Governance, Managementverantwortung und risikobasierte Maßnahmen.)
Microsoft Digital Defense Report.(2023–2025). (Hintergrund für Analysen zu KI-gesteuerten Angriffen, Identitätsmissbrauch und globalen Bedrohungen.)
World Economic Forum.(2024).Global Cybersecurity Outlook.(Grundlage für Diskussionen zu Geopolitik, systemischen Risiken und organisatorischer Reife.)
OECD.(2023).Digitales Sicherheitsrisikomanagement für wirtschaftlichen und sozialen Wohlstand.(Theoretische Grundlage für die Verbindung von digitaler Resilienz und Wettbewerbsfähigkeit.)
MSB / Schwedische Behörde für Bevölkerungsschutz und Katastrophenmanagement.(2023–2025).Nationale Lagebilder und Analysen zu Cyberbedrohungen.(Schwedischer Kontext für Reife der öffentlichen Verwaltung und Systemabhängigkeiten.)
Säkerhetspolisen.(2024).Jahresbericht – Cyberbedrohungen für Schweden.(Grundlage für Analysen staatlicher Akteure und Systemeinflüsse.)
Gartner Research.(2024).Trends bei der Erkennung und Reaktion auf Identitätsbedrohungen.
