3. Juli 2026 · AI

Shift Up: Cybersecurity als Geschäftsstrategie für CIOs

Executive Summary

  • Shift Left ist strukturell veraltet: Lineare Sicherheitsmodelle scheitern an der Realität moderner Software Supply Chains, agentischer KI und hybrider SAP-Landschaften. Das Paradigma muss vertikal werden, nicht horizontal.
  • Cybersecurity ist ein Geschäftsrisiko, kein IT-Problem: Regulierungen wie NIS2 und SEC-Disclosure-Pflichten verlangen finanzielle Risikokommunikation auf Boardebene – CISOs ohne CRQ-Kompetenz sind strategisch unterqualifiziert.
  • Zu viele Einzellösungen erhöhen das Risiko: Laut Uptycs wurden in den letzten zehn Jahren über 40 Milliarden US-Dollar in mehr als 5.000 Cybersecurity-Startups investiert – Sicherheitsverletzungen sind dennoch häufiger denn je. Fragmentierung ist das eigentliche Problem.
  • Shift Up vereint CISO, CFO, CRO und Board: Cyber Risk Quantification (CRQ) schafft die gemeinsame Sprache, die diese Stakeholder für koordinierte Risikoentscheidungen benötigen.
  • Handlungsbedarf ist unmittelbar: CIOs, die Cybersecurity weiterhin als technische Funktion verwalten, verlieren sowohl regulatorische Compliance als auch strategische Steuerungsfähigkeit.

Strategischer Kontext

Situation: Seit über einem Jahrzehnt hat die Enterprise-Welt Sicherheit entlang einer horizontalen Achse organisiert: früher testen, früher patchen, früher in den Entwicklungszyklus integrieren. Shift Left war das Mantra. Investitionen in DevSecOps, SAST/DAST-Tools und Security Champions flossen in dieses Modell.

Complication: Die Angriffsrealität 2026 ist nicht mehr linear. Software wird nicht mehr in sauberen Pipelines gebaut – sie entsteht in vernetzten Supply Chains, KI-generierten Code-Artefakten und agentischen Workflows. Angreifer denken nicht in Silos, sie nutzen Schwachstellen lateral und adjacent aus. Gleichzeitig erzwingen NIS2, DORA und SEC-Regeln eine Sprache auf Vorstandsebene, die technische Teams nicht sprechen können: finanzielle Risikoaussagen.

Question: Wie müssen CIOs ihr Cybersecurity-Operating-Model neu ausrichten, damit Sicherheit nicht mehr als technisches Kostenproblem, sondern als quantifizierbares Unternehmensrisiko geführt wird?

Answer: Shift Up – die vertikale Verlagerung von Cybersecurity auf Entscheidungs- und Governance-Ebene, gestützt auf Cyber Risk Quantification – ist der einzig skalierbare Ansatz für komplexe Enterprise-Umgebungen.

Warum Shift Left an seine strukturellen Grenzen gestoßen ist

Die Grundprämisse von Shift Left war vernünftig: Wer Sicherheitsprobleme früh im Entwicklungszyklus identifiziert, spart Kosten und reduziert das Exposure. Diese Logik funktionierte, solange Software in kontrollierten, sequenziellen Pipelines entstand und Sicherheit ein technisches Qualitätsproblem war.

Matt Rose, Field CISO bei ReversingLabs, bringt es direkt auf den Punkt: Shift Left hat sich überlebt, weil die Art, wie Software heute entwickelt wird, grundlegend fluider und vernetzter ist. Software Supply Chains, Open-Source-Abhängigkeiten und KI-generierter Code schaffen ein Risikogeflecht, das kein lineares Modell mehr abbilden kann.

Das entscheidende Problem: Shift Left adressiert nur einen Teil des Software-Entwicklungsprozesses. Wer nur nach links schaut, übersieht die lateralen und vertikalen Angriffsvektoren, die moderne Bedrohungsakteure systematisch ausnutzen.

Key Insight: Angreifer denken nicht in Entwicklungsphasen. Sie nutzen Schwachstellen in jeder lateral angrenzenden Fläche aus – Shift Left schützt nur einen Ausschnitt dieser Fläche. Eine Sicherheitsstrategie, die nur horizontal denkt, ist strukturell blind für vertikale Eskalationspfade.

Hinzu kommt das Fragmentierungsproblem. Uptycs hat erhoben, dass trotz mehr als 40 Milliarden US-Dollar Investitionen in über 5.000 Cybersecurity-Startups innerhalb eines Jahrzehnts Sicherheitsverletzungen häufiger sind als je zuvor. Die Ursache liegt nicht im Mangel an Werkzeugen, sondern in ihrer Fragmentierung: Organisationen werden von Alerts überwältigt und verpassen echte Angriffe – ein direktes Ergebnis des Point-Solution-Denkens, das Shift Left begünstigt hat.

Das Shift-Up-Paradigma: Definition und strategische Implikation

Shift Up ist kein Tool-Ansatz. Es ist eine Neuausrichtung der organisatorischen Verantwortlichkeit. Statt Sicherheit horizontal im Entwicklungsprozess zu verschieben, wird sie vertikal in die Unternehmensführung gehoben.

Konkret bedeutet das drei Dinge gleichzeitig:

  • Visibilität über die gesamte Supply Chain: Nicht ein Teilprozess, sondern alle Abhängigkeiten, Komponenten und Lieferketten werden kontinuierlich überwacht – mit einer einheitlichen Risikoperspektive statt siloierter Tool-Outputs.
  • Finanzielle Risikoquantifizierung: Technische Bedrohungen werden in Geschäftsauswirkungen übersetzt. Cyber Risk Quantification (CRQ) ist das Instrument, das diesen Übersetzungsschritt operationalisiert – und das ermöglicht, was Vorstände und CFOs für Entscheidungen brauchen: eine Zahl, nicht einen CVSS-Score.
  • Governance-Integration: CISO, CFO, CRO und Board teilen eine gemeinsame Risikosprache und -infrastruktur. Cybersecurity ist kein IT-Ticket mehr, sondern ein Agenda-Punkt im Enterprise-Risk-Framework.
Key Insight: Kovrr definiert Shift Up als die Entwicklung von Cybersecurity hin zu echtem Cyber-Risikomanagement. Das erfordert die Vereinheitlichung von CISOs, CFOs, CROs und Boards um finanziell quantifizierte Risikoerkenntnisse – eine strukturelle Veränderung, keine Tool-Beschaffung.

Shift Up im SAP- und Enterprise-Kontext

Für CIOs, die komplexe SAP-Landschaften verantworten, ist Shift Up keine abstrakte Theorie. Es ist operative Notwendigkeit. SAP-Systeme sind das transaktionale Rückgrat der meisten DAX- und Fortune-500-Unternehmen – sie verbinden Finanz-, HR-, Lieferketten- und Produktionsprozesse in einer Weise, die jede Schwachstelle systemkritisch macht.

Die klassische SAP-Sicherheitsarchitektur war reaktiv und kompensierend: Berechtigungskonzepte als Compliance-Übung, GRC-Tools als Audit-Vorbereitung, Patch-Management als IT-Betriebsaufgabe. Dieser Ansatz ist in einer Welt, in der SAP S/4HANA in hybriden Cloud-Umgebungen läuft und über hunderte APIs mit externen Systemen verbunden ist, nicht mehr ausreichend.

Shift Up in der SAP-Welt bedeutet konkret:

Dimension Bisheriger Ansatz (Shift Left) Shift-Up-Ansatz
Berechtigungskonzept Compliance-Pflichtübung, IT-seitig verwaltet Business-Risk-Item mit finanzieller Risikoaussage
GRC / Audit Jährliches Audit-Event Kontinuierliches Monitoring, integriert in CRQ-Plattform
Patch Management IT-Betriebsaufgabe nach CVSS-Priorisierung Risikoproritisierung nach finanziellem Exposure
Incident Reporting Technischer IT-Report an CISO Finanziell quantifizierter Risk-Report an Board und CFO
Supply Chain (Add-ons/APIs) Vendor-Assessment als Einmalprüfung Kontinuierliche Supply-Chain-Sicherheitsbewertung

Strategische SWOT-Analyse: Shift Up im Enterprise-Kontext

Stärken

  • Gemeinsame Risikosprache für CISO, CFO und Board
  • Finanzielle Quantifizierung ermöglicht rationale Ressourcenallokation
  • Reduziert Alert-Fatigue durch konsolidierte Sichtbarkeit
  • Regulatorisch zukunftssicher (NIS2, DORA, SEC)

Schwächen

  • Hoher Transformationsaufwand – kulturell und strukturell
  • CRQ-Kompetenz ist in den meisten IT-Teams nicht vorhanden
  • Legacy-SIEM/SOAR-Investitionen werden teilweise entwertet
  • Erfordert Einbindung von Stakeholdern außerhalb der IT

Chancen

  • NIS2 und DORA als Katalysatoren für Governance-Aufwertung
  • Agentic AI integrierbar als CRQ-Analyseschicht
  • Positionierung des CISO als strategischer C-Suite-Partner
  • Wettbewerbsvorteil durch nachweisliche Resilienz gegenüber Kunden

Risiken

  • Ohne CRQ bleibt Shift Up eine Governance-Farce ohne Substanz
  • Boardroom-Überfrachtung wenn Risikokommunikation nicht präzise ist
  • Vendor-Lock-in bei CRQ-Plattformauswahl
  • Trugschluss: Sichtbarkeit ≠ Kontrolle ohne operative Umsetzung

Cyber Risk Quantification: Die operative Grundlage von Shift Up

Shift Up bleibt eine Managementphilosophie ohne Substanz, wenn es keine verlässliche Methode gibt, Cyberrisiken in Geschäftszahlen zu übersetzen. Hier ist Cyber Risk Quantification (CRQ) nicht optional – es ist die technische Grundbedingung.

CRQ-Plattformen tun drei Dinge, die traditionelle Sicherheitstools nicht leisten: Sie bewerten Risiken kontinuierlich (nicht punktuell), sie integrieren Enterprise-, Cyber- und Marktintelligenz in einer Risikoaussage, und sie übersetzen technische Exposure-Daten in finanzielle Schadenspotenziale.

Key Insight: CRQ schafft das, was Vorstände für ernsthafte Risikodiskussionen brauchen: eine Antwort auf die Frage „Was kostet uns dieser Vorfall im schlimmsten Fall?“ – nicht einen technischen Schweregrad-Score, den niemand am Board-Tisch einordnen kann.

Die Anforderungen an eine CRQ-Implementierung im Enterprise-Kontext sind dabei nicht trivial. Die Plattform muss SAP-Daten, Cloud-Security-Posture-Daten und externe Bedrohungsintelligenz gleichzeitig verarbeiten können. Sie muss in der Lage sein, Szenarien zu modellieren – nicht nur aktuelle Risiken zu messen. Und sie muss eine Ausgabe produzieren, die der CFO in der Budgetdiskussion verwenden kann.

Shift-Up-Reifegradmodell: Der Transformationspfad für Enterprise-CIOs

Shift-Up Reifegradmodell: Fünf Stufen der Transformation STUFE 1 Reaktive IT- Sicherheit Silotools, Alert- Fatigue, kein CRQ STUFE 2 Konsolidierung der Tools Plattform-Ansatz, einheitl. Sichtbarkeit STUFE 3 CRQ-Integration Supply Chain Finanzielle Risiko- quantifizierung aktiv STUFE 4 Board-Integration & Governance CISO im C-Suite, NIS2/DORA-ready STUFE 5 Strategische Cyber-Resilienz Cyber = Wettbewerbs- vorteil & Vertrauen

Shift Up vs. Shift Left: Architektonischer Vergleich

Shift Left (Bisheriges Modell) Sicherheits-Tools (50+ Einzellösungen) Fragmentierte Alerts, kein konsolidiertes Bild IT-zentrierte Risikosprache CVSS-Scores, technische KPIs, kein Board-Bezug CISO als IT-Funktion Kein Sitz im C-Suite, reaktive Eskalation Compliance als Audit-Event Jährlich, rückblickend, nicht kontinuierlich Shift Up (Zielmodell) Konsolidierte Sicherheitsplattform Einheitliche Sichtbarkeit über gesamte Supply Chain Cyber Risk Quantification (CRQ) Finanzielles Schadenspotenzial, Board-tauglich CISO als strategischer C-Suite-Partner Direkter Zugang zu Board, CFO und CRO Kontinuierliche Governance-Integration NIS2/DORA-Compliance als laufender Prozess

Regulatorische Beschleuniger: NIS2, DORA und die neue Compliance-Realität

Die regulatorische Landschaft 2026 ist kein sanfter Rückenwind für Shift Up – sie ist ein struktureller Zwang. NIS2 verpflichtet Unternehmen, Cybersicherheitsrisiken in die Unternehmensführung zu integrieren und Vorstände persönlich haftbar zu machen. DORA (Digital Operational Resilience Act) stellt für Finanzdienstleister vergleichbare Anforderungen an operative Resilienz.

Kovrr benennt diese regulatorischen Anforderungen explizit als Treiber des Shift-Up-Moments. Die SEC-Disclosure-Regeln in den USA verlangen von börsennotierten Unternehmen die materiell-bedeutsame Offenlegung von Cybervorfällen – was eine direkte Verbindung zwischen technischem Sicherheitsstatus und Kapitalmarktkommunikation herstellt.

Regulierung Kernforderung Shift-Up-Implikation Risiko bei Nicht-Compliance
NIS2 Cybersecurity in Unternehmensführung, Vorstandshaftung CISO muss Boardzugang haben, CRQ ist Pflicht Persönliche Haftung, Bußgelder bis 10 Mio. €
DORA Operative Resilienz für Finanzdienstleister Kontinuierliche Risikoüberwachung, Drittparteien eingeschlossen Aufsichtsrechtliche Sanktionen, Betriebsunterbrechungen
SEC Rules Offenlegung materiell bedeutsamer Cybervorfälle Finanzielle Risikosprache als Kapitalmarktkommunikation Anlegerschäden, Enforcement-Aktionen

Schlüsselerkenntnisse

Die Analyse der verfügbaren Erkenntnisse ergibt fünf strategische Befunde, die CIOs und CISOs direkt adressieren:

  1. Das Fragmentierungsproblem ist strukturell, nicht tool-bedingt. Über 40 Milliarden US-Dollar in 5.000+ Startups haben die Sicherheitslage nicht verbessert, sondern die Komplexität erhöht (Quelle: Uptycs). Die Lösung ist Konsolidierung auf Plattformebene, nicht das nächste Point-Tool.
  2. Shift Left adressiert den falschen Engpass. Software Supply Chains, KI-generierter Code und agentische Systeme machen lineares Sicherheitsdenken obsolet. Visibilität über die gesamte Supply Chain ist die neue Mindestanforderung (Quelle: ReversingLabs).
  3. CRQ ist keine Option, sondern Governance-Pflicht. Ohne die Fähigkeit, Cyberrisiken finanziell zu quantifizieren, können CISOs die Anforderungen von NIS2, DORA und SEC nicht erfüllen – und verlieren ihre strategische Relevanz im C-Suite (Quelle: Kovrr).
  4. Cybersecurity ist ein Geschäftsrisiko – oder es ist wirkungslos. Solange Security als IT-Kostenstelle geführt wird, fehlt die Autorisierung für ressourcenintensive Maßnahmen. Erst die Übersetzung in finanzielle Risikoaussagen schafft Budget- und Entscheidungsrelevanz.
  5. Agentic AI ist Enabler und Bedrohungsfläche zugleich. Die gleichen AI-Agenten, die Entwicklungsprozesse beschleunigen, schaffen neue, schwer überschaubare Angriffsflächen. Shift Up muss diese Dimension in die CRQ-Modellierung einbeziehen.

Priorisierte Handlungsempfehlungen

Priorität Maßnahme Geschäftlicher Impact Aufwand Zeithorizont
1 – Kritisch CRQ-Fähigkeit aufbauen: CRQ-Plattform evaluieren und in Enterprise-Risk-Framework integrieren NIS2/DORA-Compliance, Board-taugliche Risikokommunikation Hoch 0–9 Monate
2 – Hoch CISO-Repositionierung: CISO aus IT-Reporting herauslösen, direkte Board-Berichtslinie etablieren Strategische Governance-Fähigkeit, regulatorische Absicherung Mittel 3–6 Monate
3 – Hoch Tool-Konsolidierung: Security-Tool-Portfolio auditieren, auf Plattformansatz konsolidieren Reduzierung Alert-Fatigue, einheitliche Sichtbarkeit Hoch 6–18 Monate
4 – Mittel SAP-Sicherheit in CRQ integrieren: GRC-Daten und Berechtigungsrisiken in CRQ-Plattform einspeisen Finanziell bewertetes SAP-Risikoregister Mittel 6–12 Monate
5 – Mittel Supply-Chain-Sicherheit operationalisieren: Kontinuierliches Monitoring aller Software-Abhängigkeiten, inkl. AI/Agenten Schutz vor Supply-Chain-Angriffen, Sichtbarkeit über gesamte Pipeline Mittel–Hoch 9–18 Monate

Implementierungsüberlegungen: Was Shift Up wirklich erfordert

Shift Up ist kein Softwareprojekt. Es ist eine Veränderung des Operating Models – und das ist deutlich komplizierter. Die häufigste Falle ist die Verwechslung von Tool-Konsolidierung mit strategischer Repositionierung. Ein neues SIEM macht noch keinen Shift Up.

Drei Voraussetzungen müssen gleichzeitig erfüllt sein: Eine CRQ-Kompetenz muss intern aufgebaut oder extern eingekauft werden. Der CISO muss strukturell in die C-Suite integriert werden – mit direktem Boardzugang, nicht über den CIO-Bereich. Und das Enterprise-Risk-Framework muss Cyber-Risiken als reguläre Risikokategorie neben Kredit-, Markt- und operationellen Risiken führen.

Für SAP-Entscheider konkret: Die Verbindung von SAP GRC mit einer CRQ-Plattform ist technisch machbar, aber organisatorisch anspruchsvoll. Sie erfordert die Kooperation von SAP-Basis, Security, Compliance und Finance – vier Bereiche, die selten dieselbe Prioritätenliste haben. Ein dedizierter Cross-functional-Steuerungskreis ist keine Nice-to-have-Empfehlung, sondern strukturelle Voraussetzung.

Key Insight: Shift Up scheitert nicht an Technologie. Es scheitert an der fehlenden Bereitschaft, Cybersecurity aus dem IT-Silo herauszunehmen. Der härteste Widerstand kommt nicht von Angreifern – er kommt aus dem eigenen Organigramm.

Häufig gestellte Fragen

Was bedeutet Shift Up konkret für die CISO-Rolle?

Shift Up erfordert eine strukturelle Neudefinition der CISO-Rolle: weg vom technischen IT-Security-Manager, hin zum strategischen Geschäftsrisiko-Verantwortlichen mit direktem Boardzugang. Das bedeutet in der Praxis: direkte Berichtslinie an CEO oder Audit Committee, Teilnahme an C-Suite-Risikorunden, und die Fähigkeit, Sicherheitsrisiken in finanzielle Geschäftsauswirkungen zu übersetzen. Kovrr beschreibt diese Neupositionierung als Kernbestandteil einer Shift-Up-Strategie, die CISO, CFO und CRO um eine gemeinsame Risikosprache vereint.

Warum hat die Investition von über 40 Milliarden US-Dollar in Cybersecurity nicht zu mehr Sicherheit geführt?

Laut Uptycs liegt das Problem nicht im Volumen der Investitionen, sondern in ihrer Fragmentierung. Mehr als 5.000 Einzellösungen schaffen ein Ökosystem, in dem Organisationen von Alerts überwältigt werden und echte Angriffe übersehen. Angreifer denken nicht in Tool-Silos – sie nutzen laterale und angrenzende Schwachstellen, die zwischen den Zuständigkeitsbereichen der Einzeltools liegen. Der strukturelle Ausweg ist Konsolidierung auf Plattformebene, kombiniert mit einer einheitlichen Risikobewertung durch CRQ.

Wie verändert Shift Up die Cybersecurity-Anforderungen in SAP S/4HANA-Migrationen?

SAP S/4HANA-Migrationen sind ein hochriskantes Transformationsfenster: Berechtigungsstrukturen werden neu aufgebaut, Schnittstellen zu Cloud-Diensten exponentiell ausgebaut, und historische Sicherheitskonfigurationen oft unkritisch übernommen. Shift Up bedeutet hier, dass die Migrationsentscheidung selbst – Scope, Timeline, Ressourcen – durch ein finanziell quantifiziertes Risikomodell informiert werden muss. SAP-GRC-Daten müssen von Beginn der Migration an in die CRQ-Plattform einfließen, nicht erst nach Go-live als nachträgliche Compliance-Maßnahme.

Welche Zeitachse ist für eine realistische Shift-Up-Transformation realistisch?

Eine vollständige Shift-Up-Transformation – von der reaktiven IT-Sicherheit zur strategischen Cyber-Governance – ist ein 18- bis 36-monatiges Programm. Die ersten Quick Wins (CISO-Repositionierung, CRQ-Evaluierung) sind in drei bis neun Monaten erreichbar. Die strukturelle Integration in Boards und Enterprise-Risk-Frameworks erfordert typischerweise zwölf bis achtzehn Monate. Tool-Konsolidierung und Supply-Chain-Security-Operationalisierung sind parallele Workstreams, die sich über achtzehn bis vierundzwanzig Monate erstrecken. Entscheidend: mit dem CISO-Boardzugang beginnen – alles andere folgt leichter, wenn die Governance-Struktur steht.

Wie unterscheidet sich Shift Up von Zero Trust als Sicherheitsparadigma?

Zero Trust ist ein technisches Architekturprinzip – es definiert, wie Netzwerke, Identitäten und Zugriffskontrollen gestaltet werden. Shift Up ist ein strategisches Governance-Paradigma – es definiert, auf welcher organisatorischen Ebene und mit welcher Sprache Cybersecurity-Entscheidungen getroffen werden. Die beiden Konzepte sind komplementär, nicht konkurrierend: Zero Trust liefert die technische Architektur, Shift Up den organisatorischen Rahmen, der diese Architektur mit Geschäftszielen verbindet und Budgetentscheidungen legitimiert. Wer Zero Trust ohne Shift Up betreibt, baut Sicherheitsarchitektur ohne strategische Handlungsfähigkeit.

Fazit: Der Moment zu handeln ist jetzt

Shift Left war ein sinnvoller Ansatz für eine Welt, die es nicht mehr gibt. Die Softwareentwicklung ist fluid, die Bedrohungslandschaft ist lateral, und die regulatorische Umgebung ist vertikal ausgerichtet. Ein horizontales Sicherheitsmodell passt strukturell nicht mehr in diesen Kontext.

Shift Up ist keine Option für progressive CIOs – es ist die logische Konsequenz aus der Kombination von NIS2-Compliance-Druck, der Fragmentierungsfalle des Point-Solution-Marktes und der wachsenden Erwartung von Boards, Investoren und Regulatoren an eine finanziell quantifizierte Risikosteuerung.

Die gute Nachricht: Die Transformation ist sequenziell machbar. Sie beginnt nicht mit einem großen Technologieprojekt, sondern mit einer strategischen Entscheidung – den CISO aus dem IT-Silo herauszuholen und Cyber Risk Quantification als operative Sprache des Unternehmensrisikomanagements zu etablieren.

CIOs, die diese Entscheidung noch vor sich herschieben, werden sie in spätestens zwölf Monaten unter dem Druck von Aufsichtsbehörden, Versicherern oder – schlimmer – einem materiellen Sicherheitsvorfall treffen. Der Unterschied liegt darin, ob sie sie proaktiv gestalten oder reaktiv erdulden.


Quellen: ReversingLabs (Matt Rose, Field CISO); Uptycs (Ganesh Pai, Founder & CEO); Kovrr (Cyber Risk Quantification Research); Jon Robinson via LinkedIn Pulse. Alle qualitativen Einschätzungen des Autors basieren auf diesen Quellen. Keine Zahlen wurden erfunden oder ohne Quellennachweis verwendet.