# Organisatorische Fahrlässigkeit: Die stille Haftung der Aufsichtsräte
Wer die Debatte um kritische Infrastrukturen in Deutschland verfolgt, stößt rasch auf einen merkwürdigen Widerspruch. Auf dem Papier ist beinahe alles geregelt. Es gibt Gesetze, Verordnungen, Branchenstandards, Prüfberichte, Auditzyklen, Schulungen und Notfallpläne. Und doch erzählt jeder längere Stromausfall, jede größere Störung in Logistik, Gesundheit oder Finanzwesen dieselbe Geschichte: Das formelle Regelwerk war vorhanden, aber die Belastbarkeit des Systems blieb hinter der eigenen Selbstbeschreibung zurück. In dieser Lücke, zwischen dem, was dokumentiert ist, und dem, was im Ernstfall trägt, beginnt jene stille Haftung, über die dieser Essay spricht. Sie ist die eigentliche Arbeitsfront der Aufsichtsräte in Unternehmen, die Teil der kritischen Infrastruktur Europas sind.
## Die Lücke zwischen Formalität und Belastbarkeit
In meinem Buch KRITIS. Die verborgene Macht Europas habe ich versucht, eine nüchterne Formel für das Problem zu finden: Unsere Systeme sind robuster, als es die öffentliche Debatte vermuten lässt, und zugleich verwundbarer, als es viele Entscheidungsträger wahrhaben wollen. Diese Spannung ist nicht akademisch. Sie beschreibt den Alltag einer ganzen Generation von Geschäftsführungen und Kontrollgremien, die sich in einem dichten Netz aus IT-Sicherheitsgesetz, BSI-Gesetz, Kritisverordnung, KRITIS-Dachgesetz und NIS2-Umsetzung bewegen und zugleich spüren, dass die Realität der Risiken sich in einem anderen Tempo weiterentwickelt als die Aktenordner, in denen sie erfasst wird.
Die formelle Erfüllung rechtlicher Pflichten erzeugt in vielen Aufsichtsgremien ein Gefühl trügerischer Sicherheit. Der Auditbericht liegt vor, die Zertifikate sind aktuell, die Meldungen an das Bundesamt für Sicherheit in der Informationstechnik erfolgen fristgerecht. Zugleich beruht die eigentliche Robustheit des Betriebs auf Annahmen, die selten offen verhandelt werden: dass Personal jederzeit verfügbar ist, dass Lieferketten nicht gleichzeitig in mehreren Sektoren reißen, dass Kommunikationswege auch dann funktionieren, wenn Strom und Netz über Tage gestört sind. Der Abstand zwischen dem Bild im Bericht und dem Verhalten des Systems unter Last ist das, was ich als strukturelles Risiko bezeichne.
## Stand der Technik als bewegliches Ziel
Der Begriff Stand der Technik, der im deutschen und europäischen Recht eine zentrale Rolle spielt, ist kein statisches Etikett. Er beschreibt einen beweglichen Korridor zwischen dem, was technisch möglich, wirtschaftlich vertretbar und organisatorisch implementierbar ist. Aufsichtsräte, die diesen Korridor nur als jährlichen Vergleich mit Normenkatalogen begreifen, laufen Gefahr, seine eigentliche Dynamik zu übersehen. Der Stand der Technik verschiebt sich nicht mit dem Erscheinen einer neuen ISO-Revision, sondern mit jedem größeren Zwischenfall in Europa, mit jeder neuen Angriffsform und mit jeder öffentlich gewordenen Schwäche eines vergleichbaren Betreibers.
Für die Organe einer Kapitalgesellschaft hat diese Bewegung eine unbequeme Konsequenz. Eine Sicherheitsarchitektur, die vor drei Jahren als angemessen galt, kann heute unterhalb des Erwartbaren liegen, ohne dass sich an den internen Dokumenten etwas geändert hätte. Wenn ein Aufsichtsrat diese Bewegung nicht aktiv nachvollzieht, entsteht eine leise, aber reale Form von Organisationsversagen. Sie wird erst sichtbar, wenn ein Ereignis die Differenz offenlegt. Bis dahin verbirgt sie sich hinter Protokollen, die korrekt geführt, aber inhaltlich nicht mehr auf der Höhe der Zeit sind.
## Organisatorische Fahrlässigkeit als Haftungsfigur
Im deutschsprachigen Rechtsraum beginnt Fahrlässigkeit dort, wo die im Verkehr erforderliche Sorgfalt außer Acht gelassen wird. In KRITIS-Organisationen verschiebt sich dieser Maßstab vom individuellen Fehler zum strukturellen Versäumnis. Organisatorische Fahrlässigkeit meint in meinem Verständnis das Unterlassen jener Entscheidungen, die nötig gewesen wären, um Prozesse, Personal und Technologie so aufeinander abzustimmen, dass die rechtlich geschuldete Belastbarkeit auch unter realistischer Belastung erreicht wird. Sie ist selten ein einzelner Akt. Sie ist ein Muster.
Dieses Muster zeigt sich etwa darin, dass Risikomatrizen regelmäßig aktualisiert werden, während die darin eingetragenen Maßnahmen nicht mit ausreichenden Ressourcen hinterlegt sind. Es zeigt sich darin, dass Notfallpläne existieren, aber nie unter realistischen Bedingungen getestet wurden. Es zeigt sich darin, dass die Governance der Informationssicherheit formal beim Vorstand liegt, praktisch jedoch an eine IT-Leitung delegiert ist, die weder Budgethoheit noch Zugriff auf die operative Personalplanung besitzt. Für den Aufsichtsrat ist dieser Befund sensibel, denn er ist kein Detail des Tagesgeschäfts, sondern eine Frage der Struktur. Genau diese Struktur zu prüfen, ist seine ureigene Aufgabe.
## Warum Compliance-Berichte allein nicht genügen
Compliance-Berichte sind unverzichtbar, aber sie sind nicht das Lagebild, das ein Aufsichtsrat in kritischen Infrastrukturen braucht. Sie dokumentieren, dass bestimmte Pflichten erfüllt wurden. Sie beantworten jedoch nicht die Frage, ob die Organisation in der Lage ist, unter Bedingungen weiterzuarbeiten, unter denen Systeme nicht nacheinander, sondern gleichzeitig unter Druck geraten. Die Erfahrung der jüngsten Jahre zeigt, dass viele berichtete Kennzahlen lineare Risiken abbilden, während die eigentliche Gefahr in den Kopplungen zwischen Sektoren liegt.
Ein Aufsichtsrat, der ausschließlich auf Compliance-Berichte blickt, erhält eine Abbildung der Vergangenheit. Er sieht, welche Maßnahmen umgesetzt wurden, welche Vorfälle gemeldet, welche Fristen eingehalten sind. Er sieht jedoch kaum, ob die Organisation in einem 72-Stunden-Fenster handlungsfähig bleibt, wenn Strom, Kommunikation, Zahlungsverkehr und Personal gleichzeitig unter Last stehen. Die entscheidende Frage, die Dr. Raphael Nagel (LL.M.) in diesem Kapitel des Buches aufwirft, lautet daher: Reicht das, was heute getan wird, um 72 kritische Stunden zu überstehen? Diese Frage lässt sich nicht allein aus Berichten beantworten. Sie verlangt eigene Beobachtung, eigene Nachfragen, eigene Übungsszenarien.
## Aufsichtsräte und Eigentümerfamilien im Mittelstand
Im europäischen und insbesondere im deutschsprachigen Mittelstand tragen Aufsichtsräte und Eigentümerfamilien eine doppelte Last. Sie sichern industrielle Kontinuität über Generationen, und sie verantworten Betriebe, die in Energie, Wasser, Logistik, Gesundheitsversorgung, Finanzinfrastruktur oder Rechenzentren zum Rückgrat regionaler Versorgung gehören. In dieser Position ist die Versuchung groß, KRITIS-Fragen als Thema spezialisierter Fachabteilungen zu behandeln. Das Buch widerspricht dieser Versuchung und ordnet sie bewusst auf der Ebene von Vorstand und Aufsicht an.
Für Eigentümerfamilien ergibt sich daraus eine besondere Aufgabe. Sie verfügen häufig über die Fähigkeit, langfristig zu denken, und über eine Kultur der persönlichen Verantwortung, die sich in Konzernstrukturen seltener findet. Gerade deshalb sollten sie Aufsichtsgremien so besetzen, dass industrielle Erfahrung, regulatorische Kompetenz und sicherheitsarchitektonisches Verständnis zusammenfinden. Ein Aufsichtsrat, der allein betriebswirtschaftlich liest, wird die strukturellen Risiken moderner Infrastruktur nicht erkennen. Ein Aufsichtsrat, der Governance als Teil industrieller Souveränität versteht, schafft dagegen die Voraussetzung, dass Resilienz nicht als Kostenblock, sondern als strategische Ressource verhandelt wird.
## Empfehlungen für eine zeitgemäße Aufsicht
Aus den Überlegungen des Buches lassen sich mehrere Orientierungen für Aufsichtsräte ableiten, ohne dass sie den Charakter individueller Beratung annehmen. Erstens sollte jede KRITIS-relevante Tagesordnung einen festen Punkt enthalten, der nicht Compliance-Status, sondern Belastbarkeit behandelt. Es geht dabei um die Frage, wie sich Kernprozesse unter gleichzeitigen Störungen verhalten und welche Annahmen im Notfallkonzept noch tragen. Zweitens sollte der Aufsichtsrat regelmäßig den Stand der Technik mit der tatsächlichen Architektur des eigenen Hauses abgleichen und sich dabei nicht auf die Selbsteinschätzung der operativen Ebene beschränken.
Drittens gehört zur Aufsicht in kritischen Sektoren eine klare Haltung zur Ressourcenausstattung der Sicherheitsfunktion. Wer Belastbarkeit erwartet, muss Budget, Personal und Entscheidungskompetenzen in ein stimmiges Verhältnis bringen. Viertens sollte der Aufsichtsrat die Kommunikationsfähigkeit der Organisation in der Krise prüfen, denn Vertrauen ist, wie Dr. Raphael Nagel (LL.M.) im Buch betont, eine strategische Ressource, die im Ernstfall innerhalb weniger Stunden verbraucht oder gestärkt wird. Fünftens schließlich gilt es, die eigene Rolle ehrlich zu bestimmen. Ein Aufsichtsrat, der in Zeiten ruhiger Regulierungsbewegung nicht fragt, wird in Zeiten der Krise nicht antworten können.
Die stille Haftung der Aufsichtsräte ist keine juristische Konstruktion am Rand des Gesellschaftsrechts, sondern ein struktureller Ort, an dem sich europäische Resilienz entscheidet. Wer kritische Infrastruktur beaufsichtigt, verwaltet keine Produkte und keine Kennzahlen, sondern einen Ausschnitt gesellschaftlicher Stabilität. Diese Perspektive verlangt eine andere Qualität der Aufsicht als jene, die in reinen Finanzunternehmen genügt. Sie verlangt die Bereitschaft, das Unangenehme zu sehen, das zwischen den Zeilen der Berichte steht, und die Disziplin, die richtigen Fragen auch dann zu stellen, wenn sie unbequem sind. In diesem Sinn versteht sich der vorliegende Essay als Einladung an Aufsichtsräte und Eigentümerfamilien, Governance nicht als Nachweis, sondern als Architektur zu begreifen. Das Buch KRITIS. Die verborgene Macht Europas beschreibt an vielen Stellen, wie fragil moderne Systeme in ihrer Kopplung sind und wie viel gleichzeitig von wenigen Organisationen abhängt. Organisatorische Fahrlässigkeit bleibt in diesem Gefüge meist lange unsichtbar. Sie wird erst dann sichtbar, wenn ein Ereignis die gesamte Kette zum Sprechen bringt. Eine zeitgemäße Aufsicht nimmt diese Unsichtbarkeit nicht hin. Sie macht sich die Mühe, die verborgene Macht kritischer Infrastruktur ernst zu nehmen, bevor eine Störung sie unfreiwillig in Erinnerung ruft. Das ist der Beitrag, den Aufsichtsräte zur Souveränität Europas leisten können. Es ist ein stiller Beitrag, aber er entscheidet mehr, als es die öffentliche Debatte erkennen lässt.
Für wöchentliche Analysen zu Kapital, Führung und Geopolitik: Dr. Raphael Nagel (LL.M.) auf LinkedIn folgen →