Damit beweist die Xantaro Group, dass sie auch bei starkem Unternehmenswachstum höchste Anforderungen an Resilienz und Zuverlässigkeit erfüllt.

Ziele: Zertifizierte Sicherheit, integriertes Managementsystem, skalierbare Resilienz

Der Weg der Xantaro Group zur Service-Exzellenz:

• Zertifizierte Sicherheit auf höchstem Niveau: Die Xantaro Group hat sowohl die ISO-27001-Zertifizierung als auch das TISAX-Assessment Level 3 erfolgreich abgeschlossen.
• Ganzheitlicher Fokus durch ein IMS: Die verschiedenen Managementsysteme sollten unter einem strategischen Dach vereint und harmonisiert werden.
• Skalierbare Resilienz: Trotz des starken Unternehmenswachstums wurde das Sicherheitsniveau durch optimierte Prozesse und eine klare Strategie erhöht und zukunftssicher aufgestellt.

Herausforderungen: wachsendes Umfeld, höchste Prüfstandards, über Compliance hinaus

Als rasant wachsender IT-Dienstleister stand die Xantaro Group vor einer komplexen Aufgabe: Die internen Strukturen mussten nicht nur mit der globalen Expansion Schritt halten, sondern gleichzeitig höchsten internationalen Sicherheitsanforderungen (Automotive & ISO) genügen. Es galt, den Nachweis der Informationssicherheit nicht als bloße „Compliance-Übung“ zu erbringen, sondern als echtes Qualitätsversprechen an die Kunden.

Die zentrale Herausforderung bestand darin, trotz des starken Unternehmenswachstums ein Sicherheitsniveau zu etablieren, das über reine Compliance hinausgeht. Besonderes Augenmerk lag dabei auf dem TISAX- Assessment Level 3 – der höchsten Stufe für Informationssicherheit in der Automobilindustrie – sowie der ISO-27001-Zertifizierung.

Umsetzung: ganzheitlicher Ansatz, optimierte Prozesse, stärkere Resilienz

Die Lösung: Ein integriertes Managementsystem (IMS)

In enger Zusammenarbeit mit den Expertinnen und Experten von HiSolutions verfolgte die Xantaro Group einen ganzheitlichen Ansatz. Statt isolierter Insellösungen wurde ein integriertes Managementsystem (IMS) etabliert.

Die Kernaspekte der Umsetzung:

• Strategische Bündelung: Das IMS vereint Informationssicherheit, Qualitätsmanagement und BCM unter einer einheitlichen strategischen Ausrichtung.
• Prozessoptimierung: Bestehende Abläufe wurden auditiert, harmonisiert und an Best Practices sowie den aktuellen TISAX-Prüfkatalog angepasst.
• Fokus auf Resilienz: Durch die Identifikation von Schnittstellen zum IT Service Continuity Management wurde die Widerstandsfähigkeit der Organisation nachhaltig gestärkt.
• Gezielte Vorbereitung: Ein detaillierter Projektplan mit Meilensteinen, internen Audits und Management Reviews sicherte die Prüfungsbereitschaft ab.

Ergebnis: höchste Sicherheitsstufe, erweiterter Geltungsbereich, nachhaltige Sicherheit

Sicherheit auf höchstem Niveau

Die gemeinsamen Anstrengungen mündeten in einem vollen Erfolg. Die Xantaro Group konnte ihre Leistungsfähigkeit durch zwei renommierte externe Prüfungen bestätigen lassen:

1. TISAX-Assessment Level 3: Erfolgreicher Abschluss unter Einhaltung höchster Sicherheitsanforderungen.
2. ISO-27001-Zertifizierung: Erfolgreiche Zertifizierung mit einem erweiterten Geltungsbereich (Scope).

Das sagt unser Kunde

„Das neue integrierte Managementsystem ist ein Meilenstein für uns. Es zeigt, dass wir Informationssicherheit nicht nur als Pflichtaufgabe verstehen, sondern als festen Bestandteil unserer Unternehmenskultur leben, um unseren Kunden ein Höchstmaß an Zuverlässigkeit zu garantieren.“

Torsten Gesang,
CISO der Xantaro Group

Über Xantaro Group

Die Xantaro Group, bestehend aus Xantaro, Xantaro UK, NetDescribe, nicos und anykey, ist ein führender internationaler Dienstleister für die Planung, Implementierung und den 24/7-Betrieb hochleistungsfähiger und sicherer IT-Infrastrukturen. Als Allianz spezialisierter Technologieunternehmen bündelt die Gruppe tiefgreifende Expertise in den Bereichen Network- und Cloud-Infrastruktur, Cyber Security, Observability sowie Managed Services.

Mit einer globalen Präsenz unterstützt die Xantaro Group Kunden in über 130 Ländern dabei, ihre digitalen Geschäftsprozesse proaktiv zu überwachen und kontinuierlich zu optimieren. Das Ziel ist es, den IT-Betrieb durch modernste NOC- und SOC-Services (Network & Security Operations Center) weltweit zuverlässig, sicher und effizient zu gestalten.

Durch die Kombination aus strategischer Beratung und technischer Exzellenz schafft die Xantaro Group die Basis für die digitale Transformation ihrer Kunden – damit diese sich vollkommen auf ihr Kerngeschäft konzentrieren können.

Ziele:

Sicherstellung eines unterbrechungsfreien Betriebs; Analyse der gesetzlichen und KRITIS-relevanten Anforderungen; Ableitung von Maßnahmen zur Compliance

Für die ALDB als federführende Stelle im operativen Betrieb des Digitalfunks der BDBOS ist ein reibungslos ablaufender Betrieb des Digitalfunks für Rettungsdienste und Polizei essenziell.

„Die Bundesanstalt hat die Aufgabe, die Kommunikationsinfrastruktur der Netze des Bundes aufzubauen, zu betreiben, weiterzuentwickeln und deren Funktionsfähigkeit sicherzustellen“
§ 2 (2) Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOSG)

Zur Klärung, welchen regulatorischen Anforderungen die ALDB als KRITIS-Betreiber unterliegt, hat HiSolutions eine Analyse der spezifischen Aufgaben der ALBD im operativen Betrieb des Digitalfunks und eine Gegenüberstellung zu den KRITIS-Anforderungen und weiteren regulatorischen Auflagen in Abstimmung mit dem BSI, der BNetzA und dem BMI durchgeführt.

Herausforderungen:

Komplexe gesetzliche Rahmenbedingungen; Schwierige eindeutige Zuordnung; Abstimmung mit mehreren Behörden

Die ALDB agiert als Dienstleister der BDBOS in einem besonderen regulatorischen Umfeld, da die BDBOS eine Anstalt des öffentlichen Rechts ist, für die spezielle gesetzliche Vorgaben gelten. Dementsprechend ist die Ermittlung der zutreffenden gesetzlichen Regularien für die ALDB anspruchsvoll. Auf Basis der sehr guten Zusammenarbeit und eines pragmatischen Vorgehens hat HiSolutions geprüft, ob die ALDB als KRITIS-Betreiber einzustufen ist, und welche weiteren Anforderungen in der Cybersecurity zu berücksichtigen sind.

Umsetzung:

Systematische Analyse relevanter Rechtsgrundlagen; Abgleich der gesetzlichen Anforderungen mit den Aufgaben der ALDB; Ableitung und transparente Dokumentation der Cybersicherheitsanforderungen

HiSolutions hat eine umfassende Recherche im Grundgesetz, im BSI-Gesetz, im BDBOS-Gesetz sowie allen weiteren relevanten regulatorischen Anforderungen und Verordnungen durchgeführt, die gesetzlichen Anforderungen an die ALDB abgestimmt, die Cybersicherheitsanforderungen daraus abgeleitet und nachvollziehbar dokumentiert.

Ergebnis:

Erfolgreiche Analyse und Abstimmung der regulatorischen Sicherheitsanforderungen; Identifikation und Dokumentation relevanter Vorgaben; Beitrag zur Schließung möglicher Abweichungen

HiSolutions hat für die ALDB die regulatorischen Sicherheitsanforderungen erfolgreich abgestimmt und analysiert.  Die Beratung basiert auf einer fachlichen Bewertung aus Sicht der IT-Sicherheit sowie auf den Vorgaben zu KRITIS und den BSI-Mindeststandards.

Die erfolgreiche Beratung und Analyse hat dazu beigetragen, dass die Ergebnisse aus der Analyse effektiv zur Abdeckung möglicher vorhandener Abweichungen zum bereits umgesetzten IT-Grundschutz beigetragen haben.

Das sagt unser Kunde:

„Informationssicherheit ist kein Privileg der Kritischen Infrastrukturen, sondern ihre Voraussetzung – auch für Organisationen, die nicht unter die KRITIS-Verordnung fallen. Wer seine Systeme schützt, stärkt nicht nur die eigene Handlungsfähigkeit und das Vertrauen seiner Kunden, sondern leistet zugleich einen aktiven Beitrag zur öffentlichen Sicherheit in unserer vernetzten Gesellschaft.“

Rafael Brzoska, Leiter Informationssicherheit und IT-Innovationsmanagement

Über die ALDB GmbH

Als Alcatel-Lucent Digitalfunk Betriebsgesellschaft mbH wurde die ALDB im Jahr 2010 gegründet. Im selben Jahr hat ALDB den Betrieb des BOS-Digitalfunknetzes für die Behörden und Organisationen mit Sicherheitsaufgaben übernommen. Die ALDB betreibt das weltweit größte BOS‑Digitalfunknetz für die BDBOS und die autorisierten Stellen der Bundesländer und des Bundes.

Kreditrisiken sind heute auch Cyberrisiken. Zusammen mit der heise academy begleitete HiSolutions die Kreditentscheidenden einer internationalen Großbank auf einer fünfstufigen Lernreise. Das Ziel: Die Teilnehmenden befähigen, die IT-Sicherheit ihrer Klienten fundiert zu bewerten. Der Prozess ist ein Programm, das theoretisches Wissen, technische Grundlagen und interne Bankprozesse praxisnah verknüpft – für fundiertere Kreditentscheidungen.

Die Ausgangslage & Ziele:
Cybersicherheit im Kreditvergabeprozess verankern

Die Kreditabteilung der Großbank stand vor einer Herausforderung: Rund 100 Kreditentscheide sollten in die Lage versetzt werden, die Informationssicherheit ihrer Kundinnen und Kunden – vom KMU bis zum Großkonzern – kritisch zu hinterfragen und Cyberrisiken im Kreditvergabeprozess korrekt einzuordnen.

Das Ziel war kein klassisches Frontal-Training, sondern eine nachhaltige Befähigung. Die Bank forderte einen Mix aus Theorie, Fachaustausch und der praktischen Anwendung interner Werkzeuge. Außerdem war wichtig, dass die Teilnehmenden auch nach Abschluss der Lernreise auf Methoden zur Selbsthilfe zugreifen können.

Die Herausforderungen:
Komplexes Wissen trifft auf straffen Zeitplan

Die Konzeption der Lernreise musste drei Hürden überwinden:

1. Zeit vs. Tiefe: Wie vermittelt man komplexe Bedrohungsszenarien und Schutzmaßnahmen umfassend, ohne das operative Tagesgeschäft der Kreditentscheiden zu blockieren?
2. Heterogenes Vorwissen: Die Teilnehmenden kamen mit unterschiedlichem technischem Hintergrundwissen in die Schulung.
3. Vertraulichkeit: Da HiSolutions keinen direkten Einblick in die Kundendaten der Bank hatte, wurde der Erfahrungsaustausch so gestaltet, dass trotz Wahrung höchster Diskretion ein praxisnaher und konkreter Austausch möglich war.

Die Lösung:
Eine modulare Lernreise in fünf Etappen

Um Flexibilität und Lerntiefe zu vereinen, entwickelten HiSolutions und die heise academy gemeinsam mit der Bank eine digitale Lernreise. Das Schulungskonzept befähigt die Kreditentscheidenden, Cyberrisiken nicht nur technisch zu verstehen, sondern deren mögliche Auswirkungen auf die finanzielle Stabilität und Bonität der Kunden fundiert zu bewerten. Das Programm gliedert sich auf die folgenden fünf aufeinander aufbauenden Module, die Theorie, branchenspezifische Vertiefung und die praktische Anwendung interner Tools kombinieren.

Modul 1: Das Fundament – Bedrohungslage & Regulatorik
Den Auftakt bildete der „Big Picture“-Überblick. Die Teilnehmenden lernten die aktuelle Bedrohungslandschaft (z. B. Ransomware, Deepfakes, KI-Angriffe) sowie deren finanzielle Auswirkungen auf Unternehmen kennen. Zudem wurden regulatorische Spannungsfelder, Compliance-Anforderungen (z. B. KRITIS) und der Nutzen von Zertifizierungen (ISO 27001) sowie Cyber-Versicherungen eingeordnet.

Modul 2: Deep Dive – Branchenspezifische Sicherungsstrukturen
Sicherheit ist nicht für alle Klienten gleich. In diesem Modul lernten die Teilnehmenden, IT-Sicherheitsarchitekturen in Abhängigkeit vom Geschäftsmodell zu bewerten. Durch die Aufteilung in spezifische Cluster (z. B. Automotive, Pharma, Logistik) wurden der Blick für branchenspezifische Angriffsflächen geschärft und aufgezeigt, wie passgenaue Präventionsmaßnahmen aussehen müssen.

Modul 3: Die Symbiose – Risiko, IT & Management
Hier stand die Wechselwirkung zwischen Angriffsmustern, IT-Schutz und Managemententscheidungen im Fokus. Die Kreditentscheidenden wurden befähigt, kritische Wertschöpfungsprozesse zu identifizieren und mit ihren Kundinnen und Kunden auf Augenhöhe zu kommunizieren. In Break-out-Sessions teilten die Teilnehmenden ihre praktischen Erfahrungen und wendeten die Theorie direkt auf ihre internen Arbeitswerkzeuge an.

Modul 4: Der Reality-Check
Aus Theorie wurde Praxis: Anhand fiktiver Kundenbeispiele und realer „Red Flags“ wendeten die Teilnehmenden ihre Arbeitswerkzeuge aktiv an. In Break-out-Sessions trainierten sie, abweichende Antworten zu interpretieren, Warnsignale zu erkennen und daraus konkrete Konsequenzen für die Kreditvergabe abzuleiten.

Modul 5: Lessons Learned & Ausblick
Den Abschluss bildete der konsolidierte Erfahrungsaustausch. Die Teilnehmenden reflektierten die „Lessons Learned“ der gesamten Lernreise, diskutierten offene Fragen und definierten Best Practices für die künftige Anwendung im Arbeitsalltag.

Zusätzlich erhielten die Teilnehmenden kuratierte „Extended Handouts“ mit Verweisen auf öffentliche Quellen, um auch künftig beim „Stand der Technik“ up to date zu bleiben.

Das Ergebnis:
Kritischer Blick und messbare Zufriedenheit

Das Feedback der Teilnehmenden war eindeutig: Die komplexe Materie wurde verständlich und anwendbar vermittelt.

Kompetenzaufbau: Die Kreditentscheidenden sind nun in der Lage, technische Sicherheitsinformationen ihrer Kundinnen und Kunden kritisch zu prüfen und Cyberrisiken aktiv in die Kreditbewertung einzubeziehen.

Prozessoptimierung: Durch das finale Modul entstanden wertvolle Impulse, um den bankinternen Kreditvergabeprozess weiter zu schärfen.

Bewertung: In der internen Evaluation der Bank erhielt die durchgeführte Lernreise positive Bewertungen – besonders gelobt wurde der modulare Aufbau, die fachliche Kompetenz der Referentinnen und Referenten und die Beispielszenarien.

Das sagt unser Partner:

„Die Expertinnen und Experten von HiSolutions haben in den Trainings deutlich ihre fachlichen Kenntnisse beweisen können. Trotz des umfassenden Branchenportfolios der Bank war HiSolutions durch ihre Projekt- und Auditerfahrung jederzeit in der Lage, die Rückfragen und Diskussionen der Teilnehmenden einzuordnen und Rückmeldungen zu vermitteln.“

Konstantinos Toubekis
General Manager, heise academy

Über die heise academy

Als Schulungsanbieter von IT-Trainings und Fortbildungen gehört heise Academy zu den größten Anbietern für digitale und analoge Schulungen im deutschsprachigen Raum. Durch ihr breites Portfolio an standardisierten sowie individuellen Schulungen ist heise Academy in der Lage, auch großen Teilnehmendenzahlen fundiertes Wissen zu vermitteln. Im Bedarfsfall greift sie hierbei auf fachliche Schulungspartner zu, die sich in der mehr-jährigen Unternehmenshistorie etabliert haben.

Ziele:
Etablierung eines nachhaltigen ISMS, Begleitung regulatorischer Prüfungen

Ziel des Projekts ist es, die Informations-sicherheit bei AHD systematisch und nachhaltig zu verankern. Das Projektteam von HiSolutions agiert in einer Doppelrolle: Es gestaltet sukzessive die Strukturen eines ISMS und verantwortet gleichzeitig die laufenden CISO-Aufgaben in enger Abstimmung mit internen und externen Partnern. Zu den zentralen Zielsetzungen zählen:

1. Etablierung tragfähiger Strukturen für ein ISMS gemäß branchenspezifischer Anforderungen,
2. Enge Einbindung und Beratung der Fachbereiche zur Informationssicherheit,
3. Harmonisierung der lokalen Sicherheitsstrukturen mit Konzernvorgaben,
4. Begleitung und Nachbereitung regulatorischer Prüfungen (z. B. KRITIS).

Umsetzung in der Praxis:
Strategische, operative sowie regulatorische Unterstützung

Das CISO-Team von HiSolutions ist nahtlos in die operative Struktur bei AHD eingebunden. Die Beratenden arbeiten eng mit unterschiedlichen internen sowie externen Stakeholdern zusammen. Gemeinsam werden Sicherheitsstandards erarbeitet und weiterentwickelt, Prozesse etabliert und kontinuierlich verbessert. Des Weiteren umfassen die CISO-Aufgaben

• die Zusammenarbeit mit dem internationalen Security Operations Center (SOC),
• die Abstimmung zu Schulungs- und Awareness-Kampagnen sowie
• die Entwicklung eines synchronisierten Third Party Risk Managements mit dem Konzern.

Im Rahmen der KRITIS-Regulierung begleitete das CISO-Team das letzte Audit und bleibt weiterhin in enger Abstimmung mit dem BSI, um künftig weitere Maßnahmen zur Stärkung der Resilienz bei AHD umzusetzen.

Herausforderungen:
Komplex reguliertes Umfeld und hybride Rolle als CISO-Team

Die besondere Herausforderung: Ein hochkomplexes Umfeld zwischen Konzernintegration, KRITIS-Vorgaben und operativer Realität vor Ort. Die Rolle des CISO-Teams ist bewusst hybrid angelegt: Strategisches Denken in Kombination mit pragmatischer Umsetzungskompetenz.

Die besondere Nähe zum operativen Tagesgeschäft ermöglicht es, Informationssicherheit nicht als Zusatzaufgabe zu begreifen, sondern als integralen Bestandteil der Unternehmensprozesse zu etablieren.

Ergebnisse und Mehrwert:
Erfolgreiche KRITIS-Prüfung, hohe Akzeptanz und Wirksamkeit der Sicherheitsmaßnahmen

Nach 18 Monaten gemeinsamer Arbeit zeigte sich: Informationssicherheit ist bei AHD nicht nur dokumentiert, sondern gelebte Praxis.

• Durch klare Rollenverteilungen und schlanke Abstimmungsprozesse entstand ein tragfähiges Fundament.
• Die enge Einbindung der Fachbereiche sorgte für hohe Akzeptanz und Wirksamkeit der Sicherheitsmaßnahmen.
• Die Konzernschnittstellen wurden definiert, sodass AHD von zentralen Sicherheitsinitiativen von „The Boots Group“ profitiert.
• Die KRITIS-Prüfung wurde erfolgreich begleitet – weitere Maßnahmen zur kontinuierlichen Verbesserung sind bereits in Planung.

Fazit:

Das Projekt zeigt, wie Informationssicherheit in einem hochregulierten, dezentral aufgestellten Unternehmen nicht nur eingeführt, sondern in der Organisation verankert werden kann.

HiSolutions liefert mit dem CISO-Team nicht nur Expertise, sondern auch Kontinuität, Praxiserfahrung und Struktur. Gemeinsam mit AHD entstand so ein Sicherheitsniveau, das sowohl regulatorischen Anforderungen als auch dem betrieblichen Alltag gerecht wird.

Das sagt unser Kunde:

CISO as a service ist für uns ein Erfolgsmodell. Das Team hat sich sehr gut in die Organisation eingefügt und unseren Sicherheitsstatus deutlich vorangebracht.

Andreas Ortelt,
Head of IT Planning & Governance

Über Alliance Healthcare Deutschland:

Alliance Healthcare Deutschland ist ein führender Pharmagroßhändler mit Fokus auf die flächendeckende Versorgung von Apotheken und medizinischen Einrichtungen und damit eine kritische Infrastruktur für Deutschland. Als Teil von „The Boots Group“ ist AHD europaweit vernetzt und operiert mit 4.600 Mitarbeitenden in Deutschland.

Was steht auf der Agenda für 2026?

Das IT‑Marktforschungs- und Beratungshaus Gartner prognostiziert, dass die globalen IT-Ausgaben im Jahr 2026 erstmals die Marke von 6 Billionen US-Dollar überschreiten werden. Ein deutlicher Anstieg gegenüber dem Vorjahr. Während in den letzten Jahren vor allem die Entwicklung und Erprobung von KI-Technologien ein wesentlicher Kostentreiber waren, hat sich der Schwerpunkt zuletzt spürbar verschoben. IT-Services machen inzwischen den mit Abstand größten Ausgabenblock aus. Organisationen investieren damit immer weniger in einzelne Technologien und zunehmend in dauerhafte Leistungsfähigkeit, die unmittelbar fürs Business relevant ist. Diese Verschiebung verändert die Rolle der IT grundlegend: Sie wird nicht mehr primär daran gemessen, Projekte abzuschließen oder Systeme bereitzustellen, sondern daran, stabile, steuerbare und belastbare Services zu liefern. Für viele mittelgroße IT-Organisationen entsteht daraus ein strukturelles Spannungsfeld, denn während die Ausgabenlogik bereits servicegetrieben ist, folgen Governance, Priorisierung und Organisationsdesign häufig noch einer technikzentrierten Logik, bei der in den Umsetzungsprojekten keine Service- oder Geschäftsziele identifiziert wurden und/oder diese nicht nachgehalten werden. Der eigentliche Engpass liegt damit weniger im Budget oder in der Technologie selbst, sondern in der Art, wie IT organisiert und gesteuert wird.

Vor diesem Hintergrund haben wir eine Vielzahl aktueller Reports und Studien analysiert (Zukunftsinstitut, World Economic Risk Report, BSI, Gartner, Bitkom, Wavestone PwC etc.) und mit unseren Erfahrungen aus zahlreichen Kundenprojekten gegenübergestellt. Eines wird dabei klar: Viele der drängendsten Herausforderungen sind weniger innovations- als risikogetrieben. IT-Abteilungen stehen vor der Aufgabe, vor die Welle zu kommen, statt ständig nur hinterherzurennen. Dieser Artikel konzentriert sich nicht auf neue Technologien, sondern auf konkreten Handlungsbedarf und die Entscheidungen, die IT-Organisationen jetzt treffen müssen, um 2026 handlungsfähig, resilient und steuerbar zu bleiben.

Trend 1: KI ohne klare Verantwortung relativiert den Wert von Organisationen

Während in den letzten Jahren die Erwartungen an KI und Automatisierung explodierten, wird inzwischen klar, dass der Hype mehr versprach, als technologisch und organisatorisch derzeit möglich ist. Die erste Welle, auf die sich viele IT-Organisationen 2026 vorbereiten müssen, ist der Backlash unkontrollierter KI-Investitionen. 

Laut Studien von Gartner und McKinsey verharren über zwei Drittel aller KI-Initiativen in Pilotstadien. Aus unserer Sicht fehlt es diesen Initiativen häufig an einem klaren Zielbild. Datenqualität, Ownership und Prozesslogik werden dabei unterschätzt und oft erst im Verlauf der Initiativen als zentrale Probleme sichtbar. Statt integrierter Lösungen entstehen Insellösungen, die kein End-to-End-Verständnis bieten, Schnittstellenchaos produzieren, Sicherheitslücken öffnen und ineffektive Lizenzmodelle nach sich ziehen. 

Diese strukturellen Defizite wirken direkt auf den operativen Betrieb. IT-Organisationen tragen die Kosten dieses Hypes, ohne dessen Mehrwert zu realisieren. Fehlentscheidungen nehmen zu, wenn Incident-Management, Self-Service oder Automatisierung auf unvollständigen oder falschen Daten basieren. Entgegen der Erwartung, dass KI entlastet und Effizienz steigert, erhöht sie in diesen Fällen die Komplexität der Organisation erheblich. 

Wer 2026 handlungsfähig bleiben will, braucht kein weiteres KI-Tool, sondern Datenklarheit, Governance und transparente Kostensteuerung als Grundlage. „AI-ready Data“ bedeutet verlässliche Datenflüsse, nachvollziehbares Ownership und klare Zugriffspolitik, sowie eine präzise Kontrolle über Lizenzen, Plattformnutzung und token-basierte KI-Kosten. Erst wenn diese Basis steht, kann KI sinnvoll skalieren – nicht als Selbstzweck, sondern als Multiplikator funktionierender Prozesse, der echten Wert schafft und unnötige Ausgaben vermeidet.

Trend 2: Cybersecurity entfaltet Wirkung erst durch echte Resilienz

2026 rückt Cybersecurity für mittelgroße IT-Organisationen endgültig ins Zentrum. Während KI und Automatisierung die Aufmerksamkeit binden, steigt das reale Risiko im Hintergrund weiter. Laut dem Wirtschaftsschutzreport der Bitkom verursachten Cyberangriffe 2025 Schäden von rund 289 Milliarden Euro. Das sind knapp 10 Prozent mehr als im Vorjahr und fast 50 Prozent mehr als 2023. Ein bedrohlicher Anstieg. 

Zusätzlich warnt das World Economic Forum vor einer neuen Dimension digitaler Risiken: Gezielte Desinformation und digitale Spionage nehmen auf einem neuen Niveau zu. Die Zahlen sprechen eine klare Sprache: mehr Angriffe, mehr Meldungen, mehr Aufwand. Organisationen müssen Sicherheitslücken schließen, Prozesse anpassen und Compliance-Anforderungen erfüllen und dabei die gleichen Ressourcen wie sonst auch verwenden. Diese ohnehin komplexe Aufgabe wird durch die wachsende Vernetzung weiter erschwert. Die Nutzung externer Cloud- und SaaS-Dienste erfordert neue Steuerungsmechanismen, da sich operative Risiken nicht mehr allein durch interne Maßnahmen beherrschen lassen.

Um dieser Komplexität zu begegnen, setzen viele Organisationen auf standardisierte Managementsysteme wie ISMS. Doch die bloße Existenz solcher Rahmenwerke garantiert noch keine Sicherheit. Laut dem BSI verfügen rund 80 Prozent der Unternehmen und Organisationen über einen Reifegrad 3, doch weniger als die Hälfte nutzt automatische Angriffserkennung. Nur zwei Drittel kennen ihre kritischen Prozesse und verfügen über Notfallpläne und deutlich weniger sind für den Ernstfall tatsächlich gewappnet. Denn eine reine Papier-Planung besteht noch keine Krise. 

Genau hier setzt die NIS-2-Richtlinie an: Sie verlangt nicht nur eine lückenlose Dokumentation und strengere Nachweispflichten, sondern rückt die tatsächliche Wirksamkeit der Schutzmaßnahmen in den Fokus. Governance und Reporting werden so zum Dauerstress, denn Compliance ist nun direkt mit der Haftung der Geschäftsführung verknüpft. Die Folge: Sicherheit wandelt sich endgültig vom reinen Technikthema zur strategischen Führungsaufgabe. 

Passend dazu verlangt die wachsende Bedrohungslage einen fundamentalen Kurswechsel. Weg von der rein präventiven Absicherung, hin zu echter Resilienz. Organisationen müssen Angriffe nicht nur verhindern, sondern auch erkennen, eindämmen und schnell wieder arbeitsfähig werden. Dazu braucht es klare Verantwortlichkeiten für Security, Business Continuity und Third-Party-Risiken eingebettet in eine Sicherheitsarchitektur, die von Anfang an mitgedacht wird: Security by Design statt nachträglicher Absicherung.

Zero Trust und Multi-Faktor-Authentifizierung werden dabei zum Mindeststandard, nicht zum Wettbewerbsvorteil. Ebenso entscheidend ist Transparenz: Service-Risiken müssen offen gegenüber dem Business kommuniziert werden, damit fundierte Entscheidungen getroffen werden können. IT-Sicherheit gehört künftig in den Servicekatalog, um als Qualitätsmerkmal gesehen zu werden.

Darüber hinaus gewinnt die bewusste Gestaltung regionalisierter IT-Architekturen an Bedeutung, sei es aus regulatorischen Gründen oder zur Absicherung geschäftskritischer Prozesse. Schließlich muss Security- und Risk-Literacy über die IT hinaus etabliert werden und zur kollektiven Kompetenz der gesamten Organisation werden.

Cybersecurity entscheidet 2026 nicht mehr nur über Schutz, sondern über die Überlebensfähigkeit von Services.

Trend 3: IT scheitert, wenn Projekte Services verdrängen

Die dritte Welle, die mittelgroße IT-Organisationen 2026 weiterhin spürbar trifft, ist die Projektüberlastung. Viele Organisationen steuern faktisch hundert oder mehr Initiativen gleichzeitig, während die personellen und organisatorischen Kapazitäten begrenzt sind. Das Ergebnis: ständiger Kontextwechsel, Qualitätsverluste und steigende individuelle Überlastung. Wissen bleibt oft personen- statt systemgebunden, und starre Rollenmodelle verhindern flexible Anpassung an neue Anforderungen.

In dieser Situation wird IT als reaktiv, langsam und intransparent wahrgenommen, und die Lernfähigkeit der Organisation sinkt. Wer weiterhin Projekte ohne klare Service- und Wertlogik abarbeitet, riskiert, dass steigende Kosten und Überlastung die operative Leistungsfähigkeit untergraben.

Die Lösung dieser Herausforderung liegt in der grundlegenden Transition zu einer serviceorientierten IT mit stabilen, am Wertbeitrag ausgerichteten Service- und Produktteams. Projekte dienen dabei gezielt als Mittel zur Entwicklung und Weiterentwicklung von Services und Produkten und werden nach Abschluss systematisch in den Regelbetrieb überführt, an klar benannte Service-Owner übergeben und in die bestehenden Betriebsprozesse integriert. Reife Praktiken des IT-Service-Managements (ITSM), etwa Automated Incident Response, Observability oder Change-Automation, unterstützen anschließend eine effiziente Steuerung dieser Betriebsprozesse und sichern den Wertbeitrag verlässlich ab. Zugleich wird Lernfähigkeit zum Designprinzip: Wissen wird systematisch erfasst, geteilt und weiterentwickelt, statt an Einzelpersonen zu hängen.

In der operativen Praxis stoßen jedoch insbesondere mittelgroße Organisationen bei dieser Transition an ihre Grenzen. Die Notwendigkeit, all diese neuen Verantwortlichkeiten zu etablieren, während die bestehenden Kernkompetenzen im Parallelbetrieb weiterlaufen müssen, führt zu einer massiven Überforderung der personellen und fachlichen Kapazitäten. Der Aufbau dieses dualen Skill-Portfolios erweist sich in der Transitionsphase oft als die größte Hürde. 

Hier kann ein schlanker Service Readiness Ansatz für die Transition angewendet werden, um neue IT-Services reibungslos in den Betrieb zu überführen und parallel eine nutzenorientierte Serviceoptimierung für den laufenden Betrieb angestoßen werden. Dabei kann es sinnvoll sein, über die Migration geeigneter Services in die Public Cloud nachzudenken. Ein bloßer “Lift & Shift”-Ansatz ist hier nicht hinreichend. Er verschiebt zwar die Infrastruktur, löst aber weder das Kostenproblem noch die operative Überlastung.

Wirkliche Entlastung kann allerdings erst entstehen, wenn höher integrierte Cloud-Services genutzt werden. Im Sinne des Shared Responsibility Models können so Aufgaben an den Provider übertragen werden, die neuen Freiraum für die gesamte IT-Organisation schaffen. Ein Beispiel dafür stellen Managed Database Services dar. Durch die Übernahme von Patching, Load Balancing und Backups mit Zero Downtime vom Cloud Provider können sich IT-Organisationen auf die wesentlichen Aufgaben konzentrieren, wie die Verwaltung der Schemata oder den eigentlichen Wertbeitrag für das Business zu generieren und gewinnen so die nötige Kapazität für die strategische Absicherung des Unternehmens. 

Die entscheidende Zukunftsfrage lautet damit nicht „Welche Technologie?“, sondern „Wie organisieren wir IT?“. Wer 2026 handlungsfähig bleiben will, muss Projekte entlang von Services steuern, Skills und Wissen systematisch managen und die Organisation lernfähig gestalten.

Fazit

Die IT-Trends 2026 lassen sich nicht auf neue Tools oder Technologien reduzieren. Sie offenbaren vor allem die strukturellen Grenzen mittelgroßer Organisationen und den Zwang, diese aktiv zu gestalten. Entscheidend wird sein, ob IT-Teams es schaffen:

• Technologie zu führen, statt nur zu konsumieren,
• Services zu steuern, statt planlos Projekte abzuarbeiten,
• und Organisationen resilient sowie lernfähig zu gestalten. 

Wer diese Weichen jetzt stellt, begegnet Risiken nicht nur, sondern verwandelt sie in Wert für das Business. 2026 wird damit kein Technologie-, sondern ein Gestaltungsjahr für IT-Organisationen. Eines, in dem Struktur, Governance und Handlungsfähigkeit mehr über Erfolg entscheiden als jedes neue Tool oder jede Plattform.

Dieser Schritt markiert einen sorgfältig und langfristig vorbereiteten Übergang, der Stabilität und Kontinuität sichern soll. Seit mehreren Jahren wurde der Wechsel gemeinsam gestaltet, Strukturen wurden angepasst und Entscheidungswege sukzessive übergeben. Auf diese Weise entsteht ein nahtloser Übergang, bei dem Vision, Führungsverständnis und Werte der Gründer weitergetragen werden.

Über 30 Jahre Präzision und Innovationskraft

Seit der Gründung 1992 hat sich HiSolutions zur führenden unabhängigen Beratung im deutschsprachigen Raum für Cybersecurity und digitale Transformation entwickelt. Heute ist das Unternehmen mit fünf Standorten und rund 400 Mitarbeitenden vertreten. Die Gründer heben hervor:

„Als Gründer sind wir stolz, HiSolutions mit vollem Vertrauen in die Hände der Führungskräfte zu legen, die schon seit Jahren das Unternehmen mit uns entwickeln. Damit können wir sicherstellen, dass HiSolutions so weitergeführt wird, wie wir es über Jahrzehnte getan haben, und dennoch werden neue Akzente gesetzt werden.” 

Stabiles Fundament – erweiterte Verantwortung

Die neuen Vorstände Holger Bley, Frank Lüdeking, Stefan Nees und Frank Rustemeyer bringen langjährige Führungserfahrung im Unternehmen mit und haben die Weiterentwicklung der Geschäftsbereiche an der Seite der Gründer bereits maßgeblich geprägt. Ihre Ernennung steht für eine strategische, aber zugleich vertrauensvolle Weitergabe der Verantwortung innerhalb der Unternehmensfamilie. 

„2026 ist der Zeitpunkt, um nicht von Bord zu gehen, sondern einen Schritt zur Seite. Wir waren schon immer überzeugt, dass einen erfolgreichen Unternehmer auszeichnet, nicht nur etwas zu erschaffen, sondern auch die richtigen Nachfolger aufzubauen. Daher sind wir sehr stolz, über die Jahre ein Führungsteam etabliert zu haben, das in Werten, Einstellungen und Kompetenz nahtlos das Ruder übernehmen kann”, betonen die Gründer Prof. Timo Kob, Torsten Heinrich und Michael Langhoff.

Veränderung im Zeichen der Verantwortlichkeit

In den vergangenen Jahren haben die Gründer ihren Schwerpunkt zunehmend darauf gelegt, HiSolutions in Politik, Verbänden und auf Fachkonferenzen zu repräsentieren. Darüber hinaus engagieren sie sich – auch unabhängig von den unmittelbaren wirtschaftlichen Interessen des Unternehmens – in verschiedenen Aktivitäten, die der Förderung von IT-Sicherheit, Bildung und Gleichberechtigung in Deutschland dienen. So bleiben sie HiSolutions auch nach dem Vorstandswechsel weiterhin sehr eng verbunden und bringen ihre Expertise sowohl im Aufsichtsrat als auch in gesellschaftlichen Bereichen aktiv ein. Der Vorstandswechsel vereint Fortschritt und Beständigkeit: Die erfolgreichen Entwicklungen der letzten Jahrzehnte bilden weiterhin die Grundlage für die Zukunft. Gleichzeitig eröffnet der neue Vorstand Raum für neue Impulse – getragen von einer gelebten Unternehmenskultur, die Teamgeist, Leidenschaft und Verantwortung in den Mittelpunkt stellt.

HiSolutions geht damit gut gerüstet in die kommenden Jahre: Mit einer stabilen Führung, einer klaren Vision und einem starken Fundament für die kommenden Entwicklungen unseres Unternehmens.

Ziele:
Prozess- und Strukturprüfung, Risikobewertung des Softwarebetriebs, Technische Due-Diligence-Analyse

Das Ziel des Projekts waren die Bewertung der Prozesse, Strukturen und Risiken in Verbindung mit der zu übernehmenden Softwarelösung sowie die Identifikation von Risiken, die einem lang­fristigen Weiterbetrieb und einer Weiter­entwicklung der Software im Wege stehen könnten.

Bei der Übernahme von Produkten und Unternehmen ist eine technische Bewertung im Due-Diligence-Prozess wichtig, um mögliche Probleme und Hindernisse zu identifizieren, die gegen eine Übernahme sprechen oder herauszufinden, welche Maßnahmen und Investitionen für einen Erfolg nötig sind.

Herausforderungen:
Risikobewertung ohne Detailangaben, Rechtliche Geheimhaltungspflicht

Besonders herausfordernd war die Schwierigkeit einer Risikobeschreibung und -bewertung, ohne konkrete Details an den Auftraggeber zu übermitteln. Dies ist aus rechtlichen Gründen nicht zulässig, da der Auftraggeber im Falle einer gescheiterten Übernahme keine Implementierungsdetails erfahren darf, da diese Geschäftsgeheimnisse des Softwareanbieters umfassen können. HiSolutions fungierte als vertrauenswürdiger Stellvertreter im Rahmen der technischen Bewertung.

Umsetzung:
Quellcode-Analyse, Stakeholder-Interviews, Remote-Prüfungen

Für die Identifikation und die Bewertung der Lösung sowie der zugehörigen Prozesse wurden eine Quelltextanalyse vorgenommen und Interviews mit den Stakeholdern geführt.

Im Rahmen des Projekts wurde die Lösung auf Best Practices eines sicheren Softwareentwicklungsprozesses geprüft. Zudem wurde eine Identifikation und Bewertung der Risiken vorgenommen, welche mit dem geplanten Lebenszyklus der Anwendung in Verbindung stehen.

HiSolutions hat die Prüfungen des Quelltextes sowie die Interviews mit den Entwicklern und Product-Ownern der zu übernehmenden Lösung vollständig remote durchgeführt.

Die Umsetzung der durchgeführten Interviews und der Prüfungen der Software verlief reibungslos.

Ergebnis:
Erfolgreiche Risikoanalyse, Fundierte Entscheidungsbasis, Zusätzliche Eigenentwicklungen identifiziert

Die Ergebnisse der Analysen wurden in einem Abschlussbericht festgehalten und mit dem Auftraggeber durchgesprochen. Der Bericht versetzte ifok in die Lage, die technische Due Diligence im Übernahmeprozess durchzuführen und befähigte den Auftraggeber, fundierte Entscheidungen bezüglich der Übernahme zu treffen.

Im Rahmen des Projektes wurden von HiSolutions für die Weiterentwicklung des Produktes relevante Software-Eigenentwicklungen identifiziert, welche in den initialen Gesprächen bisher übersehen wurden.

Das sagt unser Kunde:

Die kompetente technische Prüfung und inhaltliche Begleitung durch HiSolutions hat uns die nötige Sicherheit gegeben, um eine fundierte Entscheidung zur Übernahme treffen zu können. HiSolutions war dabei durchweg ein verlässlicher Partner und zuverlässiger Vermittler, der unser Vertrauen bestätigt und das des Softwareunternehmens gewonnen hat.

Über die ifok GmbH:

Die 1995 gegründete ifok GmbH ist eine der führenden deutschen Strategie- und Kommunikationsberatungen mit einem Fokus auf Dialog- und Beteiligungsstrategien. Insbesondere im Bereich der Bürgerbeteiligung bietet ifok Lösungen und Partizipationsstrategien an, um Konflikte zwischen verschiedenen Stakeholdern aufzuzeigen und zu klären.

Verantwortung gemeinsam leben

Wie bereits in den Vorjahren wurden die HiSolutions-Kundinnen und -Kunden eingeladen, zwischen einer vorweihnachtlichen Aufmerksamkeit oder einer Spende an eine gemeinnützige Organisation zu wählen. Der überwiegende Teil der Entscheidenden wählte den guten Zweck und setzt damit ein starkes Zeichen für Nachhaltigkeit und gesellschaftliche Verantwortung. Die daraus entstandene Spende kommt in diesem Jahr dem Bündnis Entwicklung Hilft zugute – einem Zusammenschluss, der unter anderem Bildungsinitiativen in Malawi unterstützt und Kindern mit Projekten wie der Digital Library Zugang zu digitaler Bildung ermöglicht.

Parallel dazu fand die interne Spendenaktion statt, bei der Mitarbeitende nicht nur Vorschläge für unterstützenswerte Projekte einbringen, sondern auch in einem gemeinsamen Auswahlprozess selbst über die Vergabe der Spenden entscheiden konnten. Zur Wahl standen sowohl lokale als auch internationale Vereine und Initiativen. Persönliche Herzensprojekte oder aktiv von Mitarbeitenden begleitete Projekte werden dabei besonders gewürdigt.
Ganz im Sinne der Unternehmenskultur – geprägt von Verantwortung, Mitwirkung und Austausch – wurden auch in diesem Jahr verschiedene Organisationen, Vereine und Projekte mit einer Gesamtspendensumme von 33.000€ bedacht, darunter die Berliner Stadtmission, der Kinderhilfe e.V. und das Deutsche Krebsforschungsinstitut.

Engagement mit Herz: Mitarbeitende packen mit an 

Neben den finanziellen Unterstützungen engagierten sich zahlreiche Mitarbeitende auch persönlich: Rund 30 Kolleginnen und Kollegen übernahmen gemeinsam eine ehrenamtliche Schicht bei der Aktion „Weihnachten im Schuhkarton“. In der Weihnachtswerkstatt von Samaritan’s Purse sichteten und prüften sie innerhalb von vier Stunden beeindruckende 3.300 Pakete und machten sie bereit für den Versand, um Kindern auf der ganzen Welt eine Freude zu machen.

„Das Engagement unserer Belegschaft sowie unserer Kundinnen und Kunden begeistert uns jedes Jahr aufs Neue“, so Prof. Timo Kob, Vorstand von HiSolutions. „Gerade in bewegten Zeiten ist es uns wichtig, gemeinsam Verantwortung zu übernehmen und einen Beitrag zu mehr Zuversicht und Unterstützung zu leisten.“

Mit diesen Aktionen setzt HiSolutions auch 2025 ein klares Zeichen für gelebte Solidarität und gesellschaftliche Verantwortung – getragen von der Gemeinschaft und mit Wirkung weit über das Unternehmen hinaus.

Penetrationstestsfür Medizintechnik und digitale Gesundheitsdienste bei Biotronik

Biotronik entwickelt Medizingeräte und digitale Gesundheitslösungen. Um die Sicherheit dieser Systeme zu gewährleisten, führt HiSolutions seit 2018 regelmäßig Penetrationstests durch. Ziel ist es, Schwachstellen frühzeitig zu erkennen und die Informationssicherheit kontinuierlich zu verbessern – seit 2021 im Rahmen eines langfristigen Vertrags.

Ziele:
Gezielte Prüfung sicherheitskritischer Komponenten, Identifikation von Schwachstellen, Umsetzung konkreter Maßnahmen

Ziel der Zusammenarbeit ist es, sicherheitskritische Komponenten wie Geräte, Backend-Systeme und Apps gezielt zu prüfen und Schwachstellen frühzeitig zu identifizieren. Die Ergebnisse sollen konkrete Maßnahmen ermöglichen und regulatorische Anforderungen absichern. Im Fokus steht dabei die Absicherung aller sicherheitsrelevanten Komponenten – von der Geräteelektronik über Backend- und Webanwendungen bis hin zu mobilen Apps, die von Patienten genutzt werden. Wichtig ist Biotronik insbesondere, über die bestehenden Safety-Prüfungen hinaus ein realistisches Bild der tatsächlichen Sicherheitslage zu erhalten. Die Penetrationstests sollen konkrete Schwachstellen aufdecken, praxisnahe Empfehlungen liefern und so die Grundlage für gezielte Sicherheitsmaßnahmen schaffen.

Herausforderungen:
Hohe Komplexität durch vielfältige Komponenten und Schnittstellen, Einhaltung regulatorischer Vorgaben und branchenspezifischer Standards

Zwar finden alle Tests in dedizierten Teststellungen statt und nicht im Echtbetrieb, dennoch müssen die Prüfungen realitätsnah und unter Berücksichtigung der hohen Anforderungen an medizinische Systeme erfolgen. Die Vielfalt der zu prüfenden Komponenten stellt hohe Anforderungen an die Auswahl geeigneter Testmethoden. Zudem gilt es, regulatorische Vorgaben und branchenspezifische Sicherheitsstandards zu berücksichtigen. Die Komplexität der Systeme, die Vielzahl an Schnittstellen sowie die Notwendigkeit, sensible Funktionen realitätsnah zu simulieren, machen eine enge Abstimmung mit den Fachabteilungen erforderlich. Ziel ist es, aussagekräftige Ergebnisse zu erzielen, die auch die Sicherheit der Systeme im produktiven Einsatz widerspiegeln.

Umsetzung:
Modularer Ansatz, strukturierte Dokumentation, konkrete Empfehlungen

Die Penetrationstests werden im Rahmen einer engen Zusammenarbeit modular geplant und durchgeführt. Je nach System kommen passende Methoden wie Netzwerk-, Web-, App- oder Schnittstellentests zum Einsatz. Die Ergebnisse werden strukturiert dokumentiert und mit konkreten Empfehlungen zur Risikominimierung ergänzt.

Ergebnis:
Regulatorische Anforderungen umgesetzt, Sicherheitsstandards optimiert, Nachweis für Zulassungsprozesse erbracht

Die in den letzten Jahren durchgeführten Tests lieferten wertvolle Erkenntnisse über die Sicherheitslage der geprüften Systeme, führten zu konkreten Verbesserungen und stärkten die Einhaltung regulatorischer Vorgaben. Die Ergebnisse wurden als Nachweis gegenüber Zulassungsinstituten genutzt und bilden die Basis für weitere geplante Prüfungen.

Das sagt unser Kunde:

"Die Penetrationstests von HiSolutions haben uns geholfen, die Sicherheit unserer Systeme zu bewerten und zu optimieren, ohne den laufenden Betrieb zu beeinträchtigen.

Besonders hilfreich war die Flexibilität des Anbieters, seine Dokumentations- und Prüfprozesse so anzupassen, dass sie unsere hohen regulatorischen Anforderungen optimal unterstützen. Dadurch konnten wir die Ergebnisse effizient in unsere Entwicklungs- und Compliance-Prozesse integrieren."

Über die BIOTRONIK SE & Co. KG

Seit über 60 Jahren steht Biotronik an der Spitze der Medizintechnik und entwickelt Innovationen, die das Leben von Millionen Menschen mit Herzerkrankungen und chronischen Schmerzen verändern. BIOTRONIK verfolgt das Ziel, Technologie perfekt den individuellen Patientenbedürfnissen anzupassen. Mit intelligenten Implantaten für das Herzrhythmusmanagement, Monitoring und die Neuromodulation sowie mit innovativen Lösungen in der Elektrophysiologie unterstützt BIOTRONIK zuverlässige, lebensverändernde Therapien. Von der Entwicklung des ersten Herzschrittmachers in Deutschland im Jahr 1963 über physiologische Stimulation (CSP) hin zu bahnbrechenden digitalen Lösungen für ein ganzheitliches Therapiemanagement setzt BIOTRONIK kontinuierlich neue Maßstäbe für Qualität, Leistung und Innovation. Mit Hauptsitz in Berlin ist BIOTRONIK heute in über 100 Ländern in Amerika, EMEA und Asien vertreten – und gestaltet mit zukunftsweisenden Lösungen die nächste Generation der Medizintechnik.