🔍 Was beobachte ich?

Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?" Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.

🎯 Was soll eigentlich erreicht werden?

Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.

⚠️ Warum funktioniert das nicht?

Eine IT, die detaillierte Umsetzungsvorgaben vom Informationssicherheitsteam fordert, hat ihr Handwerk nicht verstanden. Sichere Systeme zu bauen ist keine Zusatzaufgabe – es ist der Job. Wer das auslagert, schiebt nicht nur Verantwortung ab, sondern gibt zu verstehen, dass Security außerhalb der eigenen Kompetenz liegt. Fünf Awareness-Trainings ändern das nicht. Haltung entsteht durch Verantwortung und Konsequenz, nicht durch Schulung.

💡 Was funktioniert besser?

Das Informationssicherheitsteam setzt Leitplanken, prüft und berät. Es entscheidet nicht stellvertretend und schreibt keine Betriebsanleitungen für Fachleute, die ihr Metier beherrschen sollten. Security-Kompetenz gehört zur IT-Fachverantwortung – nicht als Kür, sondern als Pflicht.

📚🔍