---
title: "Security-Team: Toll, ein anderer macht's"
date: 2026-03-25T07:35:00+01:00
draft: false
image: "2026-03-25_Security-Team-Toll-ein-anderer-machts.jpg"
tags: ["Anti-Pattern", "ISMS", "Sicherheitskultur", "ISO 27001"]
keywords: ["Security-Verantwortung", "Delegation an Security-Silo", "Fachverantwortung der IT", "Security-Leitplanken", "Awareness-Training", "ENISA Cybersecurity Culture"]
description: "Wer Security ans Sicherheitsteam delegiert, gibt zu, dass es nicht zur eigenen Fachkompetenz gehört."
---

## 🔍 Was beobachte ich?

Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?" Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.

## 🎯 Was soll eigentlich erreicht werden?

Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.

## ⚠️ Warum funktioniert das nicht?

Eine IT, die detaillierte Umsetzungsvorgaben vom Informationssicherheitsteam fordert, hat ihr Handwerk nicht verstanden. Sichere Systeme zu bauen ist keine Zusatzaufgabe – es ist der Job. Wer das auslagert, schiebt nicht nur Verantwortung ab, sondern gibt zu verstehen, dass Security außerhalb der eigenen Kompetenz liegt. Fünf Awareness-Trainings ändern das nicht. Haltung entsteht durch Verantwortung und Konsequenz, nicht durch Schulung.

## 💡 Was funktioniert besser?

Das Informationssicherheitsteam setzt Leitplanken, prüft und berät. Es entscheidet nicht stellvertretend und schreibt keine Betriebsanleitungen für Fachleute, die ihr Metier beherrschen sollten. Security-Kompetenz gehört zur IT-Fachverantwortung – nicht als Kür, sondern als Pflicht.

## 📚🔍

- ENISA: Cybersecurity Culture Guidelines [https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity](https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity)
- NIST SP 800-100: Information Security Handbook for Managers [https://csrc.nist.gov/publications/detail/sp/800-100/final](https://csrc.nist.gov/publications/detail/sp/800-100/final)
- ISACA: Building a Strong Security Culture for Resilience and Digital Trust [https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/building-a-strong-security-culture-for-resilience-and-digital-trust](https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2023/building-a-strong-security-culture-for-resilience-and-digital-trust)