🌟 Das Versprechen

Psychologische Sicherheit gilt als Fundament jeder ernsthaften Sicherheitskultur. Vorfälle müssen gemeldet, Schwachstellen ehrlich dokumentiert, Risiken realistisch eingeschätzt werden. Ohne ehrliche Signale ist die Sicherheitslage blind – das ist keine weiche Anforderung, sondern eine operative Notwendigkeit.

Jede Organisation, die das ernst nimmt, proklamiert genau das. Viele sogar laut und regelmäßig. Security-Kultur als Wert, als Bekenntnis, als Folie in der Jahrespräsentation.

🔍 Die Wirklichkeit

Aber dann kommt die Praxis. Die Sicherheitsexpertin, die kritische Befunde dokumentiert, bekommt beim nächsten Auftrag einen engeren Scope. Die Risikomanagerin, die „hoch" einschätzt, wird gebeten, die Bewertung vor dem Board-Meeting zu überdenken. Der Entwickler, der in der Sprint-Review einen Einwand äußert, erntet ein Augenrollen. Der CISO, der unbequeme Zahlen präsentiert, lernt mit der Zeit, welche Themen willkommen sind.

Das geschieht selten laut. Meistens subtil: eine überarbeitete Einschätzung, ein „lass uns das offline klären", die stille Entscheidung, den Befund nicht in den Bericht zu schreiben. Sicherheitskultur, die an komfortable Ergebnisse geknüpft ist, ist keine Sicherheitskultur. Es ist verwaltete Unwissenheit mit Security-Label.

Ich beobachte dieses Muster nicht in Einzelfällen. Es ist verbreitet – in regulierten Branchen ebenso wie im Tech-Umfeld, in kleinen Teams ebenso wie in zertifizierten Organisationen.

💡 Die Konsequenz

Das ist nicht nur ein Kulturproblem. Es ist auch ein Sicherheitsproblem.

Wer ehrliche Signale stillschweigend sanktioniert, verschlechtert aktiv die eigene Sicherheitslage. Was die Organisation nicht weiß, kann ihr erheblich schaden. Und sie hat ihre besten Leute trainiert, sie davor zu schützen – vor dem Wissen, nicht vor dem Risiko.

Sicherheitskultur ist nicht das, was Organisationen versprechen. Es ist das, was sie aushalten.

📚🔍