🔍 Was beobachte ich?

Manche Admins behandeln Security als Fremdkörper, obwohl sie für ihre Systeme operativ verantwortlich sind. Eine Spielart: Passivität – keine Patches, keine Härtung, keine Initiative. Die andere: das ISMS soll detaillierte Umsetzungsvorgaben liefern, die Admins folgen wörtlich, das System knirscht, der Beweis steht – diese Security-Leute verstehen nichts.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 Annex A.5.4 fordert: Beschäftigte sollen Informationssicherheit aktiv anwenden, nicht abnicken. Operative Sicherheit liegt bei denen, die das System betreiben; das ISMS gibt Rahmen, keine Bedienungsanleitung.

⚠️ Warum funktioniert das nicht?

Wer Verantwortung gegen Anweisung tauscht, bekommt nie die passende. Niemand kennt ein System besser als die Person, die es betreibt – jede Spec ohne diesen Kontext geht vorhersagbar schief. Wörtliche Befolgung ist dann keine Sorgfalt, sondern Sabotage in Bürokratie-Verkleidung. Dahinter steht erlernte Hilflosigkeit oder offene Feindseligkeit; beides ist mit operativer Sicherheitsverantwortung unvereinbar.

💡 Was funktioniert besser?

Das ISMS setzt Schutzziele, der Systembetrieb übersetzt sie in Umsetzung – und trägt das Ergebnis. Diese Trennung muss das Management explizit absichern, sonst frisst sie sich auf. Wer operative Verantwortung trägt, schreibt seine eigene Spec.

📚🔍