---
title: "Die Nebenwirkung ohne Beipackzettel"
date: 2026-06-10T07:35:00+02:00
draft: false
image: "2026-06-10_Nebenwirkung-Beipackzettel.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "Sekundärrisiko", "ISMS"]
keywords: ["Sekundärrisiko", "iatrogener Schaden", "Risikokompensation", "Risikobehandlung", "erzwungener Passwortwechsel", "NIST SP 800-63"]
description: "Jede Schutzmaßnahme ist ein Eingriff mit Nebenwirkungen – wer nur das gelöste Risiko sieht, übersieht das neu geschaffene."
---

## 🔍 Was beobachte ich?

Ein Risiko wird behandelt, die Kennzahl färbt sich grün, das Register meldet Vollzug. Ich erlebe dann denselben Moment der Erleichterung – und dieselbe Lücke danach: Niemand prüft, welche neuen Risiken die Maßnahme selbst eingeführt hat.

## 🎯 Was soll eigentlich erreicht werden?

Die Absicht ist richtig: Ein erkanntes Risiko soll sinken, ein Schwachpunkt geschlossen werden. Risikobehandlung ist der Kern jedes ISMS.

## ⚠️ Warum funktioniert das nicht?

Weil jede Maßnahme ein Eingriff ist – und Eingriffe haben Nebenwirkungen. Das Projektmanagement nennt sie Sekundärrisiken: Risiken, die erst durch die Behandlung des ursprünglichen Risikos entstehen. Die Medizin kennt dasselbe Muster: iatrogen – die Behandlung selbst ruft das Leiden hervor. Erzwungene Passwortwechsel etwa sollten Konten schützen, erzeugten aber vorhersehbare Muster und schwächere Passwörter – inzwischen rät NIST ausdrücklich davon ab. Und wer sich geschützt fühlt, handelt unbewusst riskanter (Risikokompensation). Die grüne Kennzahl beendet die Aufmerksamkeit genau dort, wo das neue Risiko beginnt.

## 💡 Was funktioniert besser?

Jede Maßnahme zu Ende denken: Welches neue Risiko führe ich ein, wer weicht künftig aus? Ein Behandlungsplan ist erst fertig, wenn das Sekundärrisiko benannt und bewertet ist – nicht, wenn die Ampel grün wird. Oft genügt eine Frage im Risk-Review: Was haben wir uns mit dieser Lösung eingehandelt?

## 📚🔍

- Secondary vs Residual Risk – Risikoarten im Projektmanagement (Project Management Academy) [https://projectmanagementacademy.net/resources/blog/intro-to-types-of-risk/](https://projectmanagementacademy.net/resources/blog/intro-to-types-of-risk/)
- NIST SP 800-63 Digital Identity Guidelines – FAQ (warum keine periodische Passwortänderung) [https://pages.nist.gov/800-63-FAQ/#q-b05](https://pages.nist.gov/800-63-FAQ/#q-b05)
- Renaud et al. (2017): Risk Homeostasis in Information Security (NSPW) [https://www.nspw.org/papers/2017/nspw2017-renaud.pdf](https://www.nspw.org/papers/2017/nspw2017-renaud.pdf)