🔍 Was beobachte ich?

Eine Richtlinie verlangt, den Bildschirm zu sperren – das System tut es längst nach fünf Minuten. Eine Regel schreibt vor, die Tür zum Serverraum zu schließen – die alle ohnehin zuziehen. Eine zwölfseitige Nutzungsvereinbarung unterschreiben alle, niemand liest sie. Ich erlebe, wie für fast jeden Fall eine Regel entsteht – meist zur Beschwichtigung der Prüfenden, selten zur Steuerung.

🎯 Was soll eigentlich erreicht werden?

Das Ziel ist legitim: Verlässlichkeit, Nachvollziehbarkeit, Schutz vor Willkßr. Ein klarer Soll-Zustand schafft Orientierung; auf Missstände muss man reagieren dßrfen.

⚠️ Warum funktioniert das nicht?

Vor jeder Regel steht eine selten gestellte Frage: Gibt es überhaupt einen Regelungsbedarf? Wer aus Verunsicherung reguliert, bekämpft Symptome statt Risiken. ISO 27001 verlangt das nicht – die Norm ist risikobasiert und fordert seit 2022 weniger Dokumente. Eine Regel ohne Bedarf erzeugt ungelesenes Papier und schwächt die Kultur, die sie schützen sollte.

💡 Was funktioniert besser?

Vor jede Regel stelle ich eine Frage: Belegt die gelebte Praxis, dass es ohne sie funktioniert – oder verlasse ich mich nur auf Glück? Das ist kein Ruf nach Beliebigkeit: Wo Kultur den Beleg nicht trägt, ist die Regel überfällig; wo sie ihn trägt, steuert weniger Vorschrift stärker.

📚🔍