InfoSec, AppSec und AISec
für Menschen
- Vibe Coding als Methode
Vibe Coding hebelt den Secure SDLC systematisch aus und produziert messbar Angriffsfläche statt Software.
- Apfel × Handtuch = Regen
Multiplikation auf Ordinalskalen ist mathematisch undefiniert. Risikomatrizen rechnen trotzdem und sortieren weniger als zehn Prozent der Paare korrekt.
- Die Erlaubnis zum Zweifel
Methodik fehlt nicht im Risikoregister, sondern Mut. Pre-Mortem schafft die soziale Erlaubnis, das Unaussprechliche zu benennen.
- Compliance als Waffe
Wenn Admins Security ablehnen und ISMS-Specs wörtlich befolgen, wird Compliance zur Sabotage in Bürokratie-Verkleidung.
- Richtlinien für alle – Richtlinien für keinen
Wer alle Richtlinien für alle zur Pflichtlektüre macht, erzeugt Compliance-Nachweise – aber keine Awareness.
- Das Phantom in der Pipeline
KI-Sprachmodelle halluzinieren Paketnamen systematisch — Angreifende können diese Phantome vorab registrieren.
- Der kognitive Exploit
Angreifer brechen keine Verschlüsselung mehr – sie brechen das mentale Modell der Nutzenden. Über kognitive Exploits in Sicherheitsprotokollen.
- Die Sicherheitsinventur
Das ATV-Modell reduziert Risikomanagement auf Inventur – und verwechselt bestätigte Probleme mit Risiken.
- Jedes Risiko hat seine Etage
Warum Risikoentscheidungen auf die richtige Organisationsebene gehören — und was passiert, wenn niemand diese Grenzen zieht.
- Goodhart's Falle
Sobald eine Metrik zum Ziel wird, optimiert man die Metrik – nicht das dahinterliegende Risiko.
