Anti-Pattern on .kais blog

Die KI-Richtlinie

Fri, 10 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Policies für ISO 27001 werden mit KI-Tools generiert: korrekt formatiert, mit den richtigen Klauseln. Risikoabschätzungen folgen demselben Muster. Im Audit kommt die Frage: „Warum ist dieses Risiko so bewertet worden?" – und niemand kann antworten. Nicht weil Dokumentation fehlt, sondern weil kein Mensch die Bewertung tatsächlich durchgeführt hat.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 verlangt Richtlinien und Risikoabschätzungen, die den Organisationskontext widerspiegeln – als Grundlage für echte Sicherheitsentscheidungen, nicht als Compliance-Nachweis.

Die Angstmaschine

Wed, 08 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Sicherheitspräsentationen beginnen mit den schlimmsten Vorfällen des Quartals. Budgetanfragen enden mit „wenn das passiert, ist alles verloren." Bedrohungslisten ohne Wahrscheinlichkeit, ohne Kontext. Angst ist das implizite Kommunikationsmodell geworden.

🎯 Was soll eigentlich erreicht werden?

Entscheidende sollen Security ernst nehmen und Investitionen freigeben. Das Ziel ist berechtigt – Sicherheit braucht Ressourcen und Aufmerksamkeit.

⚠️ Warum funktioniert das nicht?

Kelly Shortridge analysierte das spieltheoretische Dilemma: Wer Angst verkauft, bekommt Budget – kurzfristig. Langfristig lernt das Management, dass „kritisch" die Standardeinstellung ist. Andrew Jaquith nannte das schon 2007 FUD: Fear, Uncertainty and Doubt ist das Fundament der Security-Industrie – und produziert ein Management, das gelernt hat, Sicherheitskommunikation zu misstrauen. Angstgetriebene Kommunikation erzeugt keine Entscheidungshaltung. Sie erzeugt Taubheit.

Der Agent darf alles

Fri, 03 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

KI-Agenten kommen mit Produktions-Credentials, Datenbankzugängen und Admin-Rechten ausgestattet. Die Argumentation: Einschränkungen kosten Zeit, und der Agent soll ja Dinge erledigen. Was ich sehe, sind Systeme, in denen ein autonomes System mit mehr Rechten läuft als die meisten menschlichen Beschäftigten.

🎯 Was soll eigentlich erreicht werden?

Agenten sollen Aufgaben selbständig lösen – ohne ständige menschliche Intervention. Das ist legitim; KI-Agenten werden in Entwicklung, Betrieb und Security-Operations zunehmend eingesetzt.

Der Nestbeschmutzer

Wed, 01 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Anbieter-Portfolios wachsen. Threat-Reports erscheinen quartalsweise. Breaches werden zu Verkaufsargumenten. Und ein Consulting-Projekt, das nach drei Monaten endet, gilt intern als Misserfolg – obwohl es das Beste sein könnte, was einer Organisation passiert.

🎯 Was soll eigentlich erreicht werden?

Organisationen sollen sicherer werden – und unabhängig bleiben. Das ist das erklärte Ziel jedes Anbieters, jeder Beratung, jedes Standards-Komitees.

⚠️ Warum funktioniert das nicht?

Ross Anderson zeigte 2001: Informationssicherheit scheitert so oft an Fehlanreizen wie an Technik. Für Anbieter ist das Nash-Gleichgewicht bekannt – Kelly Shortridge hat es formalisiert: Wer eine Bedrohungskategorie eliminiert, eliminiert sein Produktsegment. Für Beratende gilt etwas Subtileres. Wer ein ISMS schlank konzipiert, Wissen überträgt und nach drei Monaten statt achtzehn verschwindet, hat die beste Arbeit geleistet – und den kleinsten Umsatz erzielt. Die Logik ist wie beim Doping: individuell rational, systemisch destruktiv. Niemand plant das.

Das SBOM-Feigenblatt

Fri, 27 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Zwei Versäumnisse, oft gleichzeitig: Ein SBOM wird einmalig erzeugt – nicht für jeden Build. Welche Komponentenversionen im letzten Release stecken? Unbekannt. Und selbst wo SBOMs existieren, werden sie nicht beobachtet. Ein neuer CVE für eine enthaltene Komponente bleibt unsichtbar – bis jemand zufällig nachschaut.

🎯 Was soll eigentlich erreicht werden?

Zwei Dinge: wissen, was deployed ist – und wissen, ob das noch sicher ist. Der SBOM beantwortet die erste Frage: Er dokumentiert Komponentenversionen eines Builds. Die zweite beantwortet er nur, wenn er kontinuierlich gegen Schwachstellendatenbanken geprüft wird.

Security-Team: Toll, ein anderer macht's

Wed, 25 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?" Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.

🎯 Was soll eigentlich erreicht werden?

Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.

Hire a Hero

Fri, 20 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die Stelle ist ausgeschrieben, das Organigramm aktualisiert, die Pressemitteilung fertig. Die Organisation hat einen CISO – damit ist Cybersicherheit geregelt. Im besten Fall bringt der CISO auch noch Magical Security Dust mit. Hire a Hero: Expertise einkaufen, Verantwortung abgeben, fertig.

🎯 Was soll eigentlich erreicht werden?

Cyber-Risiken professionell managen. Sicherheitsverantwortung verankern – nicht bei einer Person, sondern dort, wo täglich Entscheidungen mit Sicherheitsrelevanz fallen.

⚠️ Warum funktioniert das nicht?

CISOs bekommen täglich Meldungen: ungepatchte Server, SaaS-Verträge ohne Security-Anforderungen, Features ohne aktuelles Threat-Modell. CISOs schreiben Berichte. Der Verizon DBIR zeigt das Muster: Die häufigsten Angriffswege – ausgenutzte Schwachstellen, Konfigurationsfehler, kompromittierte Konten – entstehen überall in der Organisation. Hire a Hero ist der Versuch, Sicherheitsverantwortung zu bündeln – für etwas, das sich nicht bündeln lässt. Die Person, die für Arbeitssicherheit zuständig ist, bindet den Beschäftigten auch nicht die Schuhe.

Einmal bewertet, für immer gültig

Wed, 18 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.

🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

⚠️ Warum funktioniert das nicht?

Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.

Das abgeschlossene Bedrohungsmodell

Fri, 13 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die Threat-Modeling-Session liegt sechs Monate zurück. Damals war die Architektur überschaubar, die Abhängigkeiten bekannt. Seitdem kam ein neuer Cloud-Provider dazu, drei Bibliotheken wurden ausgetauscht, und die Auslieferungspipeline hat neue Wege in die Produktion bekommen. Das Bedrohungsmodell weiß davon nichts.

🎯 Was soll eigentlich erreicht werden?

Threat Modeling soll Angriffsflächen sichtbar machen, bevor Angreifer sie finden. Das Threat Modeling Manifesto fordert Continuous Refinement: Das Bedrohungsmodell muss parallel zum System gepflegt, aktualisiert und verfeinert werden – nicht einmalig erstellt und abgelegt.

Das eine Risikomaß

Wed, 11 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Jedes Security-Dashboard zeigt Risiko-Scores. CVSS, Risk-Index, Risikorating – alles landet auf einer Skala. Die Ampel springt auf Rot, der Score überschreitet 7,5, also wird priorisiert. Wessen Abweichung von welchem Ziel dabei gemeint ist, fragt niemand.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen. Entscheidungstragende sollen auf einen Blick sehen, was kritisch ist – und Investitionen dorthin lenken, wo der Handlungsbedarf am größten ist.

Die unmessbaren Versprechen

Fri, 06 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

In vielen Notfallhandbüchern stehen sie: RTO von vier Stunden, RPO von einer Stunde. Präzise dokumentiert, sorgfältig abgestimmt, nie getestet. Diese Zielwerte entstammen der Business-Impact-Analyse – und dort sind sie geblieben. Ein Versprechen, das niemand einlösen muss, solange kein Ernstfall eintritt.

🎯 Was soll eigentlich erreicht werden?

RTO und RPO sind keine Kennzahlen für das Notfallhandbuch – sie sind operative Zusagen. ISO 22301 versteht sie als messbare Zielwerte, die Strategie, Infrastruktur und regelmäßige Tests voraussetzen.

Der Festungs-Irrtum

Wed, 04 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Sicherheitsbudgets fließen mehrheitlich in Prävention: Firewalls, EDR, Zugangskontrollen. Wer fragt, was passiert, wenn ein Angreifer trotzdem durchkommt, bekommt oft keine klare Antwort – manchmal gar keine.

🎯 Was soll eigentlich erreicht werden?

Angriffe verhindern, Daten schützen, Schäden abwenden. Ein legitimes Ziel – aber als alleinige Strategie zu eng gedacht.

⚠️ Warum funktioniert das nicht?

Angreifende müssen nur einmal erfolgreich sein. Wer alles in die Mauern investiert, hat nichts für den Moment, in dem sie fallen. Ransomware-Gruppen wählen gezielt Organisationen ohne Wiederherstellungsfähigkeit: Ausfall erzeugt Druck, Druck erzeugt Zahlung. WEF 2026: 17 % der Organisationen berichten über unzureichende Resilienz.

Punktlandung im Nebel

Fri, 27 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

Im Risk-Register steht: Eintrittswahrscheinlichkeit 30%. Schadenshöhe 250.000 Euro. Zwei Nachkommastellen Genauigkeit, null Nachkommastellen Ehrlichkeit. Niemand fragt, wie sicher sich die schätzende Person bei diesen Zahlen ist.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen.

⚠️ Warum funktioniert das nicht?

Ein einzelner Punktwert suggeriert eine Präzision, die nicht existiert. Wer “30%” sagt, meint vielleicht “irgendwo zwischen 10% und 50%”. Diesen Unterschied verschluckt die Zahl. Entscheidungstragende treffen auf dieser Basis Investitionsentscheidungen - ohne zu wissen, wie dünn das Eis ist.

Einmal bewertet, für immer gültig

Wed, 25 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

⚠️ Warum funktioniert das nicht?

Ohne Daten keine Wahrscheinlichkeit

Fri, 20 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

“Wir können keine Wahrscheinlichkeiten angeben - uns fehlen die statistischen Daten.” Diesen Satz höre ich in fast jedem Risk-Assessment-Workshop. Die Folge: Risiken werden gar nicht bewertet oder mit bedeutungslosen Kategorien wie “mittel” versehen.

🎯 Was soll eigentlich erreicht werden?

Eine fundierte Einschätzung, wie plausibel der Eintritt eines Risikos ist.

⚠️ Warum funktioniert das nicht?

Wer auf objektive Statistiken wartet, wartet bei singulären Risiken für immer. Die nächste Ransomware-Attacke auf genau diese Organisation ist kein wiederholbares Zufallsexperiment. Objektive Häufigkeiten helfen hier nicht weiter. Also passiert nichts - oder jemand schätzt ohne Methode.

Babylonische Sprachverwirrung im Risikomanagement

Wed, 18 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

Zehn Leute bewerten Risiken im Workshop. Drei meinen mit “Risiko” die Eintrittswahrscheinlichkeit, zwei den Schaden, der Rest irgendetwas dazwischen. Alle nicken. Niemand meint dasselbe.

🎯 Was soll eigentlich erreicht werden?

Eine gemeinsame Risikobewertung. Eine Sprache, vergleichbare Ergebnisse.

⚠️ Warum funktioniert das nicht?

ISO 31000 definiert Risiko als “Auswirkung von Unsicherheit auf Ziele”. NIST spricht von Threats und Vulnerabilities. FAIR zerlegt Risiko in Loss Event Frequency und Loss Magnitude. Alle bringen ihr Framework im Kopf mit. Niemand legt die Karten auf den Tisch. Das Ergebnis: Ein Risk-Register voller Bewertungen, die nicht vergleichbar sind.