InfoSec, AppSec und AISec
für Menschen
- Der kognitive Exploit
Angreifer brechen keine Verschlüsselung mehr – sie brechen das mentale Modell der Nutzenden. Über kognitive Exploits in Sicherheitsprotokollen.
- Die Sicherheitsinventur
Das ATV-Modell reduziert Risikomanagement auf Inventur – und verwechselt bestätigte Probleme mit Risiken.
- Goodhart's Falle
Sobald eine Metrik zum Ziel wird, optimiert man die Metrik – nicht das dahinterliegende Risiko.
- Risiko ohne Ziel
Wer Risiken ohne Organisationsziele bewertet, misst eine Abweichung von nichts.
- Die unsichtbaren Stakeholder
Wer Clause 4.2 als Formalie abhandelt, baut ein ISMS, das Audits besteht – aber keine echten Erwartungen erfüllt.
- Magic Security Dust
Security als letzter Schritt kaschiert Designfehler – und schafft eine gefährliche Vollständigkeitsillusion.
- Die KI-Richtlinie
KI-generierte ISO-27001-Policies klingen richtig – aber niemand kann im Audit die Entscheidungen dahinter erklären.
- Die Angstmaschine
FUD als Budget-Strategie erzeugt kein Vertrauen, sondern Management-Taubheit gegenüber Security.
- Der Agent darf alles
KI-Agenten mit Administratorrechten verstoßen gegen Least Privilege und richten unverhältnismäßigen Schaden an.
- Der Nestbeschmutzer
Security-Anbieter profitieren von anhaltenden Problemen – das Nash-Gleichgewicht verhindert echte Lösungen.
