Beobachtungen und Gedanken zu Security - von bissig zu konstruktiv
- Die KI-Richtlinie
KI-generierte ISO-27001-Policies klingen richtig – aber niemand kann im Audit die Entscheidungen dahinter erklären.
- Die Angstmaschine
FUD als Budget-Strategie erzeugt kein Vertrauen, sondern Management-Taubheit gegenüber Security.
- Security-Team: Toll, ein anderer macht's
Wer Security ans Sicherheitsteam delegiert, gibt zu, dass es nicht zur eigenen Fachkompetenz gehört.
- Securitas – das verlorene Versprechen
Security, die Angst produziert statt Handlungsfähigkeit zu fördern, verfehlt ihr ursprüngliches Versprechen.
- Hire a Hero
Den CISO mit Cybersecurity-Verantwortung zu belasten, löst das Problem der verteilten Risikoeigentümerschaft nicht.
- Die Generalprobe, die niemand nutzt
Internes Auditing als Coaching nutzen, nicht als Prüfung – die ehrlichste Bestandsaufnahme vor dem externen Audit.
- Die unmessbaren Versprechen
RTO-Zielwerte, die nie getestet werden, sind Papierlösungen – die Realität liegt Faktor drei daneben.
- Die Lieferkette als blinder Fleck
SolarWinds, XZ Utils und OVH zeigen: Lieferantenvertrauen ohne Kontrolle ist Risikomanagement auf Papier.
