InfoSec, AppSec und AISec
für Menschen
- Karte des Unbekannten
Asset-Inventar als Kartografie: Wer nur Server zählt, hat ein Verkehrsdiagramm – nicht die Karte, die Risikomanagement braucht.
- Schulung aus der Konserve
Eingekaufte eLearnings ohne Bezug zur eigenen Organisation. Wissen wächst nicht, die Haltung zur Sicherheit kippt fast immer.
- Das Gift ist leise
Nicht die Lautstärke trennt gesunden von vergiftetem Streit, sondern der Bezug – und es braucht Gespür und Mut, ihn zu benennen.
- Wenn jeder alles findet
Oversharing in Microsoft 365 war ein schlafendes Risiko – bis Copilot die Summe offener Freigaben in Sekunden durchsuchbar macht.
- Compliance als Waffe
Wenn Admins Security ablehnen und ISMS-Specs wörtlich befolgen, wird Compliance zur Sabotage in Bürokratie-Verkleidung.
- Richtlinien für alle – Richtlinien für keinen
Wer alle Richtlinien für alle zur Pflichtlektüre macht, erzeugt Compliance-Nachweise – aber keine Awareness.
- Goodhart's Falle
Sobald eine Metrik zum Ziel wird, optimiert man die Metrik – nicht das dahinterliegende Risiko.
- Risiko ohne Ziel
Wer Risiken ohne Organisationsziele bewertet, misst eine Abweichung von nichts.
- Die unsichtbaren Stakeholder
Wer Clause 4.2 als Formalie abhandelt, baut ein ISMS, das Audits besteht – aber keine echten Erwartungen erfüllt.
- Die KI-Richtlinie
KI-generierte ISO-27001-Policies klingen richtig – aber niemand kann im Audit die Entscheidungen dahinter erklären.
