ISMS on .kais blog

Die KI-Richtlinie

Fri, 10 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Policies für ISO 27001 werden mit KI-Tools generiert: korrekt formatiert, mit den richtigen Klauseln. Risikoabschätzungen folgen demselben Muster. Im Audit kommt die Frage: „Warum ist dieses Risiko so bewertet worden?" – und niemand kann antworten. Nicht weil Dokumentation fehlt, sondern weil kein Mensch die Bewertung tatsächlich durchgeführt hat.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 verlangt Richtlinien und Risikoabschätzungen, die den Organisationskontext widerspiegeln – als Grundlage für echte Sicherheitsentscheidungen, nicht als Compliance-Nachweis.

Die Angstmaschine

Wed, 08 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Sicherheitspräsentationen beginnen mit den schlimmsten Vorfällen des Quartals. Budgetanfragen enden mit „wenn das passiert, ist alles verloren." Bedrohungslisten ohne Wahrscheinlichkeit, ohne Kontext. Angst ist das implizite Kommunikationsmodell geworden.

🎯 Was soll eigentlich erreicht werden?

Entscheidende sollen Security ernst nehmen und Investitionen freigeben. Das Ziel ist berechtigt – Sicherheit braucht Ressourcen und Aufmerksamkeit.

⚠️ Warum funktioniert das nicht?

Kelly Shortridge analysierte das spieltheoretische Dilemma: Wer Angst verkauft, bekommt Budget – kurzfristig. Langfristig lernt das Management, dass „kritisch" die Standardeinstellung ist. Andrew Jaquith nannte das schon 2007 FUD: Fear, Uncertainty and Doubt ist das Fundament der Security-Industrie – und produziert ein Management, das gelernt hat, Sicherheitskommunikation zu misstrauen. Angstgetriebene Kommunikation erzeugt keine Entscheidungshaltung. Sie erzeugt Taubheit.

Security-Team: Toll, ein anderer macht's

Wed, 25 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?" Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.

🎯 Was soll eigentlich erreicht werden?

Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.

Securitas – das verlorene Versprechen

Mon, 23 Mar 2026 07:35:00 +0100

📌 Die gängige Überzeugung

Security schützt die Organisation. Sicherheitsteams sind die Hüter, die Verhinderer des Schlimmsten. Ihr Wert bemisst sich daran, wie viele Risiken sie aufdecken, wie viele Projekte sie stoppen, wie groß die Bedrohung klingt, vor der sie warnen. Diese Logik ist so tief verankert, dass sie kaum noch hinterfragt wird.

⚡ Das Gegenbeispiel

Seneca nannte das Ziel des Weisen „securitas" – sine cura, Freiheit von der Sorge. Nicht Abwesenheit von Gefahr, sondern die Fähigkeit, gelassen und handlungsfähig zu bleiben, obwohl Gefahr existiert. Kelly Shortridge hat beobachtet, dass moderne Cybersecurity dieses Versprechen systematisch umkehrt: Statt Vertrauen und Gelassenheit zu fördern, lebt ein Teil der Branche von Fear, Uncertainty and Doubt. FUD ist kein Versehen. Es ist ein Mechanismus, der Budgets rechtfertigt, Positionen sichert und Abhängigkeiten schafft. Wer das Bedrohungsbild kontrolliert, kontrolliert die Ressourcen.

Hire a Hero

Fri, 20 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die Stelle ist ausgeschrieben, das Organigramm aktualisiert, die Pressemitteilung fertig. Die Organisation hat einen CISO – damit ist Cybersicherheit geregelt. Im besten Fall bringt der CISO auch noch Magical Security Dust mit. Hire a Hero: Expertise einkaufen, Verantwortung abgeben, fertig.

🎯 Was soll eigentlich erreicht werden?

Cyber-Risiken professionell managen. Sicherheitsverantwortung verankern – nicht bei einer Person, sondern dort, wo täglich Entscheidungen mit Sicherheitsrelevanz fallen.

⚠️ Warum funktioniert das nicht?

CISOs bekommen täglich Meldungen: ungepatchte Server, SaaS-Verträge ohne Security-Anforderungen, Features ohne aktuelles Threat-Modell. CISOs schreiben Berichte. Der Verizon DBIR zeigt das Muster: Die häufigsten Angriffswege – ausgenutzte Schwachstellen, Konfigurationsfehler, kompromittierte Konten – entstehen überall in der Organisation. Hire a Hero ist der Versuch, Sicherheitsverantwortung zu bündeln – für etwas, das sich nicht bündeln lässt. Die Person, die für Arbeitssicherheit zuständig ist, bindet den Beschäftigten auch nicht die Schuhe.

Die Generalprobe, die niemand nutzt

Mon, 16 Mar 2026 07:35:00 +0100

📋 Die Situation

Das interne Audit steht an. Entweder beginnt jetzt wochenlange Vorbereitung: Dokumente suchen, Lücken schließen, Antworten einstudieren. Oder es passiert gar nichts – und das Nachdenken beginnt erst, wenn die Auditorin im Raum ist.

❌ Wie es oft läuft

Die Auditorin stellt Fragen. Die Auditierte antwortet präzise und knapp. Jedes Wort ist vorher überlegt. Probleme? Die gibt es offiziell nicht – oder sie tauchen in abgemilderter Form auf. Der Bericht landet im Ordner, die Maßnahmen auf einer Liste, die niemand priorisiert. Ein Jahr später: dasselbe Spiel.

Die unmessbaren Versprechen

Fri, 06 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

In vielen Notfallhandbüchern stehen sie: RTO von vier Stunden, RPO von einer Stunde. Präzise dokumentiert, sorgfältig abgestimmt, nie getestet. Diese Zielwerte entstammen der Business-Impact-Analyse – und dort sind sie geblieben. Ein Versprechen, das niemand einlösen muss, solange kein Ernstfall eintritt.

🎯 Was soll eigentlich erreicht werden?

RTO und RPO sind keine Kennzahlen für das Notfallhandbuch – sie sind operative Zusagen. ISO 22301 versteht sie als messbare Zielwerte, die Strategie, Infrastruktur und regelmäßige Tests voraussetzen.

Die Lieferkette als blinder Fleck

Mon, 02 Mar 2026 07:35:00 +0100

🤝 Das starke Argument

Lieferantensicherheit ist Sache des Lieferanten. Er hat die Expertise, die Systeme, die Prozesse. Er unterzeichnet den Vertrag, er haftet. Was geht mich an, was hinter seiner Firewall passiert?

⚖️ Was daran stimmt

Die vertragliche Haftung ist real. Und wer mit einem seriösen Dienstleister arbeitet, bekommt tatsächlich Expertise, die intern nicht vorhanden wäre. Das Argument ist nicht falsch.

🔍 Wo es brüchig wird

SolarWinds 2020: Angreifende kompromittierten den Build-Server des Herstellers. 18.000 Organisationen installierten daraufhin freiwillig ein manipuliertes Update – signiert, legitim, vertrauenswürdig. XZ Utils 2024: Monatelang arbeiteten sich Angreifende in das Vertrauen einer Open-Source-Community vor, um eine Hintertür in eine systemkritische Bibliothek einzuschleusen. In beiden Fällen war das Ziel nicht der Lieferant. Es war die Organisation dahinter.