InfoSec, AppSec und AISec
für Menschen
- Die seriöse Zahl
Präzise aussehende Risikozahlen sind oft verkleidetes Bauchgefühl – die Objektivitätsillusion.
- Die fertige Liste
Das Risikoregister bildet ab, was wir kennen – nicht was uns bedrohen kann.
- Die Sicherheitsinventur
Das ATV-Modell reduziert Risikomanagement auf Inventur – und verwechselt bestätigte Probleme mit Risiken.
- Die unsichtbaren Stakeholder
Wer Clause 4.2 als Formalie abhandelt, baut ein ISMS, das Audits besteht – aber keine echten Erwartungen erfüllt.
- Die KI-Richtlinie
KI-generierte ISO-27001-Policies klingen richtig – aber niemand kann im Audit die Entscheidungen dahinter erklären.
- Security-Team: Toll, ein anderer macht's
Wer Security ans Sicherheitsteam delegiert, gibt zu, dass es nicht zur eigenen Fachkompetenz gehört.
- Einmal bewertet, für immer gültig
Risikoregister, die nie aktualisiert werden, sind Entscheidungen auf Basis veralteter Annahmen.
- Die Generalprobe, die niemand nutzt
Internes Auditing als Coaching nutzen, nicht als Prüfung – die ehrlichste Bestandsaufnahme vor dem externen Audit.
- Das eine Risikomaß
Ein universeller Risiko-Score versteckt die entscheidende Frage: Wessen Ziele sind eigentlich betroffen?
- Einmal bewertet, für immer gültig
Risikoregister, die nie aktualisiert werden, sind Entscheidungen auf Basis veralteter Annahmen.
