ISO 27001 on .kais blog

Die KI-Richtlinie

Fri, 10 Apr 2026 07:35:00 +0200

🔍 Was beobachte ich?

Policies für ISO 27001 werden mit KI-Tools generiert: korrekt formatiert, mit den richtigen Klauseln. Risikoabschätzungen folgen demselben Muster. Im Audit kommt die Frage: „Warum ist dieses Risiko so bewertet worden?" – und niemand kann antworten. Nicht weil Dokumentation fehlt, sondern weil kein Mensch die Bewertung tatsächlich durchgeführt hat.

🎯 Was soll eigentlich erreicht werden?

ISO 27001 verlangt Richtlinien und Risikoabschätzungen, die den Organisationskontext widerspiegeln – als Grundlage für echte Sicherheitsentscheidungen, nicht als Compliance-Nachweis.

Security-Team: Toll, ein anderer macht's

Wed, 25 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?" Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.

🎯 Was soll eigentlich erreicht werden?

Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.

Einmal bewertet, für immer gültig

Wed, 18 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Risikobewertungen entstehen einmal im Jahr vor dem Audit. Danach ruhen sie im Register. Zwischendurch passiert ein Vorfall in der Branche, eine neue Schwachstelle wird bekannt, die Bedrohungslage ändert sich. Neue Services gehen live, IT-Systeme werden migriert, Abteilungen umstrukturiert. Die Bewertungen bleiben, wie sie sind.

🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

⚠️ Warum funktioniert das nicht?

Eine Wahrscheinlichkeitsschätzung ist kein Foto, das man einmal macht und einrahmt. Sie spiegelt den Wissensstand zum Zeitpunkt der Bewertung. Neue Informationen verändern diesen Wissensstand. Wer das ignoriert, trifft Entscheidungen auf Basis veralteter Annahmen.

Die Generalprobe, die niemand nutzt

Mon, 16 Mar 2026 07:35:00 +0100

📋 Die Situation

Das interne Audit steht an. Entweder beginnt jetzt wochenlange Vorbereitung: Dokumente suchen, Lücken schließen, Antworten einstudieren. Oder es passiert gar nichts – und das Nachdenken beginnt erst, wenn die Auditorin im Raum ist.

❌ Wie es oft läuft

Die Auditorin stellt Fragen. Die Auditierte antwortet präzise und knapp. Jedes Wort ist vorher überlegt. Probleme? Die gibt es offiziell nicht – oder sie tauchen in abgemilderter Form auf. Der Bericht landet im Ordner, die Maßnahmen auf einer Liste, die niemand priorisiert. Ein Jahr später: dasselbe Spiel.

Das eine Risikomaß

Wed, 11 Mar 2026 07:35:00 +0100

🔍 Was beobachte ich?

Jedes Security-Dashboard zeigt Risiko-Scores. CVSS, Risk-Index, Risikorating – alles landet auf einer Skala. Die Ampel springt auf Rot, der Score überschreitet 7,5, also wird priorisiert. Wessen Abweichung von welchem Ziel dabei gemeint ist, fragt niemand.

🎯 Was soll eigentlich erreicht werden?

Risiken vergleichbar und priorisierbar machen. Entscheidungstragende sollen auf einen Blick sehen, was kritisch ist – und Investitionen dorthin lenken, wo der Handlungsbedarf am größten ist.

Einmal bewertet, für immer gültig

Wed, 25 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

🎯 Was soll eigentlich erreicht werden?

Ein aktuelles Lagebild der Risikosituation.

⚠️ Warum funktioniert das nicht?

Babylonische Sprachverwirrung im Risikomanagement

Wed, 18 Feb 2026 07:35:00 +0100

🔍 Was beobachte ich?

Zehn Leute bewerten Risiken im Workshop. Drei meinen mit “Risiko” die Eintrittswahrscheinlichkeit, zwei den Schaden, der Rest irgendetwas dazwischen. Alle nicken. Niemand meint dasselbe.

🎯 Was soll eigentlich erreicht werden?

Eine gemeinsame Risikobewertung. Eine Sprache, vergleichbare Ergebnisse.

⚠️ Warum funktioniert das nicht?

ISO 31000 definiert Risiko als “Auswirkung von Unsicherheit auf Ziele”. NIST spricht von Threats und Vulnerabilities. FAIR zerlegt Risiko in Loss Event Frequency und Loss Magnitude. Alle bringen ihr Framework im Kopf mit. Niemand legt die Karten auf den Tisch. Das Ergebnis: Ein Risk-Register voller Bewertungen, die nicht vergleichbar sind.