https://blog.0x2e6b6169.de/tags/sicherheitskultur/Recent content in Sicherheitskultur on .kais blogHugode-deMon, 30 Mar 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-03-30-das-stille-veto/Mon, 30 Mar 2026 07:35:00 +0200https://blog.0x2e6b6169.de/posts/2026-03-30-das-stille-veto/<h2 id="-das-versprechen">🌟 Das Versprechen</h2> <p>Psychologische Sicherheit gilt als Fundament jeder ernsthaften Sicherheitskultur. Vorfälle müssen gemeldet, Schwachstellen ehrlich dokumentiert, Risiken realistisch eingeschätzt werden. Ohne ehrliche Signale ist die Sicherheitslage blind – das ist keine weiche Anforderung, sondern eine operative Notwendigkeit.</p> <p>Jede Organisation, die das ernst nimmt, proklamiert genau das. Viele sogar laut und regelmäßig. Security-Kultur als Wert, als Bekenntnis, als Folie in der Jahrespräsentation.</p> <h2 id="-die-wirklichkeit">🔍 Die Wirklichkeit</h2> <p>Aber dann kommt die Praxis. Die Sicherheitsexpertin, die kritische Befunde dokumentiert, bekommt beim nächsten Auftrag einen engeren Scope. Die Risikomanagerin, die „hoch&quot; einschätzt, wird gebeten, die Bewertung vor dem Board-Meeting zu überdenken. Der Entwickler, der in der Sprint-Review einen Einwand äußert, erntet ein Augenrollen. Der CISO, der unbequeme Zahlen präsentiert, lernt mit der Zeit, welche Themen willkommen sind.</p>https://blog.0x2e6b6169.de/posts/2026-03-25-security-team-toll-ein-anderer-machts/Wed, 25 Mar 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-03-25-security-team-toll-ein-anderer-machts/<h2 id="-was-beobachte-ich">🔍 Was beobachte ich?</h2> <p>Die IT fragt das Informationssicherheitsteam: „Wie genau sollen wir das umsetzen?&quot; Entwicklungsteams öffnen Tickets und warten auf Freigabe. Führungskräfte eskalieren Entscheidungen, die sie selbst treffen könnten. Das ist kein böser Wille – es ist eine eingespielte Haltung: Wer ein Security-Team hat, hat Security.</p> <h2 id="-was-soll-eigentlich-erreicht-werden">🎯 Was soll eigentlich erreicht werden?</h2> <p>Security als Eigenschaft aller Prozesse und Entscheidungen – getragen von allen Beteiligten, nicht delegiert an ein Silo. Genau das fordern ISO 27001 und jede ernstzunehmende Security-Strategie.</p>https://blog.0x2e6b6169.de/posts/2026-03-23-securitas-verlorenes-versprechen/Mon, 23 Mar 2026 07:35:00 +0100https://blog.0x2e6b6169.de/posts/2026-03-23-securitas-verlorenes-versprechen/<h2 id="-die-gängige-überzeugung">📌 Die gängige Überzeugung</h2> <p>Security schützt die Organisation. Sicherheitsteams sind die Hüter, die Verhinderer des Schlimmsten. Ihr Wert bemisst sich daran, wie viele Risiken sie aufdecken, wie viele Projekte sie stoppen, wie groß die Bedrohung klingt, vor der sie warnen. Diese Logik ist so tief verankert, dass sie kaum noch hinterfragt wird.</p> <h2 id="-das-gegenbeispiel">⚡ Das Gegenbeispiel</h2> <p>Seneca nannte das Ziel des Weisen „securitas&quot; – sine cura, Freiheit von der Sorge. Nicht Abwesenheit von Gefahr, sondern die Fähigkeit, gelassen und handlungsfähig zu bleiben, obwohl Gefahr existiert. Kelly Shortridge hat beobachtet, dass moderne Cybersecurity dieses Versprechen systematisch umkehrt: Statt Vertrauen und Gelassenheit zu fördern, lebt ein Teil der Branche von Fear, Uncertainty and Doubt. FUD ist kein Versehen. Es ist ein Mechanismus, der Budgets rechtfertigt, Positionen sichert und Abhängigkeiten schafft. Wer das Bedrohungsbild kontrolliert, kontrolliert die Ressourcen.</p>