Ich bin immer wieder überrascht, wie viel Energie Unternehmen darauf verwenden, sich nicht zu verändern. Das neue Lieblingsspiel vieler Firmen nach NIS2 und DORA? „Wie bleiben wir exakt so wie vorher – aber compliant.“ Jetzt, da DORA bereits gilt und NIS2 kurz vor der Umsetzung ins nationale Recht steht, erleben wir den größten Irrtum der Cybersicherheit in Echtzeit: Die Hoffnung, dass man sich durch Regelbefolgung irgendwie sicher kaufen kann.
Dabei war der Moment doch eigentlich günstig. Die Bedrohungslage? Klar wie nie. Die Vorgaben? Da. Die Aufmerksamkeit? Höher als je zuvor. Was hätten wir daraus machen können! Eine Diskussion darüber, wie wir Arbeit, Verantwortung und Technik neu denken müssen, um uns vor realen Cyber-Bedrohungen zu schützen. Eine Chance, Sicherheit nicht länger als technische Fußnote, sondern als strategischen Imperativ zu begreifen. Stattdessen? ISO-Zertifikate, die man sich wie Sticker ins Impressum klebt. Firewalls, die so konfiguriert sind, dass sie bloß nicht stören. Schulungen, die niemand ernst nimmt – außer vielleicht der Personalabteilung.
Versteht mich nicht falsch: Ich bin nicht gegen Regulierungen. Ich halte sie für notwendig – insbesondere für Betreiber kritischer Infrastrukturen und deren Lieferketten. Aber was wir daraus machen, ist beschämend. Der Geist der Gesetze wird ignoriert, solange der Buchstabe auf dem Papier stimmt. Es zählt nicht, ob z.B. ein Angriffserkennungssystem sinnvoll und wirksam im Netzwerk positioniert ist – nur, ob es auf der Liste abgehakt werden kann. Es zählt nicht, ob jemand Sicherheit versteht – nur, ob ein Verantwortlicher benannt wurde. Wer wirklich glaubt, dass Sicherheit durch das Vorhandensein eines Dokuments entsteht, hat den Begriff Schutzmaßnahme gründlich missverstanden.
Es ist bequem, sich rauszureden. Zu klein, zu unbedeutend, zu ausgelagert. Man hat ja alles „in der Cloud“, also bei Profis. Oder bei der Versicherung. Oder bei Gott, man weiß es nicht so genau. Die Wahrheit ist: Viele Unternehmen haben keine Ahnung, wie ihre Systeme tatsächlich aufgebaut sind, geschweige denn, wie man sie im Ernstfall schützt. Und genau da liegt das Problem. Wenn wir Sicherheit auf externe Dienstleister, Anbieter oder PDFs auslagern, bleibt intern vor allem eines: ein Gefühl der Trägheit – und ein mächtiges Risiko.
Das eigentlich Tragische daran: Es fehlt nicht nur der Wille, sondern oft auch das Bewusstsein. Die Compliance-Anforderungen sind das erste Mal, dass sich viele überhaupt mit dem Thema „Sicherheit“ beschäftigen. Und weil man unter Druck steht, greift man nach schnellen Lösungen: ein SIEM-System, das niemand versteht. Eine Awareness-Kampagne mit Comic-Videos. Ein externer CISO – aber bitte nur für das Audit. Der Aufwand darf ja nicht größer werden als nötig. Lieber bastelt man an Ausreden als an Schutzmechanismen.
Ich verstehe das. Es ist einfacher, Geld für eine neue Appliance zu bewilligen, als interne Prozesse zu hinterfragen. Es ist einfacher, jemanden zu benennen, als jemanden auszubilden. Es ist einfacher, Verantwortung abzugeben, als sie zu übernehmen. Aber Sicherheit entsteht nicht aus Bequemlichkeit. Sie entsteht aus Kompetenz. Und die wächst nur, wenn man sich selbst bewegt – nicht, wenn man hofft, dass Bewegung von außen reicht.
Was es wirklich bräuchte, ist keine weitere Richtlinie. Es braucht Einsicht. Und Mut. Den Mut, Cybersicherheit dort anzusiedeln, wo sie hingehört: strategisch und unabhängig von der operativen IT, idealerweise angesiedelt bei einer Stabsstelle wie dem Risikomanagement oder der Revision – dort, wo Sicherheit nicht zwischen Tickets und Rollouts untergeht. Den Mut, bestehende Prozesse zu hinterfragen. Den Mut, sich einzugestehen: Wir haben keine Ahnung, wie gut oder schlecht wir aufgestellt sind. Und dann anzufangen, das zu ändern.
Denn, seien wir ehrlich: Der Angreifer da draußen interessiert sich nicht für eure Checklisten. Der interessiert sich für eure Schwachstellen. Und der nutzt jede davon, wenn ihr euch weiter mit Papierwänden umgebt. Wer glaubt, dass Compliance mit Schutz gleichzusetzen ist, zieht eine dicke Mauer hoch – und vergisst dann, dass die Fenster sperrangelweit offenstehen.