In meiner Rolle als CISO, Projektleiter und Berater habe ich unzählige Projekte begleiten dürfen. Dabei habe ich gesehen, dass es unabhängig von Grösse oder Branche immer wieder zu dieselben Stolperfallen kommt. Technik, Budgets und Tools sind selten das Problem, es sind Menschen, Prozesse und Prioritäten.

Hier sind die fünf Fehler, die mir am häufigsten begegnen und was Unternehmen daraus lernen können.

1. Fehlendes Verständnis auf Führungsebene

Viele Geschäftsleitungen unterschätzen Cyberrisiken oder delegieren sie vollständig an die IT. Dadurch fehlt die strategische Einbettung.

Folge: Sicherheitsprojekte laufen isoliert, Budgets werden falsch priorisiert, und die Organisation bleibt reaktiv.

Lösung: Informationssicherheit ist Führungsaufgabe. Führungskräfte müssen Risiken verstehen, Verantwortliche benennen und Fortschritt regelmässig prüfen.

2. Technik wird als Allheilmittel gesehen

Viele Unternehmen versuchen, ihre Sicherheitsprobleme durch Tools zu lösen. Doch Tools sind nur so gut wie die Menschen und Prozesse dahinter.

Beispiel aus der Praxis: Ein Energieversorger installierte ein hochmodernes Monitoring-System. Es meldete Vorfälle, aber niemand wertete die Alarme aus. Das Tool funktionierte perfekt, die Organisation nicht.

Lösung: Prozesse, Zuständigkeiten und Alarmketten zuerst festlegen – Tools kommen danach.

3. Fehlende Risiko- und Priorisierungskultur

Ich sehe oft das Unternehmen gleichmässig in alle Themen investieren, statt gezielt dort, wo es wirklich zählt.

Folge: Ressourcen werden verzettelt, während die kritischsten Prozesse unzureichend geschützt bleiben.

Lösung: Fokus auf Risiko. Welche Prozesse sind existenziell? Welche Systeme müssen nach 24 Stunden wieder laufen? Priorisierung schafft Wirksamkeit.

4. Kein gelebter Verbesserungsprozess

Sicherheit ist kein Projekt, sondern ein Zyklus. Viele Organisationen führen ein ISMS ein und vergessen danach, es zu pflegen.

Folge: Dokumente veralten, Verantwortlichkeiten verschwimmen, und die Sicherheitskultur erodiert.

Lösung: Jährliche Reviews, Lessons Learned nach Vorfällen und ein klarer Fahrplan zur Reifegradsteigerung.

5. Kommunikation und Awareness werden unterschätzt

Selbst die beste Sicherheitsstrategie scheitert, wenn Mitarbeitende sie nicht verstehen. Ich habe erlebt, dass Vorfälle durch eine einzige unbedachte E-Mail ausgelöst wurden.

Folge: Menschen bleiben das grösste Risiko.

Lösung: Schulungen, Awareness-Kampagnen und klare Kommunikation. Sicherheit muss Teil der Unternehmenskultur werden und kein Fremdwort.

Fazit aus meiner langjährigen Projekterfahrung

Die grössten Schwachstellen liegen nicht in Firewalls oder Antivirensoftware, sondern im fehlenden Zusammenspiel zwischen Führung, Prozessen und Menschen. Unternehmen, die diese fünf Fehler vermeiden, erreichen nicht nur Compliance, sondern sie werden auch resilient.