Viele Unternehmen reagieren auf Sicherheitsprobleme reflexartig. Sie kaufen ein neues Tool. Ein Security-Informationssystem hier, ein Endpoint-Tool da und schon scheint das Unternehmen geschützt.

Doch meine mehrjährige Erfahrung zeigt: Technik allein schafft keine Sicherheit.

Sicherheit scheitert selten an der Technologie, sondern fast immer am fehlenden Verständnis und an fehlenden Verantwortlichkeiten.

Ein Praxisbeispiel

Ich sehe leider immer wieder Szenarien wie dieses:

Ein Unternehmen implementiert ein modernes Security-Tool. Freitagabend um 20:00 Uhr meldet es eine Alarmierung. Niemand reagiert. Erst Montagmorgen um 07:00 Uhr sieht ein Mitarbeitender die Meldung. Da ist der Angriff längst durchgelaufen.

Das Problem war nicht die Technik, das Tool hat funktioniert. Das Problem war die Organisation. Niemand wusste, wer zuständig ist. Niemand hatte Bereitschaftsdienst. Niemand fühlte sich verantwortlich.

Warum Tools keine Verantwortung ersetzen

Technik ist wichtig, aber sie ist nur so gut wie die Menschen und Prozesse, die sie umgeben.

  • Ein Tool erkennt Angriffe, aber es reagiert nicht selbst.
  • Ein Tool kann Daten sammeln, aber keine Entscheidungen treffen.
  • Ein Tool ersetzt keine Verantwortlichkeiten.

In meinen Assessments sehe ich häufig das Unternehmen Tools kaufen in der Hoffnung, dass diese das Problem „wegautomatisieren“. In Wirklichkeit vergrössert sich das Risiko, wenn niemand die Verantwortung trägt.

Die Rolle der Geschäftsleitung

Hier kommt die Führung ins Spiel. Nur die Geschäftsleitung kann klare Strukturen schaffen:

  • Wer ist im Notfall verantwortlich?
  • Wie wird 24/7 sichergestellt, dass Alarme gesehen und bewertet werden?
  • Welche Prozesse greifen, wenn ein Angriff festgestellt wird?

ISO-27001 wie auch der IKT-Minimalstandard schreiben deshalb explizit vor: Sicherheitsaufgaben müssen organisatorisch verankert sein. Tools sind Hilfsmittel, nicht die Lösung.

Meine Lessons Learned

In Unternehmen, die Sicherheitsvorfälle erfolgreich gemeistert haben, war es nie die Technologie allein, die den Unterschied machte. Es war die klare Organisation:

  • definierte Verantwortlichkeiten
  • gelebte Prozesse
  • geschulte Mitarbeitende

Dort, wo diese Basis fehlte, half auch das beste Tool nichts.

Die grösste Schwachstelle in der Informationssicherheit ist fehlendes Verständnis. Wer glaubt, Technik könne Verantwortung ersetzen, wiegt sich in falscher Sicherheit. Nur wenn Geschäftsleitung, IT und Fachbereiche zusammenarbeiten und klare Verantwortlichkeiten festlegen, kann Technik ihre volle Wirkung entfalten.