„Wir haben das intern geregelt.“
Ein Satz, den wir oft hören – vor allem dann, wenn die eigentliche Verantwortung niemand wirklich tragen will. Informationssicherheit wird in vielen Organisationen immer noch „mitgemacht“. Nebenbei, unklar verteilt, ohne saubere Struktur.
Doch während Bedrohungslagen zunehmen und Regulierungen konkreter werden, ist klar: Informationssicherheit ist längst keine IT-Aufgabe mehr. Sie ist Führungsaufgabe – und damit Chefsache.
Woher kommt das Problem?
In der Praxis beobachten wir vier typische Muster:
- Verantwortung wird nicht benannt.
„Das macht der Admin mit“ – reicht nicht mehr aus, wenn es um Risikoanalyse, Schulung, Awareness oder Haftung geht. - Rollen werden missverstanden.
Der externe Informationssicherheitsbeauftragte ist nicht die Lösung aller Probleme. Er ist Berater, nicht Feuerwehrmann. - Prozesse fehlen.
Ohne klares ISMS bleiben Maßnahmen reaktiv. Das bedeutet: Die Organisation lernt aus Vorfällen – statt sie zu vermeiden. - Management unterschätzt die Relevanz.
„Es ist ja noch nie was passiert“ ist kein valides Argument – schon gar nicht in KRITIS-nahem Umfeld.
Was bedeutet das für die Praxis?
Informationssicherheit braucht:
- Struktur. Ein ISMS ist kein ISO-Dokument zum Abheften, sondern ein lebendiges System.
- Verständnis. Entscheider müssen wissen, was „angemessen“ bedeutet – technisch, organisatorisch und wirtschaftlich.
- Verantwortung. Wer delegiert, muss kontrollieren – nicht blind abgeben.
- Begleitung. Externe Unterstützung ist sinnvoll – wenn sie integriert, nicht isoliert agiert.
Unsere Empfehlung
Wer Informationssicherheit wirklich umsetzen will, braucht keinen Aktionismus – sondern einen Plan. Und den Mut, ihn auf Führungsebene zu tragen.
Wir begleiten Organisationen bei genau diesem Weg: Vom ersten Audit über die Einführung eines ISMS bis zur Umsetzung in den Alltag.
Fazit:
Sicherheit ist keine Software.
Sie ist Haltung, Struktur und Kommunikation – und damit Führungsaufgabe.