Stellen Sie sich eine große Sicherheitsmesse vor, eigentlich jede beliebige. Neonlichter, Schlagworte und Lasershows. Es ist aufwendig, angesagt und "frisch". Auf einer oder mehreren Bühnen wird eine weitere "Schicht" präsentiert, die Erlösung vor bekannten und unbekannten Bedrohungen verspricht. An den Ständen laufen Diagramme mit Begriffen, Buzzwords und vielem mehr, das man kaum aussprechen und noch weniger als Laie verstehen kann. Dort, im Zwielicht zwischen Keynotes, Giveaways und Kaffeetabletts, entsteht diese vertraute Mischung aus Sorge und Erleichterung: "Dort draußen scheint es gefährlich zu sein, aber zumindest gibt es ein Paket, einen Service oder einen Berater dafür." Genau hier beginnt für mich das Problem. Ein nicht unerheblicher Teil der Cybersicherheitsbranche hat gelernt, mehr von Unsicherheit als von Sicherheit zu profitieren. Das ist eine Tatsache. Aber nicht aus Bosheit, sondern weil die wirtschaftlichen Gesetze lange in die falsche Richtung wirkten. Wenn die Kosten für Mängel auf andere abgewälzt werden können, wird zu wenig in echte Risikominderung investiert und zu viel in optisch ansprechende Maßnahmen (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009).
Das alte, compliance-orientierte Denken, das lange den Markt dominierte und viele Dienstleister und Beratungsfirmen sehr erfolgreich machte. Checkliste rein, Zertifikat raus, Aktenordner wachsen und Prüfspuren glänzen. Doch unter der Oberfläche entsteht eine Kostenspirale aus Modulen, Lizenzen und Beratungsrunden, die das Risiko nicht unbedingt senken. Sie macht es nur verwalteter. Wir sind Weltmeister darin geworden, Sicherheitsversprechen zu zeigen, aber schlechter darin, tatsächliche Ergebnisse zu beweisen. Und wenn die Realität anklopft – ein Einbruch, eine Störung bei Lieferanten, eine personelle Lücke – spielt es kaum eine Rolle, wie viele Dashboards wir haben, wenn wir den Fehler nicht schneller finden, beheben, verstehen und daraus lernen sowie uns schneller erholen. Große Studien zeigen zudem, dass mehr Geräte und stärkere Fragmentierung selten (oder meist gar nicht) mit besseren Ergebnissen korrelieren. Hilfreich sind Integration und echte Alltagstauglichkeit (Cisco, 2024; WEF, 2024).
Während wir es auf die alte Weise machten, bewegten sich die Bedrohungen im Schwarm. Es sind nach wie vor Menschen und die Ketten um uns herum, die Türen öffnen – durch Social Engineering, fehlerhafte Identitätsverwaltung und ungepflegte Abhängigkeiten in der Lieferkette. Das ist nicht nur meine persönliche Meinung, sondern eine wiederkehrende Erkenntnis in europäischen und globalen Lageberichten (ENISA, 2023; IBM, 2024; Mandiant, 2024). Anders gesagt: Wenn Sie versuchen, ein leckendes Boot mit immer mehr Eimern zu füllen, anstatt das Leck zu reparieren, haben Sie bald einen hervorragenden Vorrat an Eimern – aber Ihre Füße bleiben nass.
Moderne Sicherheit in digitalen Ökosystemen ist deshalb keine rein technische Frage mehr, sondern eine Anreizfrage. Unternehmen, Lieferanten, Berater und Ausbilder haben rational in einer Logik gehandelt, die lange das Messbare an der Oberfläche belohnte. Und das wird durch neue Rahmenwerke, Werkzeuge, mehr Berater und Verwaltung verstärkt. All das lässt sich leichter verkaufen als stille Verbesserungen, die Zeit brauchen, um sichtbar zu werden. Dass die Branche dort landet, ist verständlich, aber leider teuer. Am teuersten wird es für Organisationen, die auch unter Druck funktionieren müssen, wo jede unnötige Komplexitätsstufe, jede langsame Wiederherstellung und jeder Mangel an Alltagstauglichkeit gleichzeitig Sicherheit und Wettbewerbsfähigkeit senkt. Organisationen leiden, während Dienstleister und Beratungsfirmen florieren.
Ich sehe auch, wie die Politik, wenn auch vielleicht widerwillig, zu demselben Schluss kommt. Wenn amerikanische und europäische Behörden auf secure by design/default drängen, geht es darum, die Verantwortung weiter nach vorne zu verlagern und Sicherheit als eine gelieferte Eigenschaft zu etablieren, nicht als optionale Zusatzfunktion (CISA, 2023). Wenn die EU mit dem Cyber Resilience Act Produktanforderungen für Software und Hardware einführt, dann weil freiwillige Zusagen nicht ausreichten, um den Markt richtig zu lenken (Europäische Kommission, 2024). Und wenn europäische Vorschriften für kritische Prozesse von der Ästhetik des Handbuchs zur Funktion unter Turbulenzen wechseln, wird dasselbe Bild gezeichnet: Das Ergebnis zählt mehr als das Versprechen (Europäische Union, 2022). Das ist wirklich risikobasiert, nicht compliance-basiert. Nicht weil jemand das Wort Risiko liebt, sondern weil jemand im Ernstfall tragen können muss.
Die Frage ist also: Warum halten wir am Alten fest? Die Antwort ist teilweise menschlich. Checklisten und Zertifikate vermitteln ein Gefühl von Kontrolle. Sie sind der sichtbare Beleg dafür, dass wir "etwas getan haben". Doch der Preis für dieses Gefühl ist dreifach. Erstens steigen die Gesamtkosten, wenn Werkzeuge und Prozesse schneller hinzugefügt als abgebaut werden. Es ist immer noch zu häufig, dass Organisationen zu viele Werkzeuge haben, die dasselbe tun – völlig unnötig. Zweitens entsteht eine falsche Sicherheit, wo "alles grün" war, bis es das nicht mehr war. Organisationen besitzen Werkzeuge, die sie weder beherrschen noch verstehen oder optimal nutzen. Drittens verlieren wir den Fokus: Bedrohungen, Risiken, Schwachstellen und Fähigkeiten verschwinden hinter den Kulissen. Und im heutigen geopolitischen Klima ist falscher Fokus nicht nur Verschwendung, sondern ein strategisches Hindernis (ENISA, 2023; WEF, 2024).
Der risikobasierte Wandel ist, entgegen seinem trockenen Klang, eine Quelle der Hoffnung. Wenn die Reihenfolge von Bedrohung zu Risiko, zu Schwachstelle, zu Fähigkeit wird, verändert sich praktisch etwas. Integration gewinnt gegenüber dem Schichtsystem. Wiederherstellungszeit wird zur Sprache, die alle verstehen – vom Mitarbeiter bis zum Vorstand. Vorfallberichte werden kein Nervenspiel mehr, sondern trainiertes Verhalten. Und langsam zeigen die Kurven nach oben: geringere Kosten pro reduziertem Risiko, höhere tatsächliche Resilienz, weniger Überraschungen. Hier entsteht auch Wettbewerbsfähigkeit. Kunden und Partner vertrauen mehr denen, die echte Kontinuität im Alltag zeigen, als denen mit perfekten Ordnern bei ruhigem Wetter (WEF, 2024; OECD, 2015/2022).
Man könnte dies als utopischen Tonfall in der Sicherheitsbranche bezeichnen. In einer Vertrauensökonomie profitieren alle mehr, wenn das Risiko sinkt. Dienstleister erhalten langfristige Beziehungen, wenn sie Ruhe und nicht nur Schichten liefern. Berater werden unverzichtbar, wenn sie vereinfachen, integrieren und Realität dienen. Käufer entgehen dem ewigen Gefühl, Geiseln der nächsten Lizenzverlängerung zu sein. Und die Aufsicht kann endlich das messen, was Gesetze wirklich bewirken wollen: Fähigkeit und nicht nur Form.
Ein bisschen respektvoller Humor unterwegs schadet nicht. Wäre "Aktenordner-WM" eine olympische Disziplin, stünden viele von uns mit Gold auf dem Podium. Das Organisationskomitee wäre begeistert. Aber der Wettkampf, der wirklich zählt, findet 2026 im Gegenwind statt: Können wir heben, landen und Turbulenzen managen, ohne Höhe zu verlieren? Das erfordert weniger Show und mehr Handwerk. Weniger Trophäen und mehr Spuren von Alltagdisziplin. Weniger Unsicherheitsökonomie, mehr Vertrauen. Und meines Wissens gibt es diese Disziplin nicht bei den digitalen Sicherheits-Olympischen Spielen.
Ich bin überzeugt, dass der zukünftige Verdienst unserer Branche genau darin liegt, was ich in diesem Artikel hervorhebe. Nicht darin, weiterhin Angst zu verkaufen, sondern echte Stabilität zu liefern. Nicht darin, Abhängigkeiten zu verlängern, sondern robuste Beziehungen aufzubauen. Nicht darin, die nächste Messe zu gewinnen, sondern die nächste Störung zu meistern. Das ist die Richtung, die Forschung, Branchendaten und Politik bereits weisen, wenn wir sie mehr als Fußnoten lesen und darauf unser Geschäft aufbauen (Anderson, 2001; Bauer & van Eeten, 2009; Herley, 2009; ENISA, 2023; IBM, 2024; Mandiant, 2024; CISA, 2023; Europäische Kommission, 2024; Europäische Union, 2022; WEF, 2024; OECD, 2015/2022).
Das ist auch die Richtung, die unseren Kunden, unseren Gesellschaften und unserem gemeinsamen digitalen Alltag gerecht wird. Wenn wir den Kompass von Compliance zu Risiko wirklich umstellen und von Unsicherheit zu Vertrauen wechseln, passiert mehr als ein technisches Upgrade. Wir holen den Sinn zurück, warum Cybersicherheit existiert – nicht um Papier zu sammeln, sondern um die Welt zusammenzuhalten, wenn sie ins Wanken gerät.
Referenzen
Anderson, R. (2001). Why information security is hard—An economic perspective.Proceedings of ACSAC.
Bauer, J. M., & van Eeten, M. J. G. (2009). Cybersecurity: Stakeholder incentives, externalities, and policy options.Telecommunications Policy, 33(11).
CISA. (2023).Secure by Design, Secure by Default.Cybersecurity and Infrastructure Security Agency.
Cisco. (2024).Security Outcomes Report.Cisco Systems.
ENISA. (2023).ENISA Threat Landscape 2023.European Union Agency for Cybersecurity.
European Commission. (2024).Regulation (EU) 2024/2847 – Cyber Resilience Act (CRA).
European Union. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.
Herley, C. (2009). So long, and no thanks for the externalities: The rational rejection of security advice by users.IEEE Security & Privacy.
IBM. (2024).Cost of a Data Breach Report 2024.IBM Security.
Mandiant. (2024).M-Trends 2024.Google Cloud.
OECD. (2015/2022).Recommendation on Digital Security Risk Management.Organisation for Economic Co-operation and Development.
World Economic Forum. (2024).Global Cybersecurity Outlook 2024.
