Wenn Cybersicherheit zum "Risikotheater" wirdund wie wir Schminke gegen echte Resilienz tauschen

In vielen Organisationen wiederholt sich eine Szene, die mich als Cybersicherheitsexperten ehrlich gesagt ärgert und frustriert.

Ein Besprechungsraum. Ein Whiteboard. Jemand hat eine Excel-Tabelle namens "Risk Register 2026 FINAL v7" geöffnet. Der Kaffee ist stark, die Zeit knapp und die Stimmung seltsam vertraut. Nicht weil die Lage sicher ist, sondern weil der Prozess bekannt ist – wie die Zimtschnecken vom lokalen Bäcker. Es wird eine Risikomatrix mit Rot, Gelb und Grün erstellt. Man diskutiert "Wahrscheinlichkeit" und "Auswirkung" auf einer Fünf-Punkte-Skala. Man einigt sich auf einige Formulierungen, die erwachsen klingen:"Bewusstsein erhöhen","Routinen überprüfen","Jährliche Übung durchführen". Dann wird gespeichert, archiviert und weitergemacht.

Das sieht seriös aus. Es fühlt sich nach Steuerung an. Doch wenn der nächste Vorfall eintritt, etwa Ransomware, Lieferantenprobleme oder ein Fehler in der Cloud-Konfiguration, wenn ein Überlastungsangriff Realität wird oder eine falsch gesetzte Berechtigung, zeigt sich oft, dass die Organisation in der Kaffeepause eine Karte einer Landschaft erstellt hat, die sich längst verändert hat und inzwischen nicht mehr stimmt.

Willkommen zur heutigen Aufführung des "Risikotheaters" von Circus Risk. Hier sehen Sie ein Theaterstück, das die Unterschiede zwischen dokumentierter Sicherheit und evidenzbasierter Fähigkeit beleuchtet.

Das Risikotheater in der Praxis: Ein Feuerlöscher, der nur auf einer PowerPoint existiert

Die Risikomatrix und das Risikoregister im obigen Beispiel sind nicht "falsch". Das Problem ist, dass sie als Ersatz für operative Resilienz verwendet werden – die Risikomethode ist zu einem abzuhakenden Event geworden.

Traditionelle Risikomatrizen basieren oft auf ordinalen Skalen (1–5), die dann behandelt werden, als wären sie mathematisch exakt. Das führt zu bekannten und gut dokumentierten Problemen. Rangordnungen können sich umkehren, Unterschiede werden komprimiert und Unsicherheiten gehen in der Farbgebung unter. Das Ergebnis kann ansprechend aussehen, ist aber nicht robust. Es ist wie das alte Sprichwort: Lüge, verdammte Lüge und Statistik.

Genauer betrachtet ist es, als würde man Fieber mit einer Farbskala messen ("ziemlich rot"), Patienten nach "Gefühl" vergleichen und das dann medizinische Präzision nennen. Was in der Risikomatrix wie Kontrolle aussieht, ist in Wirklichkeit falsche Kontrolle ohne wirksame Sensoren aus einer Allrisikoperspektive.

Warum das Risikotheater weiterlebt: Psychologie, Steuerung und soziale Anreize

Wenn das Risikotheater also so schwach ist, warum machen es dann so viele weiter? Die Antwort ist einfacher als viele denken.

• Es vermittelt sofort Beruhigung.Eine Heatmap ist wie eine Wetterkarte: Sie gibt dem Gehirn schnell ein Bild. Führungskräfte mögen Schnelligkeit. Das Problem ist, dass sie oft mehr Rhetorik als Realitätskontrolle ist.

• Sie vermittelt Objektivität.Fünf-Punkte-Skalen wirken "gerecht". Jeder kann seine Meinung sagen. Doch oft ist es ein Kompromiss zwischen Meinungen statt eine Messung tatsächlicher Fähigkeiten.

• Sie passt zu bürokratischen Belohnungssystemen.Der Prozess belohnt diejenigen, die am besten formulieren und "das Bild zusammenfügen". Er belohnt nicht unbedingt diejenigen, die sicherstellen, dass man wiederherstellen, erkennen, isolieren, kommunizieren und den Betrieb aufrechterhalten kann.

• Sie passt in eine Welt der Revisionsspuren – aber falsch.Viele glauben, Compliance bedeute Dokumente. Moderne Regulierung und Best Practices setzen jedoch auf Systematik, Testbarkeit und kontinuierliche Verbesserung statt auf ein jährliches Ritual.

Warum sie bei echter Resilienz und Kontinuität versagt

Cybervorfälle sind praktisch gesehenFähigkeitsunterbrechungen, Unterbrechungen von Verfügbarkeit, Integrität, Vertraulichkeit und Nachvollziehbarkeit. Konkret bedeutet das eine Unterbrechung der Geschäftsleistung.

Die häufigsten Vorfallmuster in den letzten Jahren sind eng verbunden mit:

• Social Engineering und Phishing.

• Ransomware/Erpressung.

• Lieferanten- und Ökosystemrisiken.

• Verfügbarkeitsstörungen.

Die Botschaft ist klar: Die Bedrohungen sind real, wiederkehrend und schnell wandelbar. Wenn man dann "Risiko" als jährliche Temperatur auf einer Fünf-Punkte-Skala misst, erhält man ein Steuerungsmodell, das für eine Welt entworfen wurde, in der sich nichts ändert. Digitale Ökosysteme sind jedoch das genaue Gegenteil: Sie verändern sich ständig. Deshalb erzeugt das Risikotheater eine falsche Sicherheit. Man glaubt, "Kontrolle zu haben", weil man bewertet hat, aber nicht bewiesen, dass man kann.

Was die Regelwerke tatsächlich signalisieren: Von Dokumenten zur Fähigkeit

Zwei klare Signale der modernen EU-Cyberregulierung sollten jetzt offensichtlich sein:

1. Risikomanagement muss in geeignete und verhältnismäßige Maßnahmen umgesetzt werden und Teil eines systematischen Vorgehens sein. NIS2 betont Risikomanagement als Kultur und praktische Fähigkeit, nicht als einmalige Übung. Risiken können nicht null sein, aber vernachlässigbar, übertragbar, handhabbar oder akzeptierbar… VERHÄLTNISMÄSSIG.

2. Operative Resilienz und Kontinuität sind zentral, besonders deutlich in DORA für den Finanzsektor. Der Fokus liegt auf IKT-Risikomanagement, Vorfällen, Tests und Betriebsresilienz.

In der Praxis bedeutet das: Gesetze verlangen, dass Organisationen ihre Fähigkeiten (Richtlinien, Prozesse, Kontrollen, Tests, Verbesserungen) nachweisen können, nicht nur ein dokumentiertes "Risiko". Das bedeutet nicht, dass "Risiko" verschwindet, sondern dass Risiko eine Folgerung aus der Fähigkeit ist und keine Vermutung, die man hofft, dass sie wahr wird.

Die bessere Alternative: Tauschen Sie "Risikobewertung" gegen "Verwundbarkeitsbild basierend auf nachgewiesener Kontrollfähigkeit"

Hier kommt die Veränderung, die oft disruptiv wirkt, aber eigentlich logisch ist. Wer mich kennt, weiß, dass ich gerne disruptiv bin.

Was passiert, wenn Circus Risk eine neue Vorstellung gibt?

Circus Risk fragt:

"Wie hoch ist das Risiko (1–5), dass etwas passiert?"

Theater Resilienz fragt:

"Welche bekannten Bedrohungen sind relevant und welche Kontrollen müssen vorhanden sein, um die Verwundbarkeit zu verringern? Was fehlt nachweislich? Welche Fähigkeiten brauchen wir?"

Das ist der Unterschied zwischen:

• einer Brandrisikokarte malen,

• und tatsächlich kontrollieren, dass Feuerschutztüren schließen, Übungen funktionieren, die Alarmkette hält und Wiederherstellung getestet ist.

Schritt 1: Beginnen Sie bei anerkannten Bedrohungen, nicht bei abstrakten Risiken

Starten Sie mit öffentlichen Bedrohungsbildern und Vorfalldaten, z. B. dem Bedrohungslandschaftsbericht von ENISA und Branchenreports. Das schafft eine gemeinsame Faktenbasis: "Das passiert immer wieder."

Schritt 2: Übersetzen Sie Bedrohungen in erforderliche Kontrollen

Für jede Bedrohung braucht man ein kleines, klares "Resilienzpaket":

• Was muss vorhanden sein, um die Verwundbarkeit zu reduzieren?

• Was ist die Mindestanforderung ("Baseline")?

• Was ist systematisch über die Zeit?

Es gibt auch Unterstützung in Best-Practice-Zusammenstellungen und Meta-Reviews, welche Kontrollen tatsächlich Wirkung zeigen (nicht immer riesige Wirkung, aber messbar und relevant).

Schritt 3: Messen Sie die Lücke als Verwundbarkeit (nicht als "Risiko")

Das macht es für das Management verständlich:

• Bedrohung: Ransomware, Phishing, Fehler in der Cloud-Konfiguration, DDoS, Lieferkette.

• Anforderung an die Fähigkeit: eine kleine Auswahl an Kontrollen, die "mindestens vorhanden sein müssen".

• Verwundbarkeit: die Differenz zwischen dem, was benötigt wird, und dem, was tatsächlich vorhanden ist.

Das ist ein Verwundbarkeitsmodell, das verständlich ist: "Hier fehlen X und Y, deshalb sind wir exponiert."

Schritt 4: Machen Sie die Maßnahmen zu einer Reifeleiter mit Zeitplan

Was im Risikotheater oft fehlt, ist eine umsetzbare "Nächste Schritte"-Logik. In einem Fähigkeitsmodell werden Maßnahmen natürlich:

• 1–3 Monate: Schließen Sie die dringendsten Lücken für eine schnelle Verringerung der Verwundbarkeit.

• 3–6 Monate: Erweitern, standardisieren, Lieferanten absichern.

• 6–12 Monate: Systematik, Messung, wiederkehrende Tests und Verbesserungen.

Das wird glasklar:

(1) wo es hakt,(2) was es für das Geschäft bedeutet,(3) was jetzt zu tun ist, und(4) wie man nachverfolgt, dass es auch wirklich erledigt wurde.

"Aber wir müssen doch Risikobewertungen durchführen"

Ja, aber Risikobewertung muss nicht Risikomatrix bedeuten. NIS2/DORA setzen auf Risikomanagement als Systematik und Maßnahmen. Was Sie wollen, ist steuerbares Risiko durch nachgewiesene Fähigkeiten. DANN sind Verwundbarkeiten und Fähigkeiten effektiver als Risikomatrizen.

Quellen

ENISA. (2023).ENISA Threat Landscape 2023.

Krisper, M. (2021).Problems with Risk Matrices Using Ordinal Scales.

National Institute of Standards and Technology. (2022).Secure Software Development Framework (SSDF) Version 1.1 (NIST SP 800-218).

National Institute of Standards and Technology. (2024).Incident Response Recommendations and Considerations for Cybersecurity Risk Management (NIST SP 800-61 Rev. 3).

Verizon. (2024).Data Breach Investigations Report (DBIR).

Zimmermann, V., & Renaud, K. (2021).The nudge puzzle: Matching nudge interventions to cybersecurity decisions.

Wiley (Risk Analysis). (2022/2023).How People Understand Risk Matrices, and How Matrix Design Can Improve Comprehension.

Bada, A. m.fl. (2024).Evidence-based cybersecurity policy? A meta-review of security controls.

Europäische Union. (2022).Richtlinie (EU) 2022/2555 (NIS2).

Europäische Union. (2022).Verordnung (EU) 2022/2554 (DORA).