Was kommt zuerst – Compliance oder Sicherheit?

Zu Beginn einer Reise in Richtung Sicherheit und Compliance stehen Organisationen oft vor einer grundlegenden Entscheidung: Sollen sie auf eine schnelle Zertifizierung hinarbeiten (zum Beispiel ISO 27001) oder zunächst die Sicherheitsgrundlagen aufbauen, die tatsächliche Risiken reduzieren (Strategie, Betriebsmodell, Kultur und Kontrollen)?

Beide Wege können sinnvoll sein, abhängig vom Geschäftsmodell, der Risikobereitschaft und den Anforderungen der Stakeholder. Unsere Erfahrung aus über 100 Gesprächen mit IT- und Informationssicherheitsverantwortlichen in den letzten Monaten zeigt jedoch ein klares Bild: Wer Sicherheit zuerst priorisiert, gewinnt langfristig.

Selbst wenn eine Zertifizierung wichtig ist, beginnen die stärksten Programme mit konkreten Sicherheitszielen und nutzen anschließend das Framework, um bestehende Maßnahmen zu strukturieren und nachzuweisen.

Warum das wichtig ist: Unternehmen, insbesondere im Mittelstand, haben weder Zeit noch Budget für zwei parallele Realitäten: eine auf dem Papier und eine im operativen Alltag. Dieser Beitrag zeigt, warum Checklisten keine Sicherheit ersetzen, welche typischen Fallstricke wir beobachten und wie ein pragmatischer Weg aussieht, der Schutz, Kultur und Compliance miteinander verbindet.

‍

Warum ein reiner Compliance-Fokus langfristig scheitert

‍

Compliance ist nicht gleich Sicherheit

‍

Man kann ein Audit bestehen und trotzdem genau dort Schwächen haben, wo es für das eigene Geschäft entscheidend ist. Umgekehrt gilt: Wer ein risikobewusstes und zum Unternehmen passendes Sicherheitsprogramm aufbaut, besteht Audits fast immer, oft mit nur geringem Anpassungsaufwand in der Dokumentation.

Ein Vergleich macht es anschaulich: Man kann die theoretische Führerscheinprüfung bestehen, ohne ein sicherer Fahrer zu sein. Entscheidend ist, was auf der Straße passiert, nicht auf dem Papier.

Ein Moment, der meine Sicht verändert hat:

Zu Beginn meiner Karriere habe ich erlebt, wie ein Unternehmen eine große Menge an Richtlinien erstellt hat, nur um „ISO 27001 abzuschließen“. Nichts davon passte zum tatsächlichen Arbeitsalltag.

Das erste Audit wurde mit nur wenigen Anmerkungen bestanden. Die eigentliche Arbeit begann danach: Dokumente versionieren, Screenshots sammeln, Mitarbeitende erneut in Prozessen schulen, die sie gar nicht nutzten.

Es entstanden zwei Realitäten: eine auf dem Papier und eine im operativen Betrieb. Die Sicherheit hat sich nicht verbessert, aber der Aufwand ist deutlich gestiegen.

‍

Frameworks hinken der Bedrohungslandschaft hinterher

Compliance Frameworks entwickeln sich langsamer als die tatsächliche Bedrohungslage. Wenn sie als starre Checklisten angewendet werden, können sie neue Risiken leicht übersehen.

Zwar sind sie darauf ausgelegt, kontinuierliche Verbesserungen zu fördern und risikobasierte Entscheidungen zu unterstützen. In der Praxis zeigt sich jedoch oft ein anderes Bild: Viele compliance-getriebene Organisationen dokumentieren Risiken nur formal, während sich der Alltag darauf konzentriert, das Minimum eines vorgegebenen Sets an Kontrollen umzusetzen.

Ein aktuelles Beispiel ist die schnelle Verbreitung von KI in Unternehmen. Das Bewusstsein für die neuen Risiken entwickelt sich vielerorts erst jetzt. Gleichzeitig sind die meisten Frameworks bewusst allgemein gehalten und werden in mehrjährigen Zyklen aktualisiert. Daher liefern sie selten konkrete, KI-spezifische Kontrollen oder klare Umsetzungsleitlinien.

Das Ergebnis ist vorhersehbar: Organisationen gehen mit diesen Risiken genauso um wie mit der letzten Welle, obwohl sich die Realität inzwischen verändert hat.

‍

Kultur schlägt Dokumentation

‍

Eine gute Sicherheitsstrategie gibt die Richtung vor: was geschützt wird, warum es wichtig ist und welche Risiken Priorität haben.

Die Unternehmenskultur entscheidet, ob diese Strategie im Alltag tatsächlich gelebt wird. Sie zeigt sich darin, wie mit Ausnahmen umgegangen wird, ob Probleme früh eskaliert werden und ob sich sicheres Arbeiten selbstverständlich oder eher hinderlich anfühlt.

Deshalb ist die Kombination aus Strategie und Sicherheitskultur deutlich wirksamer als ein vierzigseitiges Richtliniendokument. ISMS Dokumente sind wichtig, aber sie sind nicht die Strategie, sondern deren Ergebnis.

Wenn die Strategie unklar ist und die Kultur schwach, wird Dokumentation zum Ersatz für Entscheidungen und Compliance verkommt zu reiner Bürokratie.

In diesem Jahr habe ich mit über 100 IT und Informationssicherheitsverantwortlichen gesprochen. Viele haben sinngemäß gesagt:
„Wir haben ISO 27001 bestanden und das Top Management ist zufrieden, aber strukturelle Lücken waren auf dem Papier nicht sichtbar. Jetzt fällt es uns schwer, das, was dokumentiert ist, im Alltag wirklich umzusetzen.“

Diese Lücke kostet Energie, Zeit und Vertrauen und verlangsamt sowohl die Sicherheitsarbeit als auch den Fortschritt bei Compliance.

‍

Sicherheit und Compliance: gemeinsame Ziele, unterschiedliche Ansätze

Zertifizierungen können echten geschäftlichen Mehrwert schaffen. Sie können neue Kundenabschlüsse ermöglichen, Reibung in Beschaffungsprozessen reduzieren, regulatorische Anforderungen erfüllen und internen Stakeholdern eine gemeinsame Struktur und Sprache für Sicherheitsarbeit geben.

Für viele Unternehmen ist ein Zertifikat auch ein hilfreicher Anstoß, um Verantwortlichkeiten zu klären, Prozesse zu standardisieren und eine wiederholbare Grundlage aufzubauen.

Wichtig ist jedoch zu verstehen, was ein Zertifikat ist und was es nicht ist. Ein Zertifikat ist ein Signal nach außen und eine Momentaufnahme im Rahmen eines wiederkehrenden Auditzyklus.

Es bedeutet nicht automatisch, dass Ihre Sicherheitsmaßnahmen zu Ihren Geschäftsrisiken passen, dass Kontrollen im operativen Alltag reibungslos funktionieren oder dass Ihr Team im Ernstfall effektiv reagieren kann.

Der tatsächliche Wert hängt stark davon ab, wie viel Aufwand in die Umsetzung gesteckt wurde, sowie von Ihrem Kontext, dem Umfang und dem Ziel, das Sie mit der Zertifizierung verfolgen.

Um diese Unterscheidung greifbarer zu machen, trennen wir Informationssicherheit und Compliance gerne in zwei Bereiche. Sie überschneiden sich, sind aber nicht dieselbe Disziplin.

Das folgende Venn-Diagramm fasst die Unterschiede zusammen und zeigt, warum ein Fokus auf Sicherheit langfristig meist auch die Compliance erleichtert.

Siehe Venn-Diagramm unten:

‍

Ihre 10 Schritte für einen Sicherheitsfokus

‍

Hier ist das Muster, das wir bei den Unternehmen sehen, die sich am schnellsten weiterentwickeln. Sie stellen Sicherheit an erste Stelle, und Compliance folgt meist kurz danach, weil Nachweise und Strukturen bereits im operativen Alltag vorhanden sind.

Statt eine parallele „Audit-Welt“ aufzubauen, entwickeln sie Fähigkeiten, die im täglichen Arbeiten funktionieren, und gleichen diese Realität anschließend mit dem Framework ab.

• Klären Sie, ob Sie die Zertifizierung wirklich jetzt brauchen
  Beginnen Sie mit der unbequemen Frage: Brauchen Sie dieses Jahr ein Zertifikat oder bessere Sicherheitsergebnisse? Wenn es eine klare Anforderung von Kunden oder Regulatoren ist, liegt die Antwort auf der Hand. Wenn es eher ein „nice to have“ ist, sollten Sie prüfen, ob eine Zertifizierung zum jetzigen Zeitpunkt wirklich die beste Nutzung Ihrer Ressourcen ist. Viele Organisationen profitieren mehr davon, zunächst grundlegende Sicherheitsmaßnahmen zu stabilisieren und die Zertifizierung später folgen zu lassen, sobald Prozesse und Nachweise bereits vorhanden sind.

• Schulen Sie das Management darin, was eine Zertifizierung wirklich bedeutet
  Stellen Sie sicher, dass die Führungsebene versteht, was eine Zertifizierung wie ISO 27001 abdeckt, was sie nicht abdeckt und was es tatsächlich bedeutet, sie zu bestehen.Ein Zertifikat kann eine starke Grundlage und ein glaubwürdiges Signal an den Markt sein. Es ist jedoch kein Beweis dafür, dass Ihre größten Geschäftsrisiken tatsächlich angemessen adressiert sind.Stimmen Sie Erwartungen frühzeitig ab, insbesondere mit Blick darauf, dass eine Zertifizierung kein einmaliges Projekt ist, sondern eine dauerhafte operative Verpflichtung.

• Lassen Sie Dringlichkeit nicht funktionierende Prozesse zerstören
  Wenn externer Druck eine schnelle Zertifizierung erzwingt, widerstehen Sie der Versuchung, Kontrollen einzuführen, die später niemand pflegt. Ziehen Sie stattdessen Unterstützung in Betracht, die Ihnen hilft, das Audit schnell zu bestehen und gleichzeitig eine langfristige Roadmap zu entwickeln, die zu Ihrem Unternehmen passt. Andernfalls riskieren Sie Abkürzungen, die dauerhaft zur Belastung werden, weil Teams Monate damit verbringen, Dokumentation zu pflegen, statt die tatsächliche Sicherheit zu verbessern.

• Beginnen Sie mit Geschäftsrisiken, nicht mit Kontrolllisten
  Bevor Sie ein Framework Dokument öffnen, halten Sie Ihre wichtigsten realen Risikoszenarien in klarer, verständlicher Sprache fest. Bleiben Sie konkret und nah an Ihrer Umgebung, zum Beispiel Ransomware auf gemeinsam genutzten Speichern, Zugangsdaten Diebstahl durch Phishing, Datenabfluss durch neue KI Tools, Kompromittierung von Lieferanten oder falsch konfigurierte Cloud Zugriffe. Priorisieren Sie anschließend nach Auswirkung und Eintrittswahrscheinlichkeit und stimmen Sie die Ergebnisse mit Stakeholdern außerhalb der IT ab, damit die Liste die tatsächlichen Geschäftsrisiken widerspiegelt.

• Integrieren Sie Kontrollen in reale Arbeitsabläufe
  Fragen Sie sich für jedes priorisierte Risiko, wo es im täglichen Arbeiten tatsächlich entsteht. Platzieren Sie die entsprechende Kontrolle genau dort, in den Tools und Prozessen, die bereits genutzt werden. Wenn Change Management relevant ist, integrieren Sie es in Ihre Ticketing und Deployment Prozesse. Wenn Zugriffsrisiken entscheidend sind, setzen Sie Kontrollen im Identity und Device Management um. Das Ziel ist einfach: Kontrollen sollten sich wie ein natürlicher Teil der Arbeit anfühlen und nicht wie zusätzliche Schritte, die nur existieren, um eine Richtlinie zu erfüllen.

• Automatisieren Sie Nachweise, wo immer möglich
  Bevorzugen Sie Tools und Workflows, die automatisch Protokolle, Freigaben und Nachvollziehbarkeit erzeugen. So wird die Sammlung von Nachweisen zum Nebenprodukt des normalen Betriebs. Gleichzeitig entfällt die Notwendigkeit eines parallelen Audit Prozesses, bei dem Screenshots und Dokumente nachträglich erstellt werden, nur um etwas zu belegen. Automatisierte Nachweise sind in der Regel zuverlässiger, leichter zu pflegen und weniger störend für Teams.

• Arbeiten Sie mit wenigen, klaren Kennzahlen für das Management
  Berichten Sie nicht nur „Zertifizierung erreicht“ oder „Prozent der umgesetzten Kontrollen“. Ergänzen Sie 5 bis 7 KPIs, die das Management versteht und regelmäßig betrachtet. Gute Beispiele sind: geschätzte Reduktion finanzieller Risiken für zentrale Szenarien, Widerstandsfähigkeit gegenüber Phishing und Melderaten, Wiederherstellungserfolg und Wiederanlaufzeiten, Abdeckung kritischer Assets und Prozesse oder der Reifegrad im Vergleich zum Ziel. Kennzahlen sollten Entscheidungen unterstützen, nicht nur den Status abbilden.

• Nutzen Sie Frameworks als Orientierung, nicht als Treiber
  Beheben Sie zuerst die tatsächlichen Risiken in Ihrer spezifischen Umgebung. Nutzen Sie anschließend Frameworks wie ISO, SOC oder TISAX, um Lücken zu identifizieren, Verbesserungen zu strukturieren und eine vollständige Abdeckung sicherzustellen. So bleiben Frameworks ein sinnvolles Instrument zur Qualitätssicherung und Strukturierung, statt zu einer Checkliste zu werden, die Prioritäten vorgibt, auch wenn sie nicht zur aktuellen Realität passt.

• Investieren Sie in Kultur, nicht nur in Dokumentation
  Kurze, rollenbasierte Trainings, realistische Simulationen und einfache Meldewege sind effektiver als lange Richtlinien, die niemand liest. Machen Sie sicheres Verhalten zum einfachsten Verhalten, indem Sie Reibung reduzieren, klar definieren, wer welche Entscheidungen trifft, und frühes Eskalieren fördern. Wenn Mitarbeitende das Gefühl haben, dass Sicherheit sie ausbremst, werden sie sie umgehen. Wenn sie Sicherheit als praktisch und unterstützend erleben, entstehen bessere Gewohnheiten und bessere Ergebnisse.

• Denken Sie über die Zertifizierung hinaus
  Schauen Sie über das Audit hinaus und planen Sie die nächsten 6 bis 12 Monate, damit die Weiterentwicklung nach der Zertifizierung weitergeht: saubere Zugriffsverwaltung, Incident Übungen, Steuerung von Lieferanten und kontinuierliche Härtung. Etablieren Sie einen Rhythmus, der Fortschritt ermöglicht, ohne das Team zu überlasten. Die Bedrohungslage verändert sich zu schnell für einen „einmal einrichten und vergessen“ Ansatz. Unternehmen, die langfristig widerstandsfähig bleiben, sehen die Zertifizierung als Meilenstein, nicht als Ziel.