Wabi - Sabi oder die Frage nach absoluter Sicherheit

Informationen sind vergänglich — genau wie alles andere. Systeme veralten, Bedrohungen ändern sich, Menschen machen Fehler. Das eingebaute Verlangen nach absoluter Sicherheit ist teuer, oft illusionär und kann Organisationen lähmen. Resilienz dagegen fragt nicht nach perfekter Prävention, sondern danach, ob und wie ein Unternehmen mit dem Unvermeidlichen umgeht: erkennt, reagiert, lernt und sich wieder neue aufstellt.

Vor diesem Hintergrund ist die fernöstliche Ästhetik des „Wabi-Sabi“ interessant, denn sie lehrt, die Schönheit im Unvollkommenen, Vergänglichen und Unfertigen zu sehen.

Übertragen auf Informationssicherheit und alle damit verbundenen Themen wie z. B. Cybersicherheit und Datenschutz heißt das:

Akzeptiere, dass „perfekt“ nicht erreichbar ist — aber gestalte Strukturen so, dass Fehler, Angriffe oder Ausfälle weder existenziell noch langanhaltend werden.

In diesem Spannungsfeld steht ISO 27001: nicht als Werkzeug zur Illusion perfekter Abwehr, sondern als pragmatischer Ordnungsrahmen für Governance, Risiko und kontinuierliche Verbesserung — also als Methodik, die Resilienz messbar macht.

Wenn Sicherheit zur Illusion wird

Kaum ein Thema bewegt Unternehmen derzeit so stark wie Informationssicherheit. Doch in Gesprächen mit Verantwortlichen fällt immer häufiger eine provokante Frage:

„Soll ich mich überhaupt schützen, wenn ein Angriff ohnehin nur eine Frage der Zeit ist?“

Diese Frage ist nicht zynisch – sie ist ehrlich!

Denn absolute Sicherheit existiert nicht. Systeme werden kompromittiert, Bedrohungen entwickeln sich weiter, Menschen machen Fehler. Die Realität lautet: Es ist nicht die Frage, ob ein Vorfall eintritt – sondern wann.

Aber folgt daraus wirklich, dass Schutzmaßnahmen sinnlos sind? Oder brauchen wir ein neues Verständnis davon, was „Schutz“ in der modernen Informationssicherheit bedeutet? Hier kommt Wabi-Sabi auf den Plan.

Wabi-Sabi – die Kunst, das Unvollkommene zu akzeptieren

Im japanischen Zen-Buddhismus beschreibt Wabi-Sabi die Schönheit des Vergänglichen, Unvollkommenen und Unfertigen. Es ist die Akzeptanz, dass Veränderung unvermeidlich ist – und dass Beständigkeit eine Illusion bleibt. Übertragen auf die Informationssicherheit heißt das: Perfektion ist kein erreichbares Ziel.

Stattdessen geht es darum, Strukturen so zu gestalten, dass sie mit Fehlern leben können – anpassungsfähig, widerstandsfähig, lernend!

Diese Denkweise passt erstaunlich gut zur ISO/IEC 27001, dem internationalen Standard für Informationssicherheits-Managementsysteme (ISMS). Denn auch hier geht es nicht um ein statisches System, sondern um kontinuierliche Verbesserung – um einen Zyklus aus Erkennen, Reagieren und Lernen.

Die Illusion der Kontrolle

Viele Unternehmen versuchen, sich durch immer mehr Regeln, Firewalls und Zertifizierungen gegen jedes Risiko abzusichern. Doch die großen Sicherheitsvorfälle der letzten Jahre zeigen: Selbst bestens geschützte Organisationen können kompromittiert werden. Das Problem liegt nicht in zu wenig Kontrolle, sondern im falschen Sicherheitsverständnis.

Zwei Extreme sind besonders gefährlich:

1. Zynismus: „Wir werden sowieso gehackt – warum Aufwand betreiben?“

2. Überkontrolle: „Wenn wir nur genug Regeln einführen, passiert uns nichts.“

Beide führen in die Irre. Die eine Haltung erzeugt Passivität, die andere lähmt durch Bürokratie. Der produktive Weg liegt dazwischen – in der Resilienz.

Schutz ist in dem Sinne kein Schild – sondern ein Stoßdämpfer

Resilienz bedeutet nicht, Störungen zu vermeiden, sondern sie zu verkraften. Ein Unternehmen, das angegriffen wird, aber weiterarbeitet, hat mehr erreicht als eines, das nie attackiert wurde – aber beim ersten Vorfall stillsteht. Schutzmaßnahmen sind also kein Versuch, das Unvermeidliche zu verhindern, sondern den Schaden zu begrenzen und den Wiederaufbau zu beschleunigen.

Die entscheidenden Fragen lauten:

• Wie schnell erkennen wir einen Angriff?

• Wie gut können wir reagieren?

• Welche Systeme bleiben funktionsfähig?

Hier zeigt sich der wahre Wert von Sicherheitsmanagement – nicht im Verhindern, sondern im Bewältigen.

ISO 27001 als Werkzeug für Resilienz

Die ISO/IEC 27001 liefert die Struktur, um Resilienz messbar und steuerbar zu machen. Sie verlangt:

• Risikomanagement (Kap. 6): Akzeptiere Unsicherheit, entscheide bewusst über Risiken.

• Operationelle Steuerung (Kap. 8): Sorge für funktionierende Prozesse, auch im Krisenfall.

• Kontinuierliche Verbesserung (Kap. 10): Lerne aus Fehlern und Vorfällen.

Sie ersetzt keine Technologie – sie schafft den organisatorischen Rahmen, in dem Technik sinnvoll wirkt. Und sie hilft, aus der Illusion der Perfektion in eine Kultur der Anpassungsfähigkeit zu wechseln.

Die Ökonomie des Schutzes

Auch wirtschaftlich macht Resilienz Sinn. Jede Maßnahme, die den Aufwand für Angreifer erhöht oder die Wiederherstellungszeit verkürzt, verschiebt die Kosten-Nutzen-Grenze – zugunsten der Verteidiger. Ein funktionierendes Backup, ein trainiertes Incident-Response-Team oder ein klarer Kommunikationsplan im Ernstfall kosten wenig im Vergleich zu den Schäden, die sie verhindern. Sich zu schützen heißt nicht, das Unvermeidliche zu leugnen – sondern vorbereitet zu sein, wenn es eintritt.

Führung statt Technik – Resilienz beginnt im Management

Resilienz ist kein IT-Projekt, sondern eine Führungsaufgabe. Das Management muss u. a. definieren, welche Risiken akzeptabel sind, welche Systeme kritisch und wie Entscheidungen im Krisenfall zu treffen sind. Nur wenn diese Fragen beantwortet sind, kann ein ISMS seine Wirkung entfalten. Technik ist das Werkzeug – die Haltung dahinter ist entscheidend.

Wabi-Sabi als Sicherheitskultur

Wabi-Sabi kann zur neuen Haltung in der Informationssicherheit werden:

• Perfektion ist kein Ziel. Systeme dürfen „unfertig“ sein, wenn sie flexibel bleiben.

• Fehler sind Lernquellen. Jede Störung liefert Erkenntnisse.

• Sicherheit ist ein Weg. Ein gelebtes ISMS bleibt in Bewegung.

Anstatt auf Fehler mit Schuldzuweisungen zu reagieren, können Unternehmen sie als Ausdruck ihrer Lebendigkeit begreifen und Fehler als Input zu sehen. Nur so entsteht die Fähigkeit, aus Störungen zu lernen – das Wesen von Resilienz.

Fazit

Ja – Angriffe werden geschehen. Aber das ist kein Grund, auf Schutz zu verzichten. Es ist ein Grund, sich vorzubereiten, bewusst zu gestalten, sich anzupassen und bereit zu sein, denn im Ernstfall hat man dazu keine Zeit. Es geht darum, Resilienz zu zeigen und im Wandel zu bestehen. Wabi-Sabi lehrt Akzeptanz und die neue Haltung in der Informationssicherheit, denn nichts bleibt, nichts ist abgeschlossen, nichts ist perfekt.

Es geht nicht darum, alle Störungen zu verhindern, es geht um Resilienz im Chaos und die Kunst, darin zu bestehen.