top of page

Der Passierschein A38 der Informationssicherheit – oder: Wie man sich in sechs Akten sicher kaputtorganisiert

  • klauskilvinger
  • vor 6 Tagen
  • 2 Min. Lesezeit

Mal ganz unprofessionell ein humoristischer Ausflug in einen fiktiven Erfahrungsbericht aus der ISO-27001-Außenstelle des Wahnsinns.


Frei nach „Asterix erobert Rom“ mit dem für alle Fans der Realsatire legendären „Passierschein A38“.


Das ist natürlich alles frei erfunden und nur grob skizziert, Ähnlichkeiten mit der Realität sind rein zufällig.


Fühlt sich jemand erinnert an Projekte oder sein eigenes Umfeld?



Akt I – Die Lizenz zum Verwirren

Es beginnt, wie es immer beginnt:


  • Eine neue Anwendung wird eingeführt.

  • Die Fachabteilung freut sich.

  • Die IT nickt.

  • Doch wer klärt eigentlich, welche Lizenzmodelle gelten, ob es Datenschutzkonflikte gibt – und ob man die Lösung on-prem oder in der Cloud betreiben darf?

  • Und was sind die konkreten Sicherheitsanforderungen?

  • Niemand weiß es so genau.

  • Bis jemand sagt: „Fragt doch mal die InfoSec – die haben doch bestimmt so einen Passierschein für sowas.“


Spoiler: Haben wir nicht. Noch nicht.


Akt II – Zuständigkeit ist ein Phantom

Die Security-Abteilung prüft und stellt fest:

  • Die Anwendung wurde ohne Sicherheitskonzept eingeführt.

  • Die IT sagt, das sei Sache der Fachabteilung.

  • Die Fachabteilung sagt, das sei Sache der IT.

  • Der Datenschutz sagt: „Ich bin nur wegen der Kameras da.“

  • Der CISO sagt: „Da brauchen wir erstmal ein Gremium.“


Ein Fall für den neuen Passierschein A38. Oder eine Séance.


Akt III – Technik, die begeistert (zumindest den Auditor)

  • Das SOC sendet Warnungen.

  • Die Firewall blockt fleißig.

  • Die Entwickler schieben neue Softwareversionen direkt in Produktion – mit Adminrechten.

  • Niemand weiß, wer Zugriff hat. Oder warum.

  • Die CMDB ist so aktuell wie ein Faxgerät im Weltall.

  • Aber immerhin steht im Auditbericht: „Zugriffsberechtigungen sind dokumentiert.“ (Nur eben: in einer Excel-Tabelle, die hinterher niemand mehr findet.)


Akt IV – Regulierung schlägt Realität

Der EU-Regelungsapparat meint es gut:

  • DORA verlangt digitale Resilienz.

  • NIS2 verlangt mehr Sicherheit in 18 Branchen

  • CRA will sichere Produkte.

  • Produkthaftungsrichtlinie will Software auch abdecken und mehr Commitment von den Entwicklern

  • Alle wollen Sicherheitsnachweise.

  • Und die ISO 27001 ruft aus dem Off: „Das ist doch alles schon bei mir drin – wenn ihr mich nur ernst nehmen würdet!“


Das Problem:


Drei Normen, fünf Regulatoren und sieben Stakeholder – aber nur eine Security-Stelle mit 1,3 FTE.


Was fehlt?


Richtig: Der Passierschein A38, Anlage C zur Risikoakzeptanzmatrix.


Akt V – Die Beratung kommt (mit PowerPoint)

  • Ein externer Berater wird engagiert.

  • Er bringt eine Folie mit. Darauf steht: „Sicherheit ist Chefsache. Awareness ist der Schlüssel. Sie brauchen ein ISMS.“

  • Die Geschäftsleitung nickt.

  • Die IT fragt: „Was kostet das?“

  • Die Fachabteilung fragt: „Müssen wir da was tun?“

  • Der Berater sieht den Passierschein A38 und lächelt. Und bestellt erstmal ein Tool. „Für mehr Transparenz.“


Akt VI – Awareness ist, wenn trotzdem keiner weiß, worum es geht

  • Es gibt E-Learnings, Phishing-Tests und Security-Plakate auf den Toiletten.

  • Die Awareness steigt.

  • Die Motivation sinkt.

  • Und irgendwo ruft jemand in die Runde: „Habt ihr eigentlich die neue Security-Richtlinie gelesen?“

  • Antwort: „Nein, aber ich habe es bestätigt.“


Epilog – Der Weg hinaus?

  • Vielleicht braucht es keinen Passierschein A38.

  • Vielleicht reicht eine klare Zuständigkeit.

  • Ein bisschen Pragmatismus.

  • Und Mut zur Lücke.

  • Denn Informationssicherheit ist kein reines IT-Thema.

  • Und kein reiner Verwaltungsakt.

  • Sondern eine Frage von Kultur, Kommunikation – und Kaffee (für die Kommunikation und wenn es dann mal knirscht)

 
 
 

Comments

bottom of page