Warum Informationssicherheit kein IT-Projekt ist

„Die IT kümmert sich um Sicherheit.“
Einer der häufigsten und gefährlichsten Denkfehler in Unternehmen.

Informationssicherheit ist kein isoliertes IT-Projekt.
Sie ist ein unternehmensweites Managementthema.

Wer trägt denn eigentlich die Verantwortung?
Informationssicherheit schützt Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und zwar überall im Business, nicht nur in der IT.

Während die IT die Datenverarbeitung orchestriert, liegt die Verantwortung für die Daten bei den Fachbereichen:

• Nur sie wissen, welche Informationen wirklich schützenswert sind
• Nur sie können beurteilen, welcher Umgang angemessen ist
• Und wer Zugriff haben sollte, oder eben nicht

Konsequenterweise ist das Business integraler Bestandteil jeder Informationssicherheits-Strategie.
Und genau deshalb braucht Informationssicherheit Führung.

Eine wirksame Sicherheitsstrategie erfordert:

• Top-Management-Verantwortung
• klare Rollen und Zuständigkeiten
• kontinuierliche Prozesse (Risikoanalysen, Audits, Kennzahlen)

Ein ISMS nach ISO 27001 verbindet Sicherheitsziele mit der Geschäftsstrategie und macht Risiken transparent und steuerbar – eine unbedingte Voraussetzung auch für NIS-2. Technik ist dabei wichtig, aber eben nur ein Teil.

Die unbequeme Wahrheit:
Die meisten Sicherheitsvorfälle entstehen nicht durch Technikversagen.
Sie entstehen durch Fehlverhalten, Unsicherheit oder falsche Entscheidungen im Alltag.

Deshalb sind:

• Awareness & Schulungen
• eine offene Vorfallkultur
• vorlebende Führung

entscheidende Erfolgsfaktoren.

Wer Sicherheit fordert, muss sie vorleben. Sonst bleibt sie ein Papiertiger.

Kein Projekt. Kein Enddatum.
Informationssicherheit ist kein Projekt mit Go-Live.
Sie ist ein dauerhafter Managementprozess. Regelmäßige Reviews, Anpassungen und Audits sorgen für Wirksamkeit – klassisch im PDCA-Zyklus (Plan-Do-Check-Act).

Und nun meine Frage an Sie:
Wer entscheidet in Ihrem Unternehmen über den Umgang mit sensiblen Daten – IT oder Fachbereiche?