Informationssicherheitskultur: Fehler sehen, nicht Schuldige

Wenn Recht haben kein Gewinn ist

„Sehen Sie, genau das habe ich vor drei Monaten schon angesprochen.“ Der IT-Leiter lehnt sich im Meeting zurück, während auf der Leinwand die Folien mit den Details des jüngsten Systemausfalls erscheinen. Die Gesichter im Raum sind ernst, niemand widerspricht. In diesem Moment hat er recht behalten – und doch fühlt es sich nicht wie ein Sieg an.

Solche Situationen erlebe ich in Beratungen regelmäßig. Verantwortliche in ISMS-, BCM- oder Compliance-Projekten warnen früh vor Risiken: veraltete Backups, fehlende Notfallpläne, unklare Rollen. Wenn diese Punkte eintreten, entsteht oft das paradoxe Gefühl: „Ich hatte recht – aber es wäre mir lieber gewesen, wenn nicht.“

Denn Recht haben bedeutet hier, dass das Risiko Realität geworden ist – mit echten Folgen: Produktionsstillstand, Vertrauensverlust oder Mehraufwand. Der Moment zeigt, wie schmerzhaft der Unterschied zwischen „es hätte verhindert werden können“ und „es ist passiert“ sein kann.

Genau darin liegt die eigentliche Botschaft: Eine starke Informationssicherheitskultur zeigt sich nicht im „Recht haben“, sondern im gemeinsamen Umgang mit Risiken – bevor sie zur Schlagzeile werden.

Die Falle des „Ich hab’s ja gesagt“ – warum Recht haben nicht weiterhilft

Wer im Meeting mit dem Satz „Ich hab’s ja gesagt“ auftritt, gewinnt vielleicht kurzfristig an Anerkennung – langfristig aber selten Verbündete. Denn dieser Satz markiert eine Grenze: Er trennt die „Warner“ von den „Ignorierenden“ und setzt auf Schuldzuweisung statt auf gemeinsames Lernen.

In der Praxis sehe ich immer wieder drei Muster:

Schuldzuweisung: Das Problem wird einer einzelnen Person oder Abteilung zugeschoben, anstatt die Ursachen systemisch zu betrachten.
Abwehrhaltung: Betroffene fühlen sich angegriffen und reagieren mit Rechtfertigungen, statt über Lösungen zu sprechen.
Misstrauen: Teams entwickeln das Gefühl, dass es eher um „Punkte sammeln“ als um Zusammenarbeit geht – und schweigen künftig lieber.

Gerade in ISMS-, aber auch in BCM- oder AIMS-Kontexten ist das fatal. Hier geht es nicht um das „Gewinnen“ einer Diskussion, sondern um ein gemeinsames Risikoverständnis. Ein Systemausfall, eine fehlgeschlagene Notfallübung oder ein KI-Fehler sind keine Bühne für Ego-Triumph, sondern ein Prüfstein für die Teamkultur.

Das eigentliche Ziel dieser Managementsysteme ist, Risiken sichtbar zu machen, bevor sie eskalieren – und das braucht Offenheit. Wer Probleme früh benennt, sollte dafür Wertschätzung erfahren, nicht den Ruf des ewigen Schwarzsehers. Und wer im Nachhinein recht hatte, sollte den Fokus nicht auf die Bestätigung legen, sondern auf die Chance, künftig besser vorbereitet zu sein.

Die Falle des „Recht-habens“ zeigt: Sicherheit entsteht nicht durch das Verteidigen der eigenen Position, sondern durch das gemeinsame Gestalten von Lösungen.

Perspektivwechsel im ISMS, BCM und AIMS – vom Fingerzeig zur gemeinsamen Verantwortung

In vielen Projekten erlebe ich, dass der entscheidende Unterschied nicht in der Technik liegt, sondern in der Art, wie über Probleme gesprochen wird. Ein „Ich hab’s ja gesagt“ wirkt wie ein Stopp-Signal: Das Gespräch bleibt an der Frage hängen, wer recht hatte. Besser ist es, den Blick nach vorne zu lenken: „Was lernen wir daraus?“

Ein Beispiel aus dem Business Continuity Management (BCM): In einem Testversuch stellte sich heraus, dass die Telefonketten im Ernstfall nicht funktionierten. Für einige war das eine Gelegenheit, mit dem Finger auf die „Nachlässigen“ zu zeigen. Der produktivere Ansatz war jedoch, das Ergebnis als Chance zu sehen: Wir haben die Schwachstelle entdeckt, bevor der Ernstfall eintrat. Das Team konnte die Abläufe überarbeiten, klare Verantwortlichkeiten definieren und einen zweiten Kommunikationsweg etablieren.

Ähnliches gilt im Bereich Künstliche Intelligenz (AIMS). Wenn ein System eine unerwartete Entscheidung trifft, bringt es wenig, sofort Schuldige zu suchen. Stattdessen hilft eine strukturierte Fehleranalyse: Welche Datenbasis lag zugrunde? Welche Annahmen waren falsch? Das Ziel ist nicht, jemanden bloßzustellen, sondern die Organisation resilienter zu machen – sei es durch bessere Trainingsdaten oder durch klare Regeln, wie Ergebnisse zu prüfen sind.

Hilfreich sind Methoden, die den Dialog öffnen:

Aktives Zuhören: Nicht sofort bewerten, sondern nachfragen, um die Sicht der Beteiligten zu verstehen.
Umformulieren: Statt „Das habt Ihr falsch gemacht“ lieber „Wir haben hier eine Lücke entdeckt“.
Zielbild betonen: Wiederholt deutlich machen, dass es nicht um Vergangenes geht, sondern um die gemeinsame Absicherung für die Zukunft.

Mein Tipp: Verantwortung auf die Organisationsebene heben. Ein Risiko oder Fehler ist selten das Ergebnis einer einzelnen Person, sondern Ausdruck fehlender Strukturen. Genau deshalb gibt es ISMS, BCM und AIMS – sie sollen verhindern, dass Sicherheit von Einzelnen abhängt.

Wenn Gespräche so geführt werden, ändert sich die Haltung: aus Fingerzeig wird Lernbereitschaft, aus Schuldzuweisung wird Verbesserung. Das ist der eigentliche Gewinn – nicht, recht zu haben, sondern gemeinsam stärker zu werden.

Fehlerkultur vs. Sicherheitskultur – was meint eigentlich „Informationssicherheitskultur“?

Im Arbeitsalltag verschwimmen Begriffe wie Fehlerkultur, Sicherheitskultur im Unternehmen und Informationssicherheitskultur häufig. Doch gerade in KMU ist die Unterscheidung wichtig:

Eine Fehlerkultur in der Informationssicherheit bedeutet, dass Vorfälle offen angesprochen und analysiert werden dürfen – ohne Angst vor Schuldzuweisung.
Eine Sicherheitskultur beschreibt übergreifend das Bewusstsein und Verhalten im Umgang mit Risiken – von IT bis zur physischen Sicherheit.
Die Informationssicherheitskultur ist der spezifische Teil davon, der sich mit der Frage beschäftigt: Wie gehen wir im Unternehmen mit Informationen, Datenrisiken und Sicherheitsverantwortung um?

Wer hier Klarheit schafft, legt den Grundstein für resilientere Prozesse – und echte Lernkultur statt Rückzugsverhalten.

Zum Mitnehmen & Weiterdenken – Recht haben oder gemeinsam lernen?

Am Ende bleibt die Erkenntnis: Sicherheit lebt nicht vom Recht-haben, sondern vom Lernen. Ob im ISMS, BCM oder AIMS – der Umgang mit Fehlern entscheidet darüber, ob Risiken dauerhaft reduziert werden.

Zentrale Takeaways:

Recht haben ist zweitrangig – entscheidend ist, dass Risiken früh sichtbar werden.
Schuldzuweisungen blockieren Lernen. Offene Kommunikation ermöglicht Verbesserungen.
Organisation statt Einzelperson: Risiken sind meist strukturell, nicht individuell bedingt.
Aus jedem Vorfall wächst die Chance, Systeme resilienter zu machen.

Impulsfragen für Dich:

Wann warst Du zuletzt in der Rolle des „Warner“ – und wie bist Du mit der Situation umgegangen, als Du recht hattest?
Wird in Deinem Unternehmen über Fehler gesprochen, um daraus zu lernen – oder eher, um Verantwortliche zu finden?
Was wäre nötig, damit aus einem „Ich hab’s gesagt“ ein „Gut, dass wir es jetzt erkannt haben“ wird?

Was Du jetzt tun kannst – vom Recht-haben zum Lernen

Quick-Check:

Wird bei Euch über Fehler gesprochen, ohne sofort Schuldige zu suchen?
Gibt es feste Routinen, um Vorfälle oder Tests nachzubereiten (z. B. Lessons Learned)?
Werden Risiken auf Organisationsebene adressiert – oder hängen sie noch an Einzelpersonen?

Regelwerkbezug: Sowohl ISO 27001 (Risikomanagement), ISO 22301 (Business Continuity) als auch ISO/IEC 42001 (AI Managementsysteme) verlangen, dass Organisationen aus Vorfällen lernen und Prozesse verbessern – nicht, dass Schuldige gesucht werden.

Mini-CTA: Starte in Deinem nächsten Teammeeting mit der Frage: „Was können wir daraus lernen?“ statt „Wer war schuld?“.

Dieser kleine Perspektivwechsel verändert die Kultur spürbar: Er schafft Vertrauen, öffnet den Blick für strukturelle Schwächen und stärkt die Bereitschaft, Risiken gemeinsam anzugehen – egal ob im ISMS, BCM oder AIMS.

„Ich hab’s ja gesagt…“ – Warum man trotzdem nicht recht haben will

Wenn Recht haben kein Gewinn ist

Die Falle des „Ich hab’s ja gesagt“ – warum Recht haben nicht weiterhilft

Perspektivwechsel im ISMS, BCM und AIMS – vom Fingerzeig zur gemeinsamen Verantwortung

Fehlerkultur vs. Sicherheitskultur – was meint eigentlich „Informationssicherheitskultur“?

Zum Mitnehmen & Weiterdenken – Recht haben oder gemeinsam lernen?

Was Du jetzt tun kannst – vom Recht-haben zum Lernen

„Das ist doch nur Papier!“ – die Bedeutung von Informationssicherheit durch wirksame Policies

ISO 27001 Compliance: Warum 100 % Erfüllung nicht zielführend ist

„Aber das hat uns der IT-Dienstleister so eingerichtet“ – Fremdverantwortung als Risiko

„Das Budget ist da – aber nur für Technik“: Warum organisatorische Sicherheit oft unterfinanziert bleibt

Warum eine ISMS Einführung in kleinen Schritten oft wirksamer ist als große Programme

Wenn Technik auf Prozesse trifft: Warum technische ITler oft mit ISMS-Dokumenten kämpfen

Wenn Recht haben kein Gewinn ist

Die Falle des „Ich hab’s ja gesagt“ – warum Recht haben nicht weiterhilft

Perspektivwechsel im ISMS, BCM und AIMS – vom Fingerzeig zur gemeinsamen Verantwortung

Fehlerkultur vs. Sicherheitskultur – was meint eigentlich „Informationssicherheitskultur“?

Zum Mitnehmen & Weiterdenken – Recht haben oder gemeinsam lernen?

Was Du jetzt tun kannst – vom Recht-haben zum Lernen

Ähnliche Beiträge