"Budget Informationssicherheit bedeutet Technik, nicht Orga"

Ein Satz, den ich in der Beratung regelmäßig höre, ist:

„Technisch sind wir gut aufgestellt – wir haben jetzt auch ein neues SIEM.“

Was auf dem Papier gut klingt, sieht in der Praxis oft anders aus. Neulich saß ich mit einem IT-Leiter eines mittelständischen Betriebs zusammen. Die Investition war beachtlich: eine neue Firewall, ein Logging-System, Endpoint-Security. Alles sauber dokumentiert, sauber verpackt – im wahrsten Sinne des Wortes.

Als ich nach der Sicherheitsrichtlinie fragte, wurde es still.
„Gibt’s nicht“, meinte er, „aber technisch sind wir ja gut aufgestellt.“
Dass niemand im Unternehmen wusste, wer eigentlich Sicherheitsvorfälle melden soll, fiel dabei erst im Gespräch auf.

Diese Situation ist kein Einzelfall. Technik bekommt ein Budget, weil man sie anfassen, kaufen und beauftragen kann. Prozesse, Rollen, Verbindlichkeiten? Die verschwinden gern im „Wir sollten mal…“ oder „Dafür haben wir keine Kapazitäten“.

Der Eindruck: Technik = Sicherheit. Die Realität: Ohne organisatorisches Fundament bleibt sie oft wirkungslos.

Genau darum geht’s in diesem Artikel.

Was hier schiefläuft: Wenn Sicherheit zu Hardware wird

In vielen Unternehmen wird Informationssicherheit noch immer mit Technik gleichgesetzt. Und Technik ist – auf den ersten Blick – dankbar: Sie hat ein Preisschild, ein Lieferdatum und eine Projektlaufzeit. Wer eine neue Firewall bestellt oder ein SIEM-System einführt, kann einen Fortschritt dokumentieren. Auf dem Papier. Im Reporting. Vor dem Vorstand.

Was dabei oft fehlt: das Fundament, auf dem diese Technik wirken kann.

Denn Technik allein macht keine Sicherheit. Sie braucht Klarheit:

Wer reagiert wann auf Warnungen?
Welche Bedrohungen sind eigentlich relevant?
Wie stellen wir sicher, dass Prozesse angepasst werden, wenn sich das Risiko ändert?

Diese Fragen sind unbequem – und oft nicht budgetiert. Das Organisatorische wird gerne nach hinten geschoben. Oder komplett übersehen. Was zählt, ist der Eindruck: Wir haben investiert. Wir tun was.

Das führt zu einem gefährlichen Muster:

Technikprojekte werden gestartet, ohne dass Rollen, Verantwortlichkeiten oder Kommunikationswege geklärt sind.
Die IT bekommt Systeme, aber keine Entlastung – und wird zur de-facto-Sicherheitsabteilung, ohne Mandat.
Sicherheit wird zur Illusion: teuer, aber lückenhaft.

Und genau das ist das Problem: Organisatorische Sicherheit ist unsichtbar – bis es knallt. Es gibt keinen „Proof of Work“ wie bei einem physischen Server. Kein Icon auf dem Desktop. Kein Reporting-Klick.

Aber wenn ein Vorfall passiert, zeigt sich, wie tragfähig das System wirklich ist.

Und dann wird schnell klar: Die Technik allein war nie das Problem – sondern das, was gefehlt hat, um sie sinnvoll und wirksam einzusetzen.

Was in der Praxis funktioniert: Sicherheit als Managementthema verankern

Wenn ich mit Unternehmen arbeite, bei denen Sicherheit wirklich funktioniert, fällt mir eines sofort auf: Die Technik ist nicht der Startpunkt – sie ist die Folge klarer Entscheidungen.

Das klingt banal, ist in der Realität aber ein echter Unterschied.

Wichtig dabei ist die begriffliche Klarheit: Informationssicherheit umfasst nicht nur den Schutz personenbezogener Daten, wie es im Datenschutz der Fall ist, sondern alle Informationen, die für das Unternehmen schützenswert sind – z. B. Produktionsdaten, Baupläne oder interne Strategiepapiere. Datenschutz ist also Teil der Informationssicherheit, aber nicht gleichzusetzen mit ihr.

Diese Unternehmen stellen sich vor der Investition in Security-Technologien ein paar unbequeme, aber zentrale Fragen:

Was wollen wir eigentlich schützen – und warum?
Wer trägt in welchem Szenario Verantwortung?
Wie stellen wir sicher, dass Maßnahmen nicht nur existieren, sondern auch wirken?

Und vor allem: Wer hat die Zeit, das Wissen und das Mandat, organisatorische Sicherheit aktiv umzusetzen?

Solche Fragen führen oft zu einfachen, aber wirksamen Maßnahmen:

Ein Jour-fixe, in dem IT und Geschäftsführung regelmäßig Sicherheitsfragen besprechen – und Entscheidungen auch dokumentieren.
Eine kurze Notfallkarte für alle Mitarbeitenden: Wen rufe ich wann an, wenn etwas schiefläuft?
Eine Verantwortlichkeitsmatrix (RACI), die auch den „Worst Case“ abbildet: Wer darf was, wenn Systeme ausfallen oder angegriffen werden?

Diese Elemente kosten kaum Geld. Aber sie bringen Klarheit – und wirken als Sicherheitsverstärker für jede Technik, die später dazukommt.

Ein Beispiel aus der Praxis:
Ein produzierendes KMU wollte sich gegen Ransomware absichern und plante, in ein teures EDR-System zu investieren. Im Gespräch stellte sich heraus:

Es gab keine zentrale Übersicht, welche Assets überhaupt kritisch sind.
Die IT war alleine verantwortlich – ohne Rückhalt aus dem Management.
Notfallprozesse existierten nur in veralteten Word-Dokumenten, irgendwo auf einem Netzlaufwerk.

Wir haben das Projekt umgedreht: Erst Rollen geklärt, dann Prozesse definiert – und danach das Tool ausgewählt, das wirklich zur Organisation passte. Ergebnis: weniger Lizenzkosten, bessere Wirkung.

Die Technik war nicht schlechter – aber sie konnte endlich wirken.

Mein Rat: Bevor Ihr Technik einkauft, stellt Euch diese fünf Fragen:

Wer ist konkret verantwortlich für die organisatorische Seite der Sicherheit?
Gibt es dokumentierte Prozesse für Vorfallserkennung und -reaktion?
Haben alle Beteiligten die Zeit und das Mandat, ihre Rolle auszufüllen?
Wurde das Sicherheitsziel (nicht das Tool!) vorher gemeinsam definiert?
Weiß jede beteiligte Person, wann sie aktiv werden muss – und wie?

Ergänzend zu diesen Fragen ist ein systematischer Umgang mit Risiken entscheidend: Welche Bedrohungen sind für unser Geschäftsmodell realistisch? Welche Schutzmaßnahmen sind angemessen? Ein einfaches, dokumentiertes Risikomanagement – z. B. nach ISO 27005 oder IT-Grundschutz – hilft dabei, Prioritäten zu setzen und Investitionen zielgerichtet zu planen.

Technik kann Sicherheit ermöglichen. Aber erst Organisation macht sie wirksam.

Warum ein eigenes Budget für organisatorische Informationssicherheit unverzichtbar ist

Wenn Sicherheit im Unternehmen nur als Technikbudget verstanden wird, bleibt ein entscheidender Teil unsichtbar – bis es ernst wird. Was ich in der Praxis immer wieder sehe:

Sichtbare Technik ersetzt keine unsichtbare Verantwortung.
Firewalls, EDR oder SIEMs sind wichtig – aber ohne klare Zuständigkeiten bleiben sie stumpf.
Sicherheit beginnt mit Klarheit – nicht mit Geräten.
Wer wen informiert, wer Entscheidungen trifft, wie Vorfälle eskaliert werden: Das lässt sich nicht kaufen, das muss vereinbart und gelebt werden.
Die Informationssicherheit Budgetplanung sollte nicht nur Technik berücksichtigen.
Auch für organisatorische Maßnahmen – wie Schulungen oder Rollenklärung – braucht es ein eigenes, wenn auch kleines, Budget für organisatorische Sicherheit.
Für Rollenklärung, Schulungen, Abstimmungen. Wer dafür keinen Platz schafft, riskiert, dass Technik verpufft.

🔍 Zwei Fragen an Dich:

Gibt es bei Euch ein konkretes Budget oder wenigstens Zeitfenster für organisatorische Sicherheit?
Wird Sicherheit als Projekt der IT gesehen – oder als Aufgabe der Geschäftsleitung?

Wenn Du das kennst: Es gibt Lösungen. Aber sie beginnen nicht im Rechenzentrum – sondern im Kopf.

Auch neue gesetzliche Anforderungen wie die EU-Richtlinie NIS2 fordern von Unternehmen – je nach Branche und Größe – explizit organisatorische Maßnahmen, klare Verantwortlichkeiten und ein systematisches Sicherheitsmanagement. Selbst wenn Euer Unternehmen (noch) nicht direkt betroffen ist: Die Richtung ist klar – Organisation wird zur Pflicht, nicht zur Kür.

Was Du jetzt tun kannst

Quick-Check:
Wird bei Euch organisatorische Sicherheit bereits eingeplant – oder nur Technik?
Gibt es ein Budget für Rollenklärung, Awareness und Prozesse?
Weiß jede beteiligte Person, was im Ernstfall zu tun ist?

Regekwerksbezug: Dieses Thema betrifft insbesondere ISO 27001:2022 Annex A.5 (Policies), A.6 (Organisation der Informationssicherheit) und A.7 (Personalsicherheit). Auch die DSGVO fordert in Art. 32 geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung – letzteres wird oft unterschätzt. Zusätzlich verlangt NIS2 explizit robuste organisatorische Maßnahmen und klare Verantwortlichkeiten im Cyber-Risikomanagement für betroffene Unternehmen.

Wenn Du organisatorische Sicherheit gezielt stärken willst, starte mit einem kurzen Check Deiner Verantwortlichkeiten und Prozesse – bevor Du in Technik investierst.

Hinweis zur Einordnung

Dieser Erfahrungsartikel basiert auf realen Beobachtungen und typischen Praxismustern. Die beschriebenen Maßnahmen können Orientierung bieten – sie ersetzen jedoch keine vollständige Umsetzung regulatorischer Anforderungen (z. B. gemäß NIS2, ISO 27001 oder branchenspezifischer Standards).
Wenn Dein Unternehmen unter die NIS2-Richtlinie fällt, sind zusätzliche strukturierte Analysen, dokumentierte Verfahren und ein systematischer Aufbau der Sicherheitsorganisation erforderlich.

„Das Budget ist da – aber nur für Technik“: Warum organisatorische Sicherheit oft unterfinanziert bleibt

Was hier schiefläuft: Wenn Sicherheit zu Hardware wird

Was in der Praxis funktioniert: Sicherheit als Managementthema verankern

Warum ein eigenes Budget für organisatorische Informationssicherheit unverzichtbar ist

Was Du jetzt tun kannst

Hinweis zur Einordnung

NIS2 vs. KRITIS: Was ist der Unterschied?

NIS2 & Risikomanagement – pragmatisch umsetzen

Die Sache mit der Verantwortlichkeit – wenn niemand „Owner“ sein will

ISO 27001 Compliance: Warum 100 % Erfüllung nicht zielführend ist

„Aber das hat uns der IT-Dienstleister so eingerichtet“ – Fremdverantwortung als Risiko

Was ist NIS2? Warum KMU jetzt reagieren müssen

Was hier schiefläuft: Wenn Sicherheit zu Hardware wird

Was in der Praxis funktioniert: Sicherheit als Managementthema verankern

Warum ein eigenes Budget für organisatorische Informationssicherheit unverzichtbar ist

Was Du jetzt tun kannst

Hinweis zur Einordnung

Ähnliche Beiträge