Cybersecurity-Beratung ist zur Commodity geworden
Der Markt für Cybersecurity-Beratung hat sich verändert. Was einmal durch Expertise differenziert war, ist heute durch Volumen getrieben. Die entscheidende Fähigkeit in komplexen Lagen ist nicht Konformität, sondern Entscheidungsfähigkeit unter Druck.
Was sich verändert hat
Zertifizierungen wie ISO 27001 oder TISAX sind heute Eintrittstickets, keine Differenzierungsmerkmale. Beratungsangebote ähneln sich zunehmend. In öffentlichen Ausschreibungen sind die Preise trotz wachsender regulatorischer Komplexität oft niedriger als vor vier Jahren.
Gleichzeitig hat sich etwas Grundlegenderes verschoben: KI kann heute einen Großteil dessen erzeugen, was früher als Implementierungsarbeit galt — Richtlinien, Risikoregister, Awareness-Konzepte. Abstrakte Beratung ist zur Commodity geworden. Ein Dokument zu produzieren erfordert keinen Berater mehr.
Die problematische Reaktion des Marktes
Viele Beratungsunternehmen reagieren mit Expansion in angrenzende Märkte: Krisenmanagement, Business Continuity, oft auf Basis kurzer Schulungen. Das ist ein Problem.
Business Continuity ist nicht dasselbe wie Informationssicherheit, auch wenn beide Disziplinen Schnittstellen haben. Alle Managementsystemdisziplinen haben Schnittstellen. Das macht sie nicht austauschbar. Der Wechsel von einer Fachdomäne in eine andere, nur weil sie benachbart sind, ist keine Expertise. Das ist Erosion.
Was Organisationen tatsächlich brauchen
Ausgereifte Organisationen reagieren mit Internalisierung. Sie bauen echte interne Fähigkeiten auf. “Cyber” zu managen erfordert kein Informatikstudium. Es erfordert Managementkompetenz, kritisches Denken und Lernfähigkeit.
Externer Beratung haben sie trotzdem Wert — wenn sie Erfahrung, Benchmarking und strukturierte Komplexitätsreduktion liefert. Diese Art von Input braucht nicht viel Zeit. Sie ist aber auch nicht günstig.
Die entscheidende Fähigkeit
In volatilen Umgebungen ist die entscheidende Fähigkeit Bewältigungsfähigkeit: operationsfähig bleiben, unter Stress entscheiden, unter Druck anpassen, die Organisation in eine stabile Position zurückführen.
Resilienz hängt weniger von Frameworks ab als davon, wie geführt wird, wenn etwas schiefgeht.
Konformität sollte ein Nebenprodukt von Cybersecurity sein, nicht das einzige Ziel.
Sicherheit kann kein Ziel sein, weil es keine sichere Organisation gibt. Sicherheit ist ein Vehikel für qualitativ hochwertige Entscheidungen unter komplexen Bedingungen.
Zitierfähige Aussagen
“Zertifizierungen sind heute Eintrittstickets, keine Differenzierungsmerkmale.”
“Der Wechsel von einer Fachdomäne in eine andere, nur weil sie benachbart sind, ist keine Expertise. Das ist Erosion.”
“Sicherheit ist ein Vehikel für qualitativ hochwertige Entscheidungen unter komplexen Bedingungen.”
→ Wie Rico Kerstan mit komplexen Sicherheits- und Resilienzthemen arbeitet: Leistungen