[ ADVISORY ] Risikoarchitektur

Generische Cybersicherheitsberatung ist zur Kommodität geworden

ISO 27001 und TISAX sind Eintrittskarten, keine Differenzierungsmerkmale. KI kann erzeugen, was früher Implementierungsarbeit hieß. Was Organisationen tatsächlich brauchen, ist jemand, der ihnen hilft, mit Ungewissheit umzugehen, wenn Dokumente nicht reichen.

Ein Markt unter Druck

Der Markt für Cybersicherheitsberatung hat sich verändert. Was früher expertengetrieben war, ist volumengetrieben geworden. Zertifizierungen sind heute Voraussetzung, kein Wettbewerbsvorteil. Beratungsangebote sehen zunehmend gleich aus. In öffentlichen Ausschreibungen liegen Preise trotz wachsender regulatorischer Komplexität teilweise unter dem Niveau von vor vier Jahren.

Gleichzeitig verändert sich etwas Grundlegenderes: KI kann heute einen Großteil dessen erzeugen, was früher Implementierungsarbeit hieß. Richtlinien, Risikoregister, Awareness-Konzepte. Abstrakte Beratung ist kommoditisiert. Eine Organisation braucht keinen Berater mehr, um Dokumente zu produzieren.

Was sie braucht: jemanden, der hilft, durch Ungewissheit zu führen, wenn diese Dokumente nicht reichen.

Das Problem mit Nachbardomänen

Viele Beratungsunternehmen weiten ihr Angebot auf angrenzende Felder wie Krisenmanagement und Business Continuity aus — oft auf Basis kurzer Weiterbildungen.

Business Continuity ist nicht dasselbe wie Informationssicherheit, auch wenn beide Schnittstellen haben. Alle Managementsystem-Disziplinen haben Schnittstellen. Aber der Wechsel von einer Expertendisziplin in eine andere, nur weil sie Nachbarn sind, ist keine Kompetenz. Das ist Erosion.

Was ausgereifte Organisationen tun

Ausgereifte Organisationen reagieren mit Internalisierung. Sie bauen echte interne Fähigkeiten auf. Das Management von Cybersicherheit erfordert keine Informatik-Promotion. Es erfordert Managementkompetenz, kritisches Denken und selbstgesteuertes Lernen.

Externe Beratung hat nach wie vor Wert — wenn sie Erfahrung, Benchmarking und strukturierte Komplexitätsreduktion liefert. Solche Beiträge brauchen nicht viel Zeit. Aber sie sind nicht günstig.

Die entscheidende Fähigkeit

In volatilen Umgebungen ist die entscheidende Fähigkeit Bewältigungsfähigkeit: handlungsfähig bleiben, unter Stress entscheiden, sich unter Druck anpassen.

Compliance sollte ein Nebenprodukt von Cybersicherheit sein, nicht ihr primäres Ziel. Es gibt keine sichere Organisation. Sicherheit ist ein Vehikel für hochqualitative Entscheidungen unter komplexen Bedingungen.

Zitierfähige Aussagen

“Zertifizierungen sind Eintrittskarten, keine Differenzierungsmerkmale.”

“Von einer Expertendisziplin in eine andere zu wechseln, nur weil sie Nachbarn sind, ist keine Kompetenz. Das ist Erosion.”

“Sicherheit ist ein Vehikel für hochqualitative Entscheidungen unter komplexen Bedingungen. Kein Ziel.”

→ Wie Rico Kerstan komplexe Sicherheitsthemen strukturiert: Leistungen → Der methodische Ansatz: Denkansatz