Eine Wahrheit, die in Vorständen ungern ausgesprochen wird: Das schöne Zertifikat an der Wand und Ihre tatsächliche Resilienz haben oft wenig miteinander zu tun. Die Compliance-Industrie hat ein perfides Anreizsystem geschaffen: Sie verkauft Sicherheit als Zustand (Zertifikat), obwohl Sicherheit ein Prozess ist. Das Ergebnis: zertifizierte Unternehmen, die in der Krise nicht reagieren können, als Auditor der auch Prozesse prüft, sehe ich dies leider häufiger.
Der BSI-Lagebericht 2025 dokumentiert es kühl: Laut BSI haben zwar 80 Prozent der KRITIS-Betreiber ein Informationssicherheitsmanagementsystem implementiert, aber bei der Angriffserkennung und im Business Continuity Management (BCM) gibt es noch deutliche Lücken. Gleichzeitig: 950 registrierte Ransomware-Angriffe im Berichtszeitraum, davon 80 Prozent gegen mittlere Unternehmen. Viele davon ISO-27001-zertifiziert.
Ein ISMS, das nur lebt, wenn der Auditor kommt, ist eine Show mit hohem Budget. Ein ISMS, das Detection, Response und Recovery wirklich übt, ist Sicherheit. Die Frage ist nicht, ob Sie zertifiziert sind, sondern wann Sie zuletzt einen echten Incident geübt haben – inklusive 24-Stunden-Meldung an das BSI nach §32 BSIG.
Wann hat Ihr Vorstand zuletzt in einer Tabletop-Übung einen Ransomware-Vorfall durchgespielt – mit Kommunikation, Lösegeld-Entscheidung und Behördenmeldung? Wollen sie eine Übung durchführen, schreiben Sie es mir in die Kommentare.
Erwartete Gegenargumente & Konter:
- „ISO 27001 ist Voraussetzung für Aufträge.“
Stimmt. Aber das ist Vertriebs-Argument, kein Sicherheits-Argument. Beides koppeln, nicht verwechseln.
- „NIS2 erkennt ISO 27001 als Nachweis an.“
Teilweise: Unternehmen mit bestehendem ISMS nach ISO 27001 decken erfahrungsgemäß 70 bis 80 % der NIS2-Anforderungen ab. Die fehlenden 20–30 % sind genau die operativ kritischen Teile: Meldewesen, Geschäftsleitungspflichten, Lieferkette.
- „Sie reden die Branche schlecht.“
Nein. Ich rede den Wert von Zertifikaten richtig. Wer ein lebendes ISMS hat, kann das selbstbewusst zeigen. Wer ein Papier-ISMS hat, sollte sich nicht zertifizieren lassen, sondern reparieren
Weitere Einblicke finden Sie im Video unten.

