In einer Zeit sich rasch entwickelnder digitaler Bedrohungen ist eine Kultur der kontinuierlichen Verbesserung für eine wirksame Informationssicherheit von entscheidender Bedeutung. Unternehmen können sich nicht mit einer einmaligen Risikobestandsaufnahme oder einem Stapel von Sicherheitsrichtlinien begnügen; sie müssen ihre Prozesse ständig schärfen. Der Plan-Do-Check-Act (PDCA)-Zyklus - oft auch als Plan, Do, Check, Act oder Plan, Execute, Check, Adjust bezeichnet - bietet einen strukturierten Ansatz für diesen Zweck. Dieser PDCA-Zyklus ist das Herzstück vieler Qualitäts- und Sicherheitsprogramme und wird in Normen wie ISO 27001 für Informationssicherheit ausdrücklich empfohlen.

  • Plan: Festlegung von Zielen und Plänen für Verbesserungen (z. B. neue Sicherheitsmaßnahmen) und Definition von Messkriterien.
  • Do: die Pläne ausführen - die Kontrolle oder Änderung durchführen.
  • Kontrolle: Messen und bewerten Sie die Ergebnisse; haben die Veränderungen die beabsichtigte Wirkung?
  • Handeln: Erfolgreiche Verbesserungen sichern oder, wo nötig, anpassen. Entscheidend ist, dass es sich nicht um einen einmaligen Prozess handelt, sondern um einen kontinuierlichen Zyklus. Wie ein Kreislauf endet die PDCA nie - nach der Phase des Handelns beginnen Sie erneut mit der Planung, um eine kontinuierliche Verbesserung zu gewährleisten. Dadurch wird sichergestellt, dass Ihre Organisation jeden Tag ein bisschen besser wird. PDCA

Kontinuierliche Verbesserung mit PDCA in der Informationssicherheit

Die Informationssicherheit profitiert von der gleichen Philosophie der kontinuierlichen Verbesserung wie andere Disziplinen. Die Allgemeine Datenschutzverordnung (AVG) zum Beispiel erwähnt diesen Mechanismus sogar! Für die Informationssicherheit ist der PDCA-Zyklus (Plan-Do-Check-Act) ein wesentlicher Bestandteil der Informationssicherheitsnorm ISO 27001. Organisationen, die ISO 27001 umsetzen, müssen ein Informationssicherheitsmanagementsystem (ISMS) verwenden, das auf dem PDCA-Zyklus basiert. Dieses System hilft Organisationen, ihre Maßnahmen zur Informationssicherheit kontinuierlich zu verbessern und an neue Risiken und Anforderungen anzupassen.

Bedrohungen ändern sich ständig und neue Schwachstellen tauchen auf; eine Organisation, die stillsteht, gerät schnell ins Hintertreffen. Der PDCA-Zyklus erzwingt einen strukturellen, iterativen Ansatz: Nach der Umsetzung von Sicherheitsmaßnahmen folgt die Kontrolle (z. B. durch Audits, Überwachung oder Vorfallsanalysen) und dann die Anpassung von Strategien und Maßnahmen auf der Grundlage der Ergebnisse. Auf diese Weise wird vermieden, auf einem mittelmäßigen Sicherheitsniveau stehen zu bleiben oder bekannte Schwachstellen ungelöst zu lassen. Expertenanalysen zeigen, dass ohne eine solche Rückkopplungsschleife viele Teams nach der Implementierung einiger “Quick Wins” ins Stocken geraten - die Mitarbeiter sind sich dann nicht sicher, welche zusätzlichen Kontrollen einen Mehrwert bringen und welche hauptsächlich Bürokratie sind. Durch die Messung von Experimenten (die Check-Phase) erfährt das Team, welche Maßnahmen wirklich effektiv sind. So können sie sich auf Sicherheitsmaßnahmen konzentrieren, die nachweislich einen Mehrwert bieten und mit den Unternehmenszielen übereinstimmen.

Zur konkreten Ausgestaltung gehören regelmäßige Risikobewertungen, interne Audits, Managementüberprüfungen und die Durchführung von Verbesserungsmaßnahmen. Im Idealfall wird die Informationssicherheit dadurch nicht zu einem einmaligen Projekt, sondern zu einem kontinuierlichen Prozess mit einem festen Platz in der Organisation (z. B. durch ein ständiges Sicherheitsteam oder einen Ausschuss).

PDCA auf dem Papier und in der Praxis

Obwohl sich der PDCA-Zyklus auf dem Papier einfach anhört und in den Richtlinien oft klar formuliert ist, funktioniert er in der Praxis nicht immer gut. Einige Organisationen verfügen zwar über ein ISMS-Handbuch und eine jährliche Auditplanung, nutzen den Zyklus aber nicht wirklich zur Verbesserung ihrer Sicherheit. Ein häufiger Fallstrick ist, dass die Informationssicherheit zu einer Abhak-Übung verkommt, um die Vorschriften einzuhalten, ohne dass dies Auswirkungen auf den täglichen Betrieb hat. Auf dem Papier hört sich das gut an**, aber wenn der PDCA-Zyklus nur pro forma befolgt wird, bleibt es bei linearem Denken anstelle von echter Iteration.

Man hört oft, dass die IT-Sicherheit nicht zu einer reinen Verwaltungsaufgabe werden darf. Die IT-Sicherheit soll das Unternehmen stärken und nicht nur eine Aufgabe auf dem Papier sein, die nur den Richtlinien entspricht. Was mir dabei auffällt, ist, dass dies als Begründung dafür herhalten muss, dass die Dinge meist schleifen gelassen werden. Mit anderen Worten: Eine Richtlinie kann noch so schön geschrieben sein - wenn es keine konkreten Folgemaßnahmen zu Kontrollen und Aktionen gibt, tritt keine Verbesserung ein, und das Unternehmen wird nicht wirklich sicherer. Noch schlimmer ist, dass man immer wieder die gleichen Fehler macht, die gleichen maroden Lösungen verwendet und die Informationssicherheit als Kostenfaktor oder lästiges Übel betrachtet.

Praktische Beispiele bestätigen dies. So stelle ich regelmäßig fest, dass Unternehmen zwar über Grundsatzdokumente und Verfahren verfügen (z. B. für die Reaktion auf Zwischenfälle oder die Zugangsverwaltung), diese aber in der Hektik des Alltags nicht strikt eingehalten oder bewertet werden. In der Wirtschaftsprüfung sprechen wir nicht ohne Grund von Absicht, Existenz und Betrieb. In der Praxis klafft jedoch manchmal noch eine Lücke zwischen Absicht und Existenz und Betrieb.

Eine regelmäßige Überprüfung der Maßnahmen (z.B. durch interne Pen-Tests oder Simulationen) unterbleibt dann oder die Erkenntnisse führen nicht zu Anpassungen. Dies untergräbt das PDCA-Prinzip. Ein jährliches Audit kann zum Beispiel immer wieder dieselben Feststellungen bringen, ohne dass diese strukturell behoben werden - ein Zeichen dafür, dass die Act-Phase versagt. Ohne einen lebendigen Verbesserungszyklus werden Sicherheitsprogramme schnell statisch und anfällig. Damit der PDCA-Zyklus wirklich funktioniert, bedarf es des Engagements von Management und Implementierern: Das Management muss Verbesserungen unterstützen und freigeben, während das Implementierungsteam aktiv messen und lernen muss. Nur dann wird der Zyklus zum Leben erweckt und führt zu einer immer höheren Qualität der Informationssicherheit.

Von anderen Sektoren lernen: Luftfahrt als Beispiel

Andere Branchen, die sich stark auf die Sicherheit konzentrieren, setzen seit Jahrzehnten auf kontinuierliche Verbesserungsmechanismen. Die Luftfahrtindustrie gilt als Paradebeispiel: Fliegen ist heute extrem sicher, was zum Teil auf systematische Verbesserungszyklen nach Zwischenfällen und proaktive Maßnahmen zurückzuführen ist. Einige aussagekräftige Beispiele:

  • Crew Resource Management (CRM) - In den 1970er und 1980er Jahren führte die Luftfahrt als Reaktion auf einige schwere Unfälle, bei denen es zu mangelhafter Teamarbeit und Kommunikation kam, CRM-Schulungen für Cockpitbesatzungen ein. Zuvor galt der Kapitän als oberste Autorität, was manchmal zu Fehlern führte, da die Kopiloten zögerten, einzugreifen. CRM lehrte die Cockpit-Teams, besser zu kommunizieren, gemeinsam Entscheidungen zu treffen und sich gegenseitig für mögliche Fehler zur Verantwortung zu ziehen. CRM ist heute für Piloten von Verkehrsflugzeugen weltweit obligatorisch. Dies hat zweifellos Leben gerettet: Der berühmte Pilot Captain Al Haynes schrieb die erfolgreiche Landung des havarierten United-Airlines-Fluges 232 im Jahr 1989 der CRM-Schulung zu - ohne sie hätte die Teamkoordination zu viel mehr Opfern geführt. CRM hat sich bei der Verringerung menschlicher Fehler als so wirksam erwiesen, dass das Modell auch in anderen Bereichen wie der Chirurgie und der Notfallmedizin übernommen wurde. Die kontinuierliche Schulung und Verfeinerung dieser nichttechnischen Fähigkeiten ist eine Form der kontinuierlichen Verbesserung der Sicherheitskultur in der Luftfahrt.
  • Vorgeschriebene Checklisten für Piloten und Techniker - In der Luftfahrt gibt es eine Kultur, in der kein Schritt zu trivial ist, um überprüft zu werden. Checklisten sind eine einfache, aber entscheidende Maßnahme für einen einheitlichen und fehlerfreien Betrieb. Dieses Prinzip wurde beispielsweise eingeführt, nachdem 1935 ein Prototyp des Boeing-Modells 299 (Vorläufer des B-17-Bombers) abgestürzt war, weil die Besatzung einen einfachen Vorgang (das Entriegeln der Ruder) vergessen hatte - das Flugzeug war so komplex, dass “die Piloten nicht mehr alle Schritte auswendig lernen konnten.” Daraufhin wurden Checklisten für Start, Flug und Landung erstellt, die von nun an immer befolgt werden mussten. Seitdem sind Checklisten unverzichtbar. Jeder Pilot - vom Sportpiloten bis zum Linienflugkapitän - arbeitet mit standardisierten Listen für jede Flugphase. Dadurch wird die Wahrscheinlichkeit, dass Handlungen vergessen werden, drastisch reduziert und sichergestellt, dass auch unter Stress (denken Sie an einen Notfall) nichts Wesentliches ausgelassen wird. Die Verwendung von Checklisten erhöht die Konsistenz und fängt menschliche Gedächtnisfehler ab, was direkt zur Sicherheit beiträgt. Umgekehrt zeigen Untersuchungen von Katastrophen, dass bei entscheidenden Fehlern der Besatzung sehr oft die Checkliste nicht beachtet wurde. Auch Wartungsingenieure arbeiten mit strengen Checklistenprotokollen, um sicherzustellen, dass z. B. nach einer Wartung alle Schrauben mit dem richtigen Drehmoment nachgezogen und keine Schritte ausgelassen werden. Die ständige Bewertung und Verbesserung dieser Checklisten (z. B. als Reaktion auf die Untersuchung von Zwischenfällen) ist ebenfalls eine PDCA-ähnliche Praxis: Wenn irgendwo etwas schief läuft, wird die entsprechende Checkliste überarbeitet, um eine Wiederholung zu verhindern.
  • Vorbeugende Wartung und Austausch von Komponenten (Metallermüdung) - Technische Verbesserungszyklen sind ebenso wichtig. Jedes Flugzeugbauteil hat eine bestimmte Lebensdauer und wird oft ersetzt, bevor es ausfällt, um die Risiken zu minimieren. Diese Praxis ergibt sich unter anderem aus den Erfahrungen mit der Metallermüdung. In den 1950er Jahren stürzte das erste Passagierflugzeug (der De Havilland Comet) aufgrund von Metallermüdung im Flugzeugrumpf tödlich ab. Seitdem ist ein gründliches Verständnis der Materialermüdung Teil des Konstruktions-, Inspektions- und Wartungsprozesses geworden. Flugzeuge werden regelmäßig eingehenden Inspektionen unterzogen (z. B. zerstörungsfreie Prüfung auf Risse) und haben strenge Überholungspläne. Hersteller und Regulierungsbehörden legen Betriebsgrenzen fest: Nach einer bestimmten Anzahl von Flugstunden oder Start- und Landezyklen muss ein Bauteil ausgetauscht oder ein Flugzeug außer Betrieb genommen werden. Auf diese Weise werden Unfälle aufgrund von Abnutzung proaktiv verhindert. Es handelt sich um einen kontinuierlichen Verbesserungsmechanismus, da die Grenzwerte auf der Grundlage von Erfahrung und Forschung ständig angepasst werden. Jedes Mal, wenn ein Haarriss oder Defekt entdeckt wird, führt dies zu Anpassungen: kürzere Inspektionsintervalle, verbesserte Materialien, Konstruktionsänderungen oder neue Wartungsanweisungen. Man denke nur an den Vorfall bei Aloha Airlines im Jahr 1988, als aufgrund von Metallermüdung ein Teil des Rumpfes abriss; dies war der Auslöser für die Einführung strenger Inspektionsvorschriften für ältere Flugzeuge. Dieses System der Vorsorge und des Lernens hat das Risiko durch Materialermüdung erheblich verringert. Das Wartungspersonal wird laufend geschult und die Verfahren werden aktualisiert - ein praktisches Beispiel für die PDCA-Methode: Planen (Erstellung eines Wartungsplans), Ausführen (Durchführung der Wartung), Prüfen (Analyse der Inspektionsergebnisse, Untersuchung von Zwischenfällen) und Handeln (Anpassung der Pläne oder der Konstruktion zur Vermeidung künftiger Probleme).

Der rote Faden in diesen Beispielen aus der Luftfahrt ist die kontinuierliche Verbesserung: Jeder Fehler oder Beinahe-Fehler ist ein Grund, Verfahren, Ausbildung oder Technik anzupassen. Das Ergebnis ist eine beeindruckende Sicherheitsstatistik, die durch das ständige Durchlaufen der Feedback-Schleife und die Schaffung einer Kultur erreicht wird, in der sich jeder, vom Mechaniker bis zum Piloten, für Verbesserungen einsetzt. Der PDCA-Zyklus ist Teil einer ausgereiften Kultur.

Checklisten

Pharmazeutische Industrie: kontinuierliche Verbesserung für Qualität und Sicherheit

Kontinuierliche Verbesserung ist auch in der pharmazeutischen Industrie ein zentrales Konzept, wenn auch unter anderem Namen. Dieser Sektor unterliegt strengen Vorschriften (man denke an GMP - Good Manufacturing Practice), um die Qualität und Sicherheit von Arzneimitteln zu gewährleisten. Dies erfordert einen kontinuierlichen Zyklus von Messungen und Verbesserungen. So verfügen Pharmaunternehmen beispielsweise über CAPA-Systeme (Corrective and Preventive Action): Bei jeder Abweichung im Produktionsprozess oder jeder Beschwerde über ein Produkt wird zunächst korrigierend eingegriffen und dann präventiv geprüft, wie eine Wiederholung verhindert werden kann - ein Ansatz, der dem PDCA-Konzept sehr ähnlich ist (man plant Verbesserungsmaßnahmen, führt sie durch, überprüft ihre Wirksamkeit und sichert sie ab).

Ein wichtiger Mechanismus ist das umfassende Qualitätsmanagementsystem, bei dem auf allen Ebenen Feedback eingeholt wird. So werden beispielsweise während der Produktion die Chargen von Arzneimitteln kontinuierlich geprüft (in-line oder anhand von Proben im Labor). Wenn eine Qualitätsmessung außerhalb der Spezifikation liegt, beginnt ein ganzes Verfahren der Analyse und Verbesserung. Dies kann zu Anpassungen des Prozesses, zusätzlichen Schulungen für die Mitarbeiter oder sogar zu Änderungen am Produktdesign führen. Die Forschung zeigt, dass in der Pharma- und Gesundheitsbranche noch mehr Nachdruck auf kontinuierliche Verbesserung gelegt werden muss, um komplexe Probleme zu bewältigen - dazu gehört die Verstärkung der regelmäßigen Qualitätssicherung durch Verbesserungstechniken, damit die Mitarbeiter sich strukturell mit Prozessproblemen befassen können und nicht mit einzelnen Personen. Mit anderen Worten: Die Kultivierung einer Kultur, in der jede Abweichung eine Chance zur Verbesserung darstellt, liegt in der DNA führender Pharmaunternehmen.

Konkrete Beispiele zeigen, wie wirksam dies sein kann. Pharmaunternehmen beispielsweise setzen Lean und Six Sigma ein, um ihre Prozesse kontinuierlich zu optimieren. Pfizer, eines der größten Pharmaunternehmen der Welt, startete Mitte der 2000er Jahre ein Verbesserungsprogramm, um die Durchlaufzeit bei der Produktion und dem Vertrieb des Cholesterinsenkers Lipitor drastisch zu verkürzen. Durch eine Wertstromanalyse und die Beseitigung von Engpässen gelang es dem Unternehmen, die Gesamtlieferzeit innerhalb von zwei Jahren um 75 % zu verkürzen. Dies bedeutete, dass die Patienten ihre Medikamente schneller erhielten und Pfizer effizienter arbeiten konnte - eine Win-Win-Situation durch kontinuierliche Verbesserung. Ein weiteres Beispiel ist die breite Einführung von prozessanalytischen Technologien und Echtzeitüberwachung in der Pharmaproduktion, so dass bei Abweichungen von Parametern sofort Anpassungen vorgenommen werden können. In der Vergangenheit wurden Qualitätsprobleme erst bei der Endkontrolle entdeckt; heute erfahren wir davon während des Prozesses und können sofort Maßnahmen ergreifen.

In der pharmazeutischen Industrie ist, wie in der Luftfahrt, die Sicherheit die treibende Kraft. Jeder Rückruf eines Medikaments oder jeder entdeckte Produktionsfehler löst einen umfassenden PDCA-Zyklus aus: von der Untersuchung (Planen, was zu verbessern ist), der Umsetzung von Korrekturmaßnahmen (Do), der Überprüfung durch Audits und zusätzliche Tests (Check) bis hin zur Anpassung von Standardverfahren und Schulungen (Act). Darüber hinaus führen die Apotheker regelmäßige Managementbewertungen ihrer Qualitätssysteme durch, bei denen Trends bei Abweichungen und Beschwerden analysiert und Verbesserungspläne erstellt werden. Dank dieses Ansatzes ist die Qualität von Arzneimitteln heute sehr gleichmäßig, und schwerwiegende Zwischenfälle bei der Herstellung sind relativ selten - und wenn sie doch einmal vorkommen, lernt die gesamte Branche daraus (durch gemeinsame Leitlinien, Aktualisierungen der Pharmakopöen usw.). Die kontinuierliche Verbesserung ist für die Sicherheit der Patienten buchstäblich lebenswichtig. Der Nebeneffekt: Besser funktionierende Systeme und Prozesse in Verbindung mit Effizienz führen dazu, dass man besser dasteht, statt nur Kosten zu haben.

Parallelen und Lehren für die Informationssicherheit

Die Beispiele aus der Luftfahrt und der Pharmazie zeigen, dass eine Kultur der Strukturverbesserung enorme Vorteile in Bezug auf Sicherheit und Wirksamkeit bietet. Und obwohl die Informationssicherheit ein anderer Bereich ist, sind die zugrunde liegenden Prinzipien sehr ähnlich. Einige wichtige Erkenntnisse und Parallelen:

  • Kultur und menschliches Verhalten: Sowohl beim CRM im Cockpit als auch bei der Qualitätskultur in der Pharmazie geht es darum, dass die Menschen sich frei fühlen, Probleme anzusprechen und zu lösen. In der Informationssicherheit ist es dasselbe: Eine offene Meldekultur für Sicherheitsvorfälle oder Beinahe-Vorfälle (z. B. ein Mitarbeiter, der fast auf einen Phishing-Link geklickt hätte, dies aber meldet) schafft Lernmöglichkeiten. Wenn Mitarbeiter Fehler aus Angst vor Sanktionen verschweigen, gehen diese wertvollen Check-Informationen verloren. Die Förderung der Zusammenarbeit zwischen Management, IT-Sicherheitspersonal und Endnutzern (so wie CRM die Teamarbeit zwischen Kapitän und Co-Pilot fördert) sorgt dafür, dass Signale rechtzeitig aufgegriffen werden und Verbesserungen allen bekannt werden. Auch Schulungen spielen eine Rolle: Regelmäßige Sicherheitsschulungen für Mitarbeiter und Übungen für IT-Teams (z. B. Notfallplanübungen) sind vergleichbar mit dem obligatorischen jährlichen CRM-Training für Piloten. Sie erhalten das Sicherheitsbewusstsein aufrecht und verbessern kontinuierlich ihre Fähigkeiten. Dies geht über eine jährliche Sensibilisierungsmaßnahme hinaus.
  • Verfahren und Checklisten: Die Informationssicherheit kann direkt vom “Checklistendenken” der Luftfahrt profitieren. Komplexe IT-Prozesse - man denke an die Einführung neuer Server oder die Reaktion auf einen Cybervorfall - eignen sich gut für standardisierte Checklisten, damit nichts übersehen wird. Zum Beispiel eine Checkliste für die Patch-Verwaltung (Plan: welche Patches, Do: Einsatz im Test, Check: Überwachung der Systeme, Act: Einsatz in der Produktion oder Rollback) oder ein Playbook für die Reaktion auf Vorfälle mit schrittweisen Aktionen. Wie bei Piloten verringern Checklisten die Wahrscheinlichkeit von Fehlern in stressigen Situationen. Noch wichtiger ist, dass diese Verfahren lebendig sind: Nach jedem “Flug” (sprich: nach jedem bedeutenden IT-Vorfall oder jeder Änderung) sollte bewertet werden, ob das Verfahren noch ausreichend ist oder angepasst werden muss. Ein solches Feedback ist vergleichbar mit der Aktualisierung einer Checkliste oder eines Handbuchs nach einem Beinahe-Unfall. Ein bekanntes Beispiel in der IT ist die Durchführung eines Postmortem nach jedem größeren Ausfall, bei dem untersucht wird, was schief gelaufen ist und wie man es in Zukunft verhindern kann - eine Praxis, die genau die Check/Act-Phase des PDCA verkörpert.
  • Technologie und vorbeugende Wartung: Das Prinzip des rechtzeitigen Austauschs von Komponenten zur Vermeidung von Unfällen findet seine Entsprechung in der Informationssicherheit. Hier geht es darum, veraltete Systeme oder Komponenten, die Schwachstellen aufweisen, rechtzeitig auszutauschen. So wie ein Flugzeug nach X Flugstunden gründlich überholt wird, muss ein Unternehmen zum Beispiel veraltete Software, die nicht mehr aktualisiert wird, aus der Produktion entfernen, bevor es zu einem Zwischenfall kommt. Patching bedeutet, dass abgenutzte" Software (Sicherheitslücken) ersetzt/repariert werden, bevor sie ausgenutzt werden. Auch Kapazitätsmanagement und Stresstests können als präventive Maßnahmen betrachtet werden: Sie verhindern “Metallermüdung” - in der IT-Sprache, dass Systeme unter Last abstürzen oder Protokolldateien volllaufen. Durch kontinuierliche Messungen (z. B. Schwachstellenscans, Penetrationstests, Leistungsüberwachung) erkennen Sie frühzeitig, wo Verschleißerscheinungen auftreten, und können Maßnahmen planen. Die Sicherheitsmarge, die in der Luftfahrt eingebaut wird (Ersetzen einer Komponente weit vor der Bruchgrenze), ist ein gutes Beispiel für die IT: Warten Sie nicht auf eine Datenpanne, sondern verbessern Sie sich auf der Grundlage kleiner Signale (z. B. ist eine Zunahme von Beinahe-Phishing-Vorfällen ein Signal, zusätzliche Schulungen durchzuführen, noch bevor jemand tatsächlich hereinfällt).
  • Regulierung und Normen als Katalysator: Sowohl in der Luftfahrt als auch in der Pharmazie spielt die Regulierung eine große Rolle bei der Erzwingung kontinuierlicher Verbesserungen - man denke nur an die obligatorische Meldung von Zwischenfällen an die Regulierungsbehörden oder die Einhaltung immer strengerer Normen. In der IT-Sicherheit sehen wir einen ähnlichen Trend bei Gesetzen und Vorschriften (AVG/GDPR, NIS2, ISO-Normen usw.). Die Lehre daraus ist jedoch, dass die Einhaltung von Vorschriften allein nicht ausreicht - sie muss auch inhaltlich unterstützt werden. Genauso wie eine Fluggesellschaft Checklisten nicht nur einführt, um der Luftfahrtbehörde zu genügen, sondern vor allem, um ihre eigenen Flüge sicher zu machen, sollte sich ein Unternehmen nicht nur nach ISO 27001 zertifizieren lassen, sondern vor allem den PDCA-Zyklus nutzen, um wirklich sicherer zu werden. Das eine muss das andere nicht ausschließen: Eine gute Regulierung kann die kontinuierliche Verbesserung vorantreiben, vorausgesetzt, die Organisationen beherzigen ihren Geist und nicht nur den Buchstaben.

Schließlich zeigt der Vergleich, dass Sicherheit und Schutz dynamische Ziele sind. Ob es darum geht, Flugzeugabstürze zu minimieren, Produktionsfehler bei Arzneimitteln zu vermeiden oder Cyberangriffe abzuwehren - Stillstand bedeutet Rückschritt. Kontinuierliche Verbesserung durch einen Zyklus wie PDCA bedeutet, jedes Ereignis, ob gut oder schlecht, zu nutzen, um klüger und stärker zu werden. Im Bereich der Informationssicherheit bedeutet das: weniger Vorfälle, schnellere Erkennung, geringere Auswirkungen und eine Organisation, die flexibel auf neue Bedrohungen reagieren kann. Der PDCA-Zyklus hilft, eine lernende Organisation zu schaffen: eine Organisation, die aus jedem Vorfall Lehren zieht und ihre Sicherheitsmaßnahmen entsprechend anpasst. Eine solche Organisation ist nicht nur auf dem Papier nachweislich konform, sondern vor allem in der Praxis widerstandsfähig - und darum geht es schließlich.