Whitepaper NIS2-Check EN

Fachbeitrag

Was mich 15 Jahre Enterprise-Security über Compliance gelehrt haben

NF Nick Falshaw· 10. Feb. 2026· 7 Min. Lesezeit
Enterprise Security-ComplianceCompliance-Audit-LektionenISO 27001 Audit
Ein Weg aus Enterprise-Security-Erfahrung, der in einem Schild mündet

Vor fünfzehn Jahren begann meine Laufbahn im Bereich Enterprise-Security-Compliance. Seither habe ich Hunderte von Assessments durchgeführt – TISAX für Automobilzulieferer, PCI-DSS für Händler, ISO 27001 für Hersteller, NIS2-Readiness für alle.

Auf diesem Weg habe ich Lektionen gelernt, die in keinem Framework und in keinem Zertifizierungsleitfaden stehen. Lektionen darüber, was wirklich zählt, was nicht, und warum manche Unternehmen mühelos durch Audits kommen, während andere trotz vergleichbarer Sicherheitsinvestitionen kämpfen.

Das sind die Wahrheiten, die mir am Anfang jemand hätte sagen sollen. Sie bilden das Fundament dafür, wie ich Enterprise-Security-Compliance heute angehe – und warum ich schließlich Werkzeuge gebaut habe, um genau die Probleme zu lösen, die mir immer wieder begegnet sind.

Lektion 1: Dokumentation schlägt Technologie

Die kontraintuitivste Lektion: Unternehmen mit hervorragender Sicherheit scheitern häufig an Audits, während Unternehmen mit mittelmäßiger Sicherheit sie bestehen. Der Unterschied? Die Dokumentation.

Ich habe Palo-Alto-bestückte SOCs erlebt, die TISAX-Assessments nicht bestanden, weil sie keine Änderungsnachweise vorlegen konnten. Und ich habe Unternehmen mit einfachen pfSense-Firewalls gesehen, die ISO 27001 bestanden, weil jede Entscheidung dokumentiert, begründet und nachvollziehbar war.

Auditoren können nicht beurteilen, was sie nicht sehen. Ihre Sicherheit mag exzellent sein – aber wenn Sie sie nicht mit Nachweisen belegen können, fallen Sie durch. Laut den Vorgaben des BSI sind Audit-Nachweise ebenso wichtig wie die Maßnahmen selbst.

Das bedeutet nicht Dokumentation statt Substanz. Es bedeutet Dokumentation von Substanz. Bauen Sie gute Sicherheit auf UND dokumentieren Sie sie. Das eine ohne das andere zu tun, scheitert.

Lektion 2: Compliance ist eine Untergrenze, keine Obergrenze

Zu Beginn meiner Laufbahn dachte ich, Compliance bedeute Sicherheit. Audit bestanden, also sicher. Audit nicht bestanden, also unsicher.

Die Erfahrung hat mich eines Besseren belehrt. Compliance-Frameworks definieren akzeptable Mindeststandards. Sie zu erfüllen macht Sie compliant, nicht sicher. Viele Organisationen, die von einem Sicherheitsvorfall betroffen waren, waren zum Zeitpunkt der Kompromittierung vollständig compliant.

Enterprise-Security-Compliance sollte der Ausgangspunkt sein, nicht das Ziel. Die besten Organisationen, mit denen ich gearbeitet habe, betrachten Frameworks als Fundament, auf dem man aufbaut, nicht als Checklisten, die man abhakt.

Umgekehrt erzeugt das Streben nach Compliance ohne ein Verständnis von Sicherheit ein gefährliches, trügerisches Sicherheitsgefühl. Sie können jedes Kästchen abhaken und dennoch verwundbar sein. Die Threat-Landscape-Berichte der ENISA sind voll von compliant gewesenen Organisationen, die dennoch kompromittiert wurden.

Lektion 3: Prozesse vor Produkten

Sicherheitsanbieter verkaufen Produkte. Compliance-Frameworks verlangen Prozesse. Die Lücke dazwischen verursacht die meisten Fehlschläge.

Ich habe Unternehmen erlebt, die jedes Sicherheitswerkzeug aus dem Gartner Magic Quadrant gekauft haben und trotzdem an Audits scheiterten. Werkzeuge ohne Prozess sind nur teure Ausrüstung. Prozesse mit einfachen Werkzeugen bestehen oft.

Ein SIEM für 50.000 €, das niemand überwacht, ist weniger wert als ein Log-Aggregator für 5.000 € mit definierten Review-Verfahren. Das Werkzeug spielt keine Rolle, wenn der Prozess nicht existiert.

Enterprise-Security-Compliance-Assessments konzentrieren sich auf Prozessnachweise: Wie erkennen Sie Bedrohungen? Was passiert, wenn Sie eine erkennen? Wer ist verantwortlich? Woher wissen Sie, dass es funktioniert? Produkte unterstützen diese Prozesse, ersetzen sie aber nicht.

Lektion 4: Kontinuierlich schlägt jährlich

Das traditionelle Compliance-Modell: hektische Vorbereitung auf das jährliche Audit, bestehen, Sicherheit elf Monate lang ignorieren, wiederholen. Dieses Modell stirbt aus.

Moderne Frameworks wie NIS2 setzen kontinuierliche Compliance voraus. Auditoren führen zunehmend unangekündigte Assessments durch. Meldepflichten für Vorfälle bedeuten, dass Sie Probleme nicht bis zum nächsten Audit-Zyklus verbergen können.

Organisationen, die Compliance in den täglichen Betrieb integrieren – Sicherheit als normale Arbeit, nicht als Sonderprojekt –, schneiden langfristig besser ab. Sie haben keine „Audit-Saison“, weil jeder Tag audit-bereit ist.

Kontinuierliche Enterprise-Security-Compliance ist zudem günstiger. Der Stress vor jährlichen Audits – Überstunden, Berater, Notfallmaßnahmen – entfällt, wenn Compliance kontinuierlich ist. Branchenstudien zufolge senkt kontinuierliche Compliance die gesamten Audit-Kosten laut Branchenforschung um 30 bis 40 Prozent.

Lektion 5: Der Mensch ist der Engpass

Technische Maßnahmen sind einfach. Menschen sind schwierig. Jedes gescheiterte Audit, das ich untersucht habe, ließ sich auf menschliche Faktoren zurückführen: Schulungslücken, unklare Verantwortlichkeiten, Prozessbrüche oder schlicht Fehler.

Der Techniker, der das Change-Management „nur dieses eine Mal“ umging. Der Manager, der ohne Prüfung freigab. Das Team, das vergaß, Notfalländerungen zu dokumentieren. Es sind Menschen, nicht Technologie, die Compliance-Fehlschläge verursachen.

Erfolgreiche Enterprise-Security-Compliance-Programme investieren massiv in Menschen: klare Rollendefinitionen, praxisnahe Schulungen, vernünftige Prozesse, die Menschen tatsächlich befolgen. Werkzeuge sollten Menschen unterstützen, nicht ihr Urteilsvermögen ersetzen.

Ich habe gelernt, für die menschliche Natur zu gestalten, nicht gegen sie. Ist ein Prozess umständlich, werden ihn die Menschen umgehen. Machen Sie das Richtige zugleich zum Einfachen.

Lektion 6: Risikobasiertes Denken gewinnt

Checklisten-Compliance – jede Anforderung gleich zu behandeln – verschwendet Ressourcen und übersieht reale Risiken. Die besten Sicherheitsprogramme sind risikobasiert: mehr Investition dort, wo das Risiko höher ist, weniger dort, wo es geringer ist.

ISO 27001 verlangt ausdrücklich einen risikobasierten Ansatz. NIS2 folgt demselben Prinzip. Auditoren erwarten, dass Sie erklären, WARUM Sie Maßnahmen umgesetzt haben, nicht nur DASS Sie sie umgesetzt haben.

„Wir haben diese Maßnahme umgesetzt, weil unsere Risikoanalyse die Bedrohung X für das Asset Y mit der Auswirkung Z identifiziert hat“ ist eine bestehende Antwort. „Wir haben diese Maßnahme umgesetzt, weil das Framework es vorschrieb“ ist es nicht.

Enterprise-Security-Compliance sollte aus der Risikoanalyse hervorgehen, nicht umgekehrt. Verstehen Sie zuerst Ihre Risiken, wählen Sie dann die Maßnahmen, die ihnen begegnen. Das Framework ist ein Werkzeug, kein Ersatz für eigenes Denken.

Lektion 7: Das Management gibt den Ton an

Sicherheitskultur kommt von oben. Wenn Führungskräfte Compliance als zu minimierenden Kostenfaktor behandeln, zieht die Organisation nach. Wenn Führungskräfte Sicherheit als Business-Enabler verstehen, geschieht Magisches.

Die erfolgreichsten Compliance-Programme, die ich gesehen habe, hatten ein sichtbares Sponsoring durch die Geschäftsleitung. Berichterstattung auf Vorstandsebene. Sicherheit als feststehender Tagesordnungspunkt. Budgets, die die erklärten Prioritäten widerspiegeln.

NIS2 macht dies mit seinen Haftungsbestimmungen für die Geschäftsleitung explizit. Doch das Prinzip galt schon immer: Enterprise-Security-Compliance steht und fällt mit dem Engagement des Managements.

Wenn Sie mit Ihrer Sicherheitskultur ringen, schauen Sie zuerst auf das Verhalten des Managements. Lebt es die Sicherheitspraktiken vor, die es von anderen erwartet? Stattet es Sicherheit angemessen mit Budget aus? Nimmt es Menschen in die Verantwortung?

Lektion 8: Perfekt ist der Feind von fertig

Ich habe Unternehmen erlebt, die Compliance-Initiativen jahrelang aufschoben, auf der Suche nach der „perfekten“ Lösung. In der Zwischenzeit blieben sie non-compliant und verwundbar.

Gut genug umgesetzt schlägt perfekt geplant. Eine heute eingeführte 80-Prozent-Lösung bietet mehr Sicherheit als eine 100-Prozent-Lösung, die noch im Gremium feststeckt.

Das heißt nicht, schlechte Sicherheit zu akzeptieren. Es heißt, pragmatisch zu priorisieren: zuerst die größten Risiken angehen, sich kontinuierlich verbessern, den Fortschritt nicht von Perfektion lähmen lassen.

Enterprise-Security-Compliance ist eine Reise, kein Ziel. Sie werden niemals „fertig“ sein. Akzeptieren Sie das, beginnen Sie dort, wo Sie stehen, und verbessern Sie systematisch.

Lektion 9: Anbieter sind nicht Ihre Freunde

Sicherheitsanbieter verkaufen Produkte. Ihr Ziel ist Umsatz, nicht Ihre Compliance. Die versprochene „Komplettlösung“ erfordert meist zusätzliche Käufe, Professional Services und laufende Abonnements.

Ich habe Unternehmen erlebt, die Werkzeuge kauften, die sie nicht brauchten, weil Anbieter sie als Compliance-Anforderung positionierten. Ich habe Budgets gesehen, die von Enterprise-Lösungen aufgezehrt wurden, wo Open-Source-Werkzeuge gereicht hätten.

Seien Sie skeptisch gegenüber Compliance-Versprechen von Anbietern. Verlangen Sie eine konkrete Zuordnung zu den Anforderungen. Verifizieren Sie sie mit unabhängigen Quellen. Der IT-Grundschutz-Katalog des BSI liefert herstellerneutrale Orientierung.

Diese Lektion hat meine eigene Produktentwicklung geprägt. Ich habe FwChange gebaut, um ein reales Problem zu lösen – preislich auf Mittelstandsbudgets zugeschnitten, ohne die Enterprise-Komplexität, die Kosten ohne Mehrwert erzeugt.

Lektion 10: Compliance sollte ein Nebenprodukt sein

Die besten Enterprise-Security-Compliance-Programme konzentrieren sich nicht auf Compliance. Sie konzentrieren sich auf gute Sicherheitspraktiken. Compliance wird zum Nebenprodukt einer gut gemachten Sicherheit.

Wenn Sicherheit fest im Betrieb verankert ist – risikoinformierte Entscheidungen, dokumentierte Änderungen, geschultes Personal, getestete Verfahren –, erzeugen sich Audit-Nachweise von selbst. Sie bereiten sich nicht auf Audits vor; Sie arbeiten schlicht sicher. Audits bestätigen nur, was ohnehin schon wahr ist.

Organisationen, die Compliance als Ziel verfolgen, erreichen oft weder Compliance noch Sicherheit. Organisationen, die echte Sicherheit anstreben, erreichen in der Regel beides.

Das ist die Synthese all dessen, was ich gelernt habe: Bauen Sie echte Sicherheit auf, dokumentieren Sie sie ordentlich, und Compliance folgt. Umgekehrt funktioniert es nicht.

Diese Lektionen anwenden

Nach 15 Jahren führe ich noch immer Assessments durch und helfe Organisationen, Compliance zu erreichen. Doch heute baue ich auch Werkzeuge, die diese Lektionen verkörpern.

FwChange existiert, weil Dokumentation automatisch geschehen sollte. Die FwChange Security Suite existiert, weil mittelständische Unternehmen Compliance-Werkzeuge verdienen, die keine Enterprise-Budgets erfordern.

Wenn Sie vor TISAX, NIS2, ISO 27001 oder einer anderen Enterprise-Security-Compliance-Herausforderung stehen, gelten diese Lektionen. Konzentrieren Sie sich auf Dokumentation. Bauen Sie Prozesse, nicht nur Produkte. Machen Sie Compliance kontinuierlich. Investieren Sie in Menschen. Denken Sie risikobasiert.

Und wenn Sie Unterstützung brauchen, melden Sie sich. Ich habe 15 Jahre damit verbracht, diese Lektionen zu lernen, damit Sie sie nicht auf die harte Tour lernen müssen.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Neuerer BeitragCISO-Leitfaden zur KI-gestützten Bedrohungserkennung