Alle Artikel

Sicherheitsstrategie Jul 2026 · 8 Min. Lesezeit

Sicherheitskontrollen, die das Audit bestehen und nichts bewirken

Eine mächtige, freistehende Tresortür allein auf einem offenen Feld, an der eine Person seitlich einfach vorbeigeht, als Bild für Sicherheit, die stark aussieht, aber nichts aufhält

Die Sicherheitskontrollen, die ein Audit bestehen und trotzdem nichts stoppen, teilen ein Merkmal: Der Prüfer bestätigt, dass sie existieren, nicht, dass sie funktionieren. Eine Kontrolle existiert, wenn es eine Richtlinie, einen Screenshot, ein Ticket oder eine unterschriebene Bestätigung gibt. Eine Kontrolle funktioniert, wenn sie verändert, was ein echter Angreifer tun kann. Das sind zwei verschiedene Fragen, und die meisten Audit-Programme stellen nur die erste. Die Wiederholungstäter, die ich in fast jeder Umgebung finde: das quartalsweise Access Review, das niemand liest, die Web Application Firewall im Log-only-Modus, die Phishing-Abschlussquote, die Firewall-Regel, die per Stempel statt per Review durchging, und der KI-„Guardrail“, der sich als reguläre Ausdrucksprüfung entpuppt. Jede liefert makellose Nachweise und blockiert nichts.

Woran erkennen Sie den Unterschied? Stellen Sie jeder Kontrolle im Register eine Frage: Welchen Angriff hat sie in den letzten zwölf Monaten gestoppt, und woher wüssten Sie das? Lautet die ehrliche Antwort „wir haben sie nie gegen das getestet, was sie verhindern soll“, dann sehen Sie Security-Theater mit einem Audit-Stempel darauf. Die Lösung sind nicht mehr Kontrollen. Es ist das Prüfen der Wirksamkeit von Kontrollen: nachweisen, dass jede unter Angriffsbedingungen ihre Aufgabe erfüllt, statt nur zu bestätigen, dass sie vorhanden ist.

Warum eine Kontrolle das Audit besteht und nichts stoppt

Audits prüfen Design und Existenz. Ein Prüfer bestätigt, dass eine Kontrolle dokumentiert, freigegeben und nachgewiesen ist, und stichprobt ein paar Datensätze, um zu sehen, dass sie lief. Das belegt, dass die Kontrolle vorhanden ist. Es sagt nichts darüber, ob sie gegen einen echten Gegner wirksam ist. Existenz und Wirksamkeit sind getrennte Eigenschaften, und die Lücke dazwischen ist genau die Stelle, an der Breaches passieren.

Ich habe das siebzehn Jahre lang erlebt, über Firewall-Umgebungen, ISO-27001-Programme und mehr als zweihundert Enterprise-Audits hinweg. Ein Unternehmen mit lückenlos nachgewiesenem Kontrollset scheitert im Vorfall, während ein weniger poliertes hält, weil das eine seine Kontrollen getestet und das andere Papier gesammelt hat. Compliance ist ein Mindestmaß, keine Obergrenze, und war nie dafür gedacht, Widerstand gegen Angreifer zu messen. Diesen Punkt habe ich ausführlich in was 15 Jahre Enterprise-Security-Compliance mich gelehrt haben gemacht: Das Audit zu bestehen und sicher zu sein, korrelieren bestenfalls, oft nicht einmal das.

Das quartalsweise Access Review, das niemand liest

Das Access Review besteht das Audit, weil es eine unterschriebene Tabelle mit Datum gibt. Es stoppt nichts, weil der Prüfer 400 Zeilen in acht Minuten freigegeben hat, ohne ein einziges Konto wiederzuerkennen. Stehende Zugriffe sind das größte stille Risiko in den meisten Umgebungen, und eine per Stempel abgezeichnete Rezertifizierung lässt jedes überprivilegierte und verwaiste Konto genau dort, wo es war, jetzt geschützt durch eine Compliance-Unterschrift.

Das verräterische Zeichen ist die Freigabequote. Zertifiziert eine Führungskraft Quartal für Quartal jeden Eintrag und entzieht keinen, dann prüft sie nicht, sie unterschreibt. Ein wirksames Review erzeugt Entzüge. Es markiert ruhende Konten, Service-Accounts, die niemandem gehören, und Rechte, die über die Rolle hinausgewachsen sind. Das ist derselbe Wildwuchs, den ich in Zugangsdaten sind tot, es lebe die kontinuierliche Verifizierung beschrieben habe: Zugriff, der lange nach dem Ablaufen seines Grundes bestehen bleibt. Testen Sie es, indem Sie dem Review einen bekannten Fehleintrag unterschieben, ein stillgelegtes Konto, eine bewusst zu weit gefasste Rolle, und messen, ob der Prüfer ihn erwischt. Tut er es nicht, ist die Kontrolle Dekoration.

Die WAF, die seit zwei Jahren im Log-only-Modus läuft

Die Web Application Firewall ist vorhanden, lizenziert und taucht im Architekturdiagramm auf, also besteht sie. Sie verteidigt nichts, weil sie seit dem Tag im Log-only- oder Erkennungsmodus steht, an dem jemand befürchtete, eine blockierende Regel könnte die Produktion brechen. Die Regeln greifen, die Alarme landen in einem Kanal, den niemand beobachtet, und keine Anfrage wird je tatsächlich gestoppt. Es ist ein Rauchmelder mit abgeklemmtem Lautsprecher.

Der Erkennungsmodus ist ein legitimer erster Schritt. Eine Kontrolle dauerhaft dort zu lassen ist keine Kontrolle, es ist eine Monitoring-Funktion, die Sie als Prävention verbuchen. Die Prüfung ist trivial und wird fast nie durchgeführt: Schicken Sie ein harmloses, aber unmissverständliches Angriffsmuster von außen an die WAF und sehen Sie, ob es blockiert oder nur geloggt wird. Erreicht die bösartige Anfrage den Origin mit einer 200-Antwort, ist die WAF auf dem Papier Prävention und in der Praxis Telemetrie. Befördern Sie die Regeln mit hoher Konfidenz auf Blockieren oder hören Sie auf zu behaupten, die Kontrolle verhindere irgendetwas.

Die Phishing-Abschlussquote

„96 % der Belegschaft haben die Security-Awareness-Schulung abgeschlossen“ ist die irreführendste Zahl in den meisten Sicherheitsberichten. Sie besteht das Audit mühelos, weil der Abschluss leicht nachzuweisen und das Ziel leicht zu erreichen ist. Sie korreliert mit nichts, was einen Angreifer interessiert. Ein Schulungsmodul abzuschließen misst Anwesenheit, nicht Widerstand. Die Frage, die zählt, ist, ob Menschen weiterhin klicken, und der Abschluss beantwortet sie nie.

Das Verhalten, das sie ändern soll, ist schnell und gnadenlos. Verizons Data Breach Investigations Report 2024 fand, dass die mediane Zeit bis zum Klick auf einen Phishing-Link weniger als eine Minute nach dem Öffnen der E-Mail betrug, und verortete den menschlichen Faktor in 68 % der Breaches. Die Abschlussquote verschiebt keine dieser Zahlen. Was es tut, ist gemessene Anfälligkeit: Führen Sie realistische Simulationen durch, verfolgen Sie die Klick- und Credential-Eingabequote pro Team über die Zeit und handeln Sie nach dem Trend. Eine Abschlussquote, die nur steigt, während Ihre Klickrate unbekannt ist, ist eine Vanity-Kennzahl im Kostüm einer Kontrolle.

Die Firewall-Regel, die per Stempel „geprüft“ wurde

Firewall-Change-Control besteht das Audit auf Basis des Tickets: eine Anfrage, ein Freigeber, ein Zeitstempel. Als Kontrolle scheitert sie, wenn der Freigeber die Regel nie geöffnet hat. Über 280-plus Migrationen hinweg ist das Muster unerbittlich, das Review-Feld ist ausgefüllt, und die Regel darunter ist ein any-any, übrig aus einem Projekt von 2019, ein verdeckter Permit oder ein Pfad zu einem stillgelegten Host. Das Papier ist tadellos. Das Regelwerk ist ein Risiko.

Ein echtes Review ändert Regeln. Es entfernt, was verdeckt ist, verschärft, was zu weit gefasst ist, und lässt auslaufen, was keinen Eigentümer hat. Erzeugt Ihr Change-Prozess Freigaben, aber nie Ablehnungen oder Reduzierungen, ist er eine Formalität, keine Kontrolle. Testen Sie ihn so, wie ich Kundenumgebungen teste: Schleusen Sie eine bewusst schlechte Änderungsanfrage ein, eine zu freizügige Regel mit plausibler Begründung, in die normale Warteschlange und messen Sie, ob der Freigeber sie stoppt. Ein Prozess, der eine bekannt schlechte Regel durchwinkt, wird auch die versehentlichen durchwinken. Das ist die Automatisierungslücke, auf die ich in Security Consulting ROI: 7 Kennzahlen für den Vorstand immer wieder zurückkomme: Der Wert liegt in den Regeln, die Sie verhindern, nicht in den Tickets, die Sie schließen.

Der KI-„Guardrail“, der ein Regex ist

Der neueste Eintrag im Theaterkatalog. Ein KI-Feature geht mit einem „Safety Guardrail“ live, der einen Prüfer zufriedenstellt, weil das Wort Guardrail im Design-Dokument steht. Sieht man genauer hin, ist der Guardrail eine Keyword-Blockliste oder ein einzelner regulärer Ausdruck, der die Ausgabe auf ein paar verbotene Zeichenketten prüft. Gegen eine entschlossene Prompt Injection hält er etwa eine kreative Umformulierung lang. Er existiert als Kontrolle und widersteht nichts.

Regex-Filter und Blocklisten haben ihren Platz in der Defense in Depth, aber präsentiert als die Kontrolle für ein System, das reale Aktionen ausführt, sind sie die Log-only-WAF der KI-Ära. Die Fehlermodi sind dokumentiert: Die, die ich am häufigsten finde, habe ich in den OWASP LLM Top 10 für 2026 abgebildet, und der Grund, warum ein naiver Filter nicht damit fertigwird, ist dasselbe Confused-Deputy-Problem, das die Netzwerksicherheit vor Jahrzehnten gelöst hat. KI-Risiko ist inzwischen auch messbar. Wie ich in von CVSS zu ASR dargelegt habe, lässt sich einem Guardrail eine Attack-Success-Rate zuweisen. Testen Sie den Guardrail gegen einen strukturierten Injection-Satz mit Pass/Fail-Kriterien, holen Sie sich eine Zahl und verteidigen Sie diese Zahl, statt dem Wort auf der Folie zu vertrauen.

Existenz versus Wirksamkeit: der Unterschied auf einen Blick

Das Muster ist bei allen dasselbe. Der Nachweis, den ein Prüfer akzeptiert, und der Test, der tatsächlich beweisen würde, dass die Kontrolle wirkt, sind zwei verschiedene Dinge.

Kontrolle Was das Audit besteht (Existenz) Was sie tatsächlich prüft (Wirksamkeit)
Access-Rezertifizierung Unterschriebene Review-Tabelle mit Datum Untergeschobener Fehleintrag erkannt; Entzüge in jedem Zyklus
Web Application Firewall Produkt lizenziert und im Diagramm Live-Angriffsmuster blockiert, nicht nur geloggt, vor dem Origin
Security-Awareness-Schulung 96 % Abschlussquote Gemessene Klick- und Credential-Eingabequote fällt im Trend
Firewall-Change-Review Ticket mit Freigeber und Zeitstempel Eingeschleuste zu freizügige Regel abgelehnt; verdeckte Regeln entfernt
KI-Safety-Guardrail „Guardrail“ im Design-Dokument benannt Attack-Success-Rate gegen einen strukturierten Injection-Satz gemessen
Backup und Recovery Backup-Job meldet nächtlich „Erfolg“ Zeitgestützte Wiederherstellung eines echten Systems in einen bekannt guten Zustand

Jede linke Spalte ist trivial zu erzeugen und für einen Angreifer nicht wahrnehmbar. Jede rechte Spalte kostet echten Aufwand und ist das Einzige, was ein Ergebnis verändert.

Was stattdessen zu tun ist: Wirksamkeit prüfen, nicht Existenz

Hören Sie auf zu fragen, ob eine Kontrolle existiert, und fangen Sie an zu fragen, ob sie funktioniert. Wirksamkeitsprüfung von Kontrollen bedeutet, für jede Kontrolle, die zählt, den Angriff zu definieren, den sie stoppen soll, diesen Angriff unter sicheren Bedingungen durchzuführen und festzuhalten, ob die Kontrolle ihn gefangen hat. Das Ergebnis ist kein Haken in einem Kästchen. Es ist ein Pass oder Fail gegen eine benannte Bedrohung und eine Trendlinie, die Sie vor einem Vorstand verteidigen können.

Praktisch decken vier Schritte das meiste ab. Erstens: Schreiben Sie für jede Kontrolle im Register den einen Angriff auf, den sie stoppen soll, und das letzte Datum, an dem Sie das bewiesen haben. Leere Daten sind Ihr echtes Risikoregister. Zweitens: Wandeln Sie Vanity-Kennzahlen in Widerstandskennzahlen um, Klickrate statt Abschluss, Entzüge statt Reviews, blockierte Anfragen statt lizenzierter Produkte. Drittens: Red-Teamen Sie die Kontrollen, von denen Sie am meisten abhängen, schleusen Sie den schlechten Access-Eintrag ein, schicken Sie die bösartige Anfrage, reichen Sie die zu freizügige Regel ein und sehen Sie, was den Kontakt überlebt. Viertens: Machen Sie die Wirksamkeit zur berichteten Zahl. Ein Vorstand, der „Phishing-Klickrate von 14 % auf 4 % gesunken“ sieht, lernt etwas; einer, der „Schulung zu 96 % abgeschlossen“ sieht, wird grundlos beruhigt. Das ist dieselbe Disziplin hinter einem glaubwürdigen Virtual-CISO-Mandat und der pragmatischen Reihenfolge im Zero-Trust-Mittelstand-90-Tage-Plan: Priorisieren Sie die Kontrolle, die das meiste Risiko entfernt, beweisen Sie sie, und gehen Sie weiter.

Nichts davon ersetzt das Audit. Sie brauchen weiterhin das Compliance-Mindestmaß, und für regulierte Firmen unter Regimen wie NIS2 ist es nicht optional. Aber behandeln Sie das Zertifikat als den Anfang der Sicherheitsfrage, nicht als deren Antwort. Die Kontrollen, die ein Audit bestehen und nichts bewirken, sind genau deshalb gefährlich, weil das Papier allen ein sicheres Gefühl gibt. Testen Sie sie, und die stillen Fehler fangen an, Lärm zu machen, solange Sie noch etwas dagegen tun können.


Wenn Ihr Kontrollset auf dem Papier stark aussieht und Sie wissen wollen, welche Teile einen Angreifer tatsächlich überstehen würden, fragen Sie ein Review an. Ich übernehme Wirksamkeits- und KI-Security-Assessments, verankert in über 17 Jahren Enterprise-Cybersecurity. Siehe auch FwChange.com für Firewall-Change-Automatisierung.

Kontrollen, die das Audit bestehen, aber nie unter Angriff getestet wurden?

Wirksamkeitsprüfung über Ihre Access Reviews, Firewalls, WAF, Awareness-Programm und KI-Guardrails.

Kontroll-Review anfragen