Das IT-Grundschutz-Kompendium und die stille Verschiebung von Verantwortung

Das IT-Grundschutz-Kompendium wird gewöhnlich als ein technisches Referenzwerk gelesen. Als Sammlung von Anforderungen, als Katalog empfohlener Maßnahmen, als Ausdruck dessen, was unter Gesichtspunkten der Informationssicherheit „Stand der Technik“ sein soll. Diese Lesart ist korrekt, aber sie greift zu kurz. Denn sie verkennt, welche Funktion das Dokument im Alltag der Digitalisierung tatsächlich einnimmt.

Das Kompendium ist nicht nur Regelwerk, sondern Symptom. Und als Symptom verweist es auf eine tieferliegende Wahrnehmungsstörung innerhalb der digitalen Moderne.

Diese Störung entsteht aus der Gleichzeitigkeit zweier Sichtweisen, die selten offen benannt, aber permanent wirksam sind. Auf der einen Seite steht die normative Wahrnehmung: Sicherheit erscheint als etwas Planbares, Beschreibbares, prinzipiell Vorwegnehmbares. In dieser Perspektive formuliert das Kompendium ein Soll, an dem sich Organisationen orientieren können. Es verspricht Ordnung in einer komplexen technischen Welt und bietet eine Sprache, die anschlussfähig ist an Management, Regulierung und Prüfung. Sicherheit wird als Eigenschaft von Systemen und Prozessen verstanden, die sich durch richtige Gestaltung erreichen lässt – und damit als etwas, für das sich Zuständigkeit grundsätzlich eindeutig festlegen ließe.

Parallel dazu existiert jedoch eine zweite Wahrnehmung, die weniger offiziell, aber umso erfahrungsnäher ist. In ihr erscheint das IT-Grundschutz-Kompendium nicht als Bauplan, sondern als nachträglicher Kommentar. Die beschriebenen Maßnahmen lesen sich wie Reaktionen auf bekannte Muster des Scheiterns: fehlende Trennung, unklare Zuständigkeiten, mangelhafte Dokumentation, fragile Betriebsmodelle. In dieser Lesart beschreibt das Kompendium nicht, wie sichere IT entsteht, sondern was regelmäßig passiert, wenn Sicherheit beim Entwerfen, Implementieren und Betreiben keine Rolle gespielt hat – oder zumindest nicht als eigene Verantwortung verankert war.

Das eigentliche Problem liegt nicht darin, dass diese beiden Sichtweisen existieren. Problematisch ist, dass sie gleichzeitig gelten, ohne sich zu berühren. Das Kompendium wird präventiv verstanden und reaktiv genutzt. Es wird als Gestaltungsinstrument beschrieben und als Korrektiv eingesetzt. Diese Spannung bleibt meist unausgesprochen, weil beide Perspektiven für sich genommen plausibel sind. Genau darin liegt die Wahrnehmungsstörung: Die Akteure in der Digitalisierung sprechen über Sicherheit, ohne sich darüber einig zu sein, in welchem Moment – und an welcher Stelle – sie eigentlich verbindlich entstehen soll.

Diese Verschiebung ist kein Zufall, sondern Ergebnis der Art und Weise, wie digitale Systeme heute entstehen. IT wird iterativ entwickelt, unter ökonomischem und zeitlichem Druck, entlang von Projektlogiken, die Funktionalität und Geschwindigkeit priorisieren. Architekturentscheidungen fallen früh, oft implizit, selten unter expliziter Berücksichtigung von Sicherheit. Der Betrieb optimiert Stabilität und Verfügbarkeit, nicht strukturelle Robustheit. Sicherheit wird in diesem Prozess nicht ignoriert, aber ausgelagert. Sie erscheint als etwas, das später ergänzt, geprüft oder eingefordert werden kann – und damit auch als etwas, das zunächst nicht eindeutig jemandem zugeordnet ist.

In diesem Kontext tritt das IT-Grundschutz-Kompendium auf den Plan. Es fungiert als Referenz, wenn Systeme bereits existieren, Prozesse etabliert sind und Abhängigkeiten gewachsen sind. Seine Maßnahmen wirken dann wie Reparaturen an einer Architektur, die für andere Zwecke entworfen wurde. Das Dokument wird dadurch zum Spiegel der digitalen Realität: Es macht sichtbar, was fehlt, weil es vorher nicht mitgedacht wurde – und zugleich, dass Verantwortung für diese Lücken erst im Nachhinein präzisiert wird.

Gerade die konsensfähige Wahrnehmung des Kompendiums als neutraler Standard trägt dazu bei, diese Dynamik zu stabilisieren. Sie erlaubt es, Sicherheit als formales Thema zu behandeln, ohne die zugrunde liegenden Entstehungslogiken der IT infrage zu stellen. Das Dokument darf nicht als Fehlerprotokoll gelesen werden, weil es sonst seine Rolle als objektiver Maßstab verlieren würde. So bleibt die strukturelle Ursache unsichtbar, während die Symptome systematisch verwaltet werden – und Verantwortung entlang des Weges schrittweise weitergereicht wird.

Die Wahrnehmungsstörung innerhalb der Digitalisierung zeigt sich genau hier: Sicherheit wird allzu oft als selbstverständlich vorausgesetzt, aber nicht als originärer Bestandteil von Gestaltung verstanden. Sie erscheint als nachträgliche Qualität, nicht als konstitutives Element. Das IT-Grundschutz-Kompendium wird dadurch zugleich unverzichtbar und überfordert. Es soll ausgleichen, was an anderer Stelle entschieden wurde, ohne diese Entscheidungen selbst noch einmal zu verorten.

In dieser Perspektive ist das Kompendium weniger Anleitung als Diagnose. Es beschreibt nicht nur, was getan werden sollte, sondern dokumentiert, was regelmäßig unterbleibt. Seine eigentliche Aussagekraft liegt nicht in den einzelnen Maßnahmen, sondern in der schieren Menge dessen, was abgesichert werden muss, weil es zuvor nicht Teil der Entwurfslogik war – und weil Zuständigkeiten erst dort verbindlich werden, wo Mängel sichtbar sind.

Die entscheidende Frage lautet daher nicht, ob das IT-Grundschutz-Kompendium richtig verstanden wird. Die entscheidende Frage ist, warum die Digitalisierung Sicherheit erst dann systematisch thematisiert, wenn sie bereits fehlt. Solange diese Wahrnehmungsstörung besteht, wird das Kompendium weiter zwischen Leitplanke und Reparaturkatalog oszillieren – und zugleich anzeigen, wie Verantwortung still im Prozess der Digitalisierung verschoben wird.

Wenn Sie Fragen zur Infomationssicherheit in Ihrer Organisation haben, dann sprechen Sie uns bitte an und nutzen dazu unser Kontaktformular: