Drei Schwachstellen, die in keinem Fragebogen auftauchen

Ein Fragebogen erfasst, was ein Unternehmen über sich selbst glaubt. Eine Begehung zeigt, was wirklich ist. Zwischen beidem liegt der Unterschied, der im Ernstfall zählt.

Wir füllen keine Self-Assessments aus und schicken sie dann an den Kunden zum Abhaken. Wir gehen durch den Betrieb. Und in fast jeder Begehung finden wir mindestens eine Lücke, die in keinem Fragebogen der Welt aufgetaucht wäre. Nicht weil die Fragen schlecht sind. Sondern weil niemand ankreuzen kann, was niemand weiß.

Drei Muster sehen wir immer wieder.

1. Die Tür, die offiziell zu ist

Im Konzept steht: Zugang gesichert, Zutritt nur für Befugte. Auf dem Papier stimmt das. Die Tür hat ein Schloss, es gibt eine Zutrittsregelung, jemand hat sie unterschrieben.

Vor Ort steht die Tür offen. Nicht aus Nachlässigkeit, sondern weil sie klemmt und der automatische Schließer seit Monaten defekt ist. Alle im Haus wissen das. Es hat nur nie jemand aufgeschrieben, weil es kein Formularfeld für “funktioniert in der Praxis nicht” gibt.

Diese Lücke ist im Self-Assessment unsichtbar. Die Frage lautet “Sind die Zugänge gesichert?”, und die ehrliche Antwort des Ausfüllenden ist “Ja, dafür haben wir gesorgt”. Beide haben recht. Trotzdem steht die Tür offen.

2. Das Notfallkonzept im Kopf einer einzigen Person

Viele Betriebe haben ein funktionierendes Notfallkonzept. Das Problem ist nur: Es funktioniert, weil eine bestimmte Person es im Kopf hat. Sie weiß, wen man anruft, wo der Hauptschalter sitzt, welcher Lieferant nachts erreichbar ist.

Im Fragebogen steht dann “Notfallprozesse vorhanden: ja”. Was nicht steht: Was passiert, wenn genau diese Person im Urlaub ist, kündigt oder im Ernstfall selbst betroffen ist. Ein Konzept, das nur in einem Kopf existiert, ist kein Konzept. Es ist ein Risiko mit Personalausweis.

Das sieht man nicht im Dokument. Das sieht man im Gespräch vor Ort, wenn man die zweite und dritte Person nach demselben Ablauf fragt und drei verschiedene Antworten bekommt.

3. Die Maßnahme, die als erledigt gilt, weil sie einmal beschafft wurde

Eine Kamera wurde gekauft und montiert. Häkchen. Eine Schulung wurde durchgeführt. Häkchen. Eine Richtlinie wurde verabschiedet. Häkchen.

Niemand prüft, ob die Kamera den richtigen Bereich filmt, ob die Aufnahmen jemand auswertet, ob die Schulung noch in den Köpfen ist oder ob die Richtlinie gelebt wird. Im Self-Assessment ist die Maßnahme grün. In der Realität ist sie ein gutes Gefühl ohne Wirkung.

Sicherheit ist kein Zustand, den man einmal herstellt. Sie ist ein Reifegrad, der steigt oder fällt. Genau deshalb hört unsere Arbeit nicht mit dem Maßnahmenplan auf. Wer den Stand fortlaufend misst, merkt, wenn eine erledigte Maßnahme wieder verfällt. Wer einmal abhakt, merkt es erst beim Vorfall.

Warum wir vor Ort gehen

Diese drei Muster haben eines gemeinsam. Sie entstehen nicht aus bösem Willen oder Schlamperei. Sie entstehen, weil die Selbstwahrnehmung eines Betriebs systematisch von seiner Realität abweicht. Das ist menschlich und vollkommen normal. Es ist auch der Grund, warum ein Außenblick wirkt, den die eigene Mannschaft nicht liefern kann.

Wir messen mit einem festen Kategorienraster, damit jede Begehung dieselbe Qualität hat und nichts vom Tagesform abhängt. Die Befunde übersetzen wir in einen priorisierten Maßnahmenplan, nicht in eine Liste von Paragrafen. Und wer danach wissen will, ob es wirklich besser wird, sieht es Monat für Monat.

Wenn Sie ahnen, dass Ihr Sicherheitsaufbau Lücken hat, die in keinem Ihrer Dokumente stehen, ist der schnellste erste Schritt der NIS2-Quick-Check für den Mittelstand. Oder Sie machen vorab die kostenlose Mini-Begehung als Selbstcheck und sehen selbst, wie weit Selbstwahrnehmung und Realität bei Ihnen auseinanderliegen.