Fehler zugeben ist kein Risiko. Es ist Security.

 „Fehlerkultur“ klingt in der IT schnell nach Buzzword – nach Workshops, Moderationskarten und viel Theorie.

In der Cybersecurity entscheidet eine offene Fehlerkultur allerdings darüber, ob ein kleines Missgeschick ein kurzer Lerneffekt bleibt – oder sich zum echten Sicherheitsvorfall auswächst.

Sicherheit funktioniert nicht nur über Tools, Policies und noch ein Dashboard in Neonfarben. Sie ist nur dann wirksam, wenn Menschen Probleme früh ansprechen, Unsicherheiten melden und auch mal sagen können: „Ich glaube, da habe ich Mist gebaut.“

Das ist kein Zeichen von Schwäche, sondern von Reife – und für Unternehmen ein ernstzunehmender Sicherheitsfaktor.

Warum das Thema in der IT so wichtig ist

IT-Systeme sind komplex. Cloud, Identitäten, Endgeräte, Schnittstellen, Berechtigungen ... In so einer Umgebung entstehen Fehler selten, weil jemand morgens aufgewacht ist und beschlossen hat, heute mal Chaos zu stiften.

Viel häufiger entstehen sie, weil Informationen fehlen, Abläufe unklar sind, Systeme zu kompliziert sind oder unter Zeitdruck Entscheidungen getroffen werden müssen.

Genau deshalb betonen Google SRE und Google Cloud seit Jahren den Wert von „blameless postmortems“: Nicht die Person steht im Mittelpunkt, sondern die Frage, welche Prozesse, Werkzeuge und Rahmenbedingungen zum Vorfall beigetragen haben.

Auch unsere Erfahung zeigt: Wenn stattdessen Schuldzuweisungen dominieren, werden Probleme eher versteckt als gemeldet.

Google beschreibt anhand der Auswertung tausender Postmortems, dass Ausfälle oft auf Änderungen an Software oder Konfigurationen zurückgehen. Zu den größten Ursachen gehören außerdem Schwächen im Entwicklungsprozess, komplexes Systemverhalten und mangelhafte Deployment-Planung.

Anders gesagt: Nicht „der eine Depp“ ist das Problem, sondern meist das Zusammenspiel aus Technik, Prozess und Komplexität.

Cybersecurity ist immer auch Menschensache

In vielen Unternehmen wird Sicherheit noch behandelt, als wäre sie vor allem eine technische Disziplin. Firewall hier, MFA dort, EDR überall – fertig. Aber wie NIST es formuliert: Gute Cybersecurity muss den menschlichen Faktor mitdenken.

Das Ziel ist, Entscheidungen zu verbessern, Menschen aktiv einzubinden und ein Umfeld zu schaffen, in dem sie sich in Sicherheitsfragen befähigt und eingebunden fühlen. Sicherheit soll also nicht nur in der Theorie funktionieren, sondern im echten Arbeitsalltag. 

Ein Regelwerk ist nur so stark wie die Kultur, in der es angewendet wird. Wenn Mitarbeitende Angst haben, für einen Fehlklick, eine Fehlkonfiguration oder eine späte Meldung öffentlich gegrillt zu werden, melden sie Vorfälle später.

Und spät ist in der Security nicht unbedingt ein Qualitätsmerkmal.

Die eigentliche Gefahr ist das Schweigen

Stell dir zwei Situationen vor.

Im ersten Fall merkt ein Admin, dass eine Berechtigung in Azure oder Microsoft 365 deutlich zu weit gefasst wurde. Er ist sich nicht sicher, ob das kritisch ist, und denkt: „Ich schaue später nochmal drauf, bevor ich jetzt unnötig Alarm mache.“ Aus später wird „zu spät“.

Im zweiten Fall meldet dieselbe Person sofort: „Da könnte etwas schieflaufen, bitte einmal gegenchecken.“ Es stellt sich heraus, dass es halb so wild war. Niemand schimpft. Niemand verdreht die Augen. Das Team sagt: Gut, dass du es angesprochen hast.

Welches Unternehmen ist am Ende sicherer? Genau.

AWS beschreibt das sehr konkret: In manchen Organisationen melden Mitarbeitende Sicherheitsprobleme nicht, weil sie Sanktionen fürchten, den Meldeweg nicht kennen oder Sorge haben, unnötig Aufwand auszulösen. Deshalb soll Führung ausdrücklich vermitteln, dass man lieber viele potenzielle Probleme gemeldet bekommt als gar keine.

AWS schreibt sogar sinngemäß: Für Entwickler ist es besser, eigene Fehler selbst einzugestehen, als darauf zu warten, dass Dritte das Problem öffentlich machen. 

An dieser Stelle wird Fehlerkultur vom „weichen Thema“ zum harten Sicherheitsfaktor.

Was eine gesunde Fehlerkultur in der IT ausmacht

Eine gute Fehlerkultur bedeutet: Wir unterscheiden sauber zwischen Verantwortung und Schuld.

 Schuld heißt: Wer war’s?

Verantwortung heißt: Wir schauen genau hin, dokumentieren sauber, verbessern Prozesse, schärfen Zuständigkeiten und setzen Maßnahmen um. 

Die erste Frage macht Menschen still. Die zweite macht Systeme besser. 

Eine starke IT-Kultur erkennt an, dass Menschen in komplexen Umgebungen nie fehlerfrei arbeiten werden. Also baut sie Prozesse so, dass Fehler früher auffallen, leichter gemeldet und schneller eingegrenzt werden können.

Google empfiehlt dafür unter anderem klar definierte Kriterien, wann ein Postmortem erstellt wird, eine sachliche Faktensammlung, Root-Cause-Analysen und konkrete Maßnahmen für die Zukunft.

Entscheidend ist dabei, dass die Analyse verständlich und nützlich für alle Beteiligten ist – nicht nur für Technikteams.

Warum das gerade für IT-Entscheider wichtig ist

Vielleicht denkst du jetzt: Klingt sinnvoll, aber ist das nicht vor allem ein Thema für operative Teams? Falsch gedacht.

Die Haltung zu Fehlern beginnt immer oben. Wenn Führungskräfte nur bei Erfolg sichtbar sind, aber bei Problemen sofort nach dem „Verursacher“ suchen, prägt das das ganze Unternehmen.

So entstehen genau die Verhaltensweisen, die man in der Security am wenigsten gebrauchen kann: Wegducken, Verzögern, Beschönigen, stilles Hoffen.

Eine offene Fehlerkultur dagegen schafft drei konkrete Effekte: Probleme werden früher gemeldet, Teams lernen schneller – und Systeme werden robuster. 

Auch NIST betont im Incident-Response-Leitfaden: Gute Reaktion reduziert Vorfälle und deren Auswirkungen – vorausgesetzt, Informationen werden offen geteilt.

Das klappt in der Praxis aber nur, wenn Menschen aktiv mitziehen und Informationen offen teilen. 

Ein paar typische IT-Fehler – und was kluge Teams daraus machen

• Ein versehentlich öffentlich erreichbarer Storage-Bucket.

• Eine falsch gesetzte Weiterleitungsregel.

• Ein zu großzügig vererbtes Admin-Recht.

• Ein Sicherheitsupdate, das zwar bekannt war, aber im Tagesgeschäft unterging.

• Ein verdächtiger Login, den jemand gesehen, aber nicht gemeldet hat, weil er „nicht nerven“ wollte.

All das sind keine exotischen Hollywood-Szenen. Das sind normale, menschliche, nachvollziehbare Situationen in komplexen IT-Umgebungen. Kluge Teams reagieren darauf nicht mit öffentlichem Pranger, sondern mit Fragen wie:

• Warum war das so leicht möglich?

   

• Wo hat Sichtbarkeit gefehlt?

   

• Welche Kontrolle war zu schwach?

   

• Welcher Prozess war zu unklar?

   

• Wo brauchte jemand mehr Kontext, bessere Dokumentation oder ein zweites Paar Augen?

So wird aus einem Fehler ein Upgrade fürs ganze System.

Was Unternehmen konkret tun können

Fehlerkultur entsteht nicht durch ein Poster im Flur oder einen Slack-Post mit „Wir leben Offenheit“. Sie entsteht durch wiederholtes Verhalten.

Hilfreich sind zum Beispiel feste, einfache Meldewege für Sicherheitsauffälligkeiten. Menschen müssen wissen, wohin sie sich wenden können – ohne Ratespiel und ohne Hürden. AWS empfiehlt genau das: klare Kanäle für Meldungen mit hoher Priorität und eine offene, unvoreingenommene Reaktion auf solche Hinweise. 

Ebenso wichtig ist die Nachbereitung von Vorfällen oder Beinahe-Vorfällen – ohne Blame-Game. Nicht nur bei großen Ausfällen, sondern auch bei kleineren Ereignissen.

Google empfiehlt Postmortems ausdrücklich auch für nicht-katastrophale Vorfälle, etwa bei manuellen Eingriffen, längeren Störungen oder Monitoring-Ausfällen. Das ist wichtig, weil Lernen nicht erst beim Totalschaden anfangen sollte.

Und dann ist da noch die Sprache. Schon kleine Unterschiede machen viel aus.
„Wer hat das freigegeben?“ erzeugt eine andere Stimmung als
„Welche Annahmen oder Rahmenbedingungen haben dazu geführt?“

Das klingt nach unbedeutender Nuance. Ist aber kulturell ein Unterschied wie Firewall versus Scheunentor.

Offenheit ist keine Kuschelkultur, sondern professionelle Reife

Im Security-Umfeld gibt es manchmal die Sorge, dass Offenheit Nachlässigkeit fördert. Das Gegenteil ist der Fall. Teams, die offen über Fehler sprechen können, arbeiten oft disziplinierter, weil sie aus Vorfällen systematisch lernen.

Sie dokumentieren besser, standardisieren sauberer und verbessern ihre Abläufe kontinuierlich. 

Eine gute Fehlerkultur sagt also nicht: „Fehler sind egal.“
Sie sagt: „Fehler sind Daten.“

Und mit Daten kann die IT bekanntlich arbeiten.

Mein Fazit

Ich bin überzeugt: Gute Cybersecurity beginnt nicht erst bei Technologie, sondern bei Vertrauen. Dort, wo Menschen Vorfälle früh ansprechen, Unsicherheiten offen benennen und Fehler ohne Angst zugeben können, wird IT verlässlicher, sicherer und menschlicher.

Die gefährlichsten Fehler in Unternehmen sind oft nicht die, die passieren. Sondern die, über die niemand spricht.

Wer also starke IT- und Security-Teams will, braucht mehr als Tools. Er braucht eine Kultur, in der Offenheit nicht bestraft, sondern genutzt wird.