Ein System, das niemand mehr vollständig versteht, schützt nicht. Es beschäftigt.

Das klingt zunächst nach einer technischen Aussage. Es ist keine. Sie betrifft jedes Unternehmen, das IT-Infrastruktur betreibt – unabhängig von Branche und Größe.

Mehr ist nicht sicherer

In der IT-Infrastruktur hat sich eine Gleichung etabliert, die sich hartnäckig hält: mehr Werkzeuge bedeuten mehr Sicherheit. Mehr Schichten bedeuten mehr Schutz. Mehr Komplexität bedeutet, dass jemand gründlich nachgedacht hat.

Diese Gleichung ist falsch.

Jede zusätzliche Komponente in einem System ist zunächst eines: eine weitere Stelle, an der etwas schiefgehen kann. Eine weitere Abhängigkeit, die gepflegt werden muss. Eine weitere Konfiguration, die verstanden werden muss. Ein weiterer Angriffspunkt.

Das summiert sich – leise, über Jahre, durch viele kleine Entscheidungen, die jede für sich vernünftig waren. Das Ergebnis sind Systeme, die kein einzelner Mensch mehr vollständig überblickt. In dem Moment, in dem etwas schiefgeht, ist genau dieses Verständnis das Einzige, was zählt.

Wenn gut gemeinte Regeln das Gegenteil bewirken

Ein konkretes Beispiel, das nahezu jedes Unternehmen kennt: die Pflicht zum regelmäßigen Passwortwechsel. Alle 90 Tage ein neues Passwort, möglichst mit Großbuchstaben, Sonderzeichen, Zahlen – je komplexer, desto sicherer. So lautete jahrzehntelang die Empfehlung.

Das Ergebnis in der Praxis: Sommer2024!, Herbst2024!, Winter2025!. Passwörter, die jede Komplexitätsregel erfüllen und trotzdem trivial zu erraten sind. Die Regel hat nicht Sicherheit erzeugt. Sie hat Kreativität in die falsche Richtung gelenkt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Erkenntnis inzwischen offiziell in seine Empfehlungen übernommen: Regelmäßige Passwortwechsel führen erfahrungsgemäß dazu, dass zunehmend schwächere Passwörter genutzt werden. [1] Das amerikanische National Institute of Standards and Technology (NIST) ist in seinen aktuellen Richtlinien SP 800-63B zum selben Schluss gekommen und empfiehlt, auf erzwungene Passwortwechsel zu verzichten. [2]

Eine Sicherheitsregel, die zu unsicherem Verhalten zwingt, ist keine Sicherheitsregel. Sie ist Komplexität, die sich als Sicherheit verkleidet.

Das Werkzeug, das am lautesten schreit

Es gibt ein einfaches Erkennungsmerkmal für überkomplexe Systeme: Sie melden sich ständig zu Wort. Warnungen, Statusmeldungen, Alerts – ein kontinuierlicher Strom, der suggeriert, dass intensiv gearbeitet wird.

Was dieser Lärm tatsächlich erzeugt, ist Gewöhnung. Wer täglich zwanzig Meldungen bekommt, von denen neunzehn irrelevant sind, hört irgendwann auf, die zwanzigste ernstzunehmen. Das ist kein menschliches Versagen. Das ist die vorhersehbare Reaktion auf ein schlecht kalibriertes System.

Ein System, das seinen Job still tut und sich erst dann meldet, wenn es wirklich relevant ist, erzeugt das Gegenteil: Aufmerksamkeit dort, wo sie gebraucht wird.

Was in der Praxis funktioniert

Systeme, die sich als stabil und sicher erweisen, haben ein gemeinsames Merkmal: Man kann sie erklären. Vollständig, ohne vage zu werden.

Das setzt voraus, dass ihre Komponenten bekannt sind, ihr Verhalten dokumentiert ist und ihre Konfiguration offen vorliegt. Nicht das aktuell meistdiskutierte Werkzeug, das in zwei Jahren niemand mehr pflegt. Nicht die All-in-one-Plattform, die zwölf Funktionen hinter einer Oberfläche verbirgt. Sondern Werkzeuge, die seit Jahren im Einsatz sind, deren Verhalten vorhersehbar ist – und die das Problem lösen, für das sie da sind. Nicht mehr.

Das ist kein Konservatismus. Es ist eine Designentscheidung mit konkreten Konsequenzen: kürzere Reaktionszeiten im Fehlerfall, niedrigere Betriebskosten, ein Team, das tatsächlich weiß, was es betreibt.

Die eigentliche Frage

Bevor eine neue Komponente eingeführt wird, gibt es eine Frage, die gestellt werden sollte: Löst das ein Problem, das nicht bereits gelöst ist?

Wenn die Antwort „vielleicht", „irgendwann" oder „der Hersteller empfiehlt es" lautet, ist die Richtung klar.