Zurück zum BlogCompliance

Zertifiziert

aber ist es auch wirklich effektiv?

Stephan Brinkhuis

Stephan Brinkhuis

Autor

March 25, 2026

Veröffentlicht

Compliance

Aber ist es auch wirklich effektiv?

Als Compliance-Berater, externer CISO und Auditor besuche ich viele Organisationen. Große und kleine. Im Gesundheitswesen, bei Behörden, in der IT-Branche.

Und was mir auffällt: Es mangelt nicht an Managementsystemen — ganz im Gegenteil. Oft gibt es ein wunderschön gestaltetes ISMS, ein sauber zusammengestelltes Risikoregister und einen Ordner voller Richtliniendokumente. Das Zertifikat hängt an der Wand. Der Auditor war zufrieden.

Aber wenn ich dann frage: "Welche Risiken beschäftigen Sie wirklich?" — wird es still. Oder mir wird das Risikoregister vorgelesen. Wörtlich.

Dann stelle ich mir die Frage: Dieses System ist zertifizierbar, aber ist es auch wirklich effektiv?

Der Unterschied zwischen einem Zertifikat und einem effektiven System

Lassen Sie mich eines vorausschicken: Zertifizierung ist wertvoll. Sie zwingt Organisationen, über Struktur, Verantwortlichkeiten und Prozesse nachzudenken. Aber ein Zertifikat sagt etwas über die Gestaltung Ihres Systems aus — nicht über dessen tatsächliche Wirksamkeit.

In meiner Arbeit sehe ich grob drei Kategorien:

1. Das Papiersystem

Alles ist ordentlich dokumentiert. Richtlinien, Verfahren, Risikoanalysen — alles ist vorhanden. Aber es lebt nicht. Die Mitarbeiter kennen die Dokumente nicht. Die Führungskräfte steuern nicht anhand der Ergebnisse. Das System existiert *für* den Auditor, nicht *für* die Organisation.

2. Das Checkbox-System

Einen Schritt weiter. Hier werden Maßnahmen umgesetzt, aber hauptsächlich, weil es sein muss. Die Risikoanalyse ist eine Ausfüllübung. Das interne Audit eine Formalität. Es werden Häkchen gesetzt, nicht nachgedacht. Das System läuft, aber niemand prüft, ob es auch tatsächlich zu etwas führt.

3. Das lebende System

Hier wird es interessant. In diesen Organisationen ist das Managementsystem kein Selbstzweck, sondern ein Mittel. Risiken werden in Managementsitzungen besprochen — nicht als Punkt zum Abhaken, sondern weil es der Organisation tatsächlich hilft, bessere Entscheidungen zu treffen. Vorfälle führen zu echten Verbesserungen, nicht nur zur Aktualisierung eines Logbuchs.

Was macht den Unterschied?

Nach Jahren des Auditierens und Beratens erkenne ich mehrere Muster bei Organisationen, die es richtig machen:

1. Die Verantwortung liegt an der richtigen Stelle

Das Managementsystem gehört nicht "dem CISO" oder "dem Qualitätsmanager". Es gehört der Organisation. Das Managementteam fühlt sich als Eigentümer der Risiken und steuert aktiv die Maßnahmen. Nicht weil die Norm es verlangt, sondern weil sie verstehen, dass es ihre Organisation schützt.

In Organisationen, in denen es nicht funktioniert, ist das System oft an eine einzelne Person delegiert, die alles allein am Laufen hält. Wenn diese Person geht, bricht das Kartenhaus zusammen.

2. Risikomanagement ist ein Gespräch, keine Tabelle

Die besten Risikoanalysen, die ich gesehen habe, waren keine komplexen Excel-Tabellen mit Wahrscheinlichkeit-mal-Auswirkung-Matrizen. Es waren Gespräche. Mit den richtigen Personen am Tisch. In denen ehrlich darüber gesprochen wurde, was schiefgehen könnte und was das bedeuten würde.

Eine Risikoanalyse, die von einer Person am Schreibtisch ausgefüllt wird, verfehlt per Definition die Perspektive der Menschen, die täglich mit diesen Risiken zu tun haben.

3. Es wird wirklich aus Vorfällen gelernt

Jede Organisation hat Vorfälle. Der Unterschied liegt darin, was Sie damit machen. Bei effektiven Systemen sehe ich, dass Vorfälle zu grundlegenden Fragen führen: *Warum ist das passiert? Was sagt uns das über unsere Annahmen? Sollten wir unser Risikoprofil anpassen?*

Bei ineffektiven Systemen wird der Vorfall registriert, eine Korrekturmaßnahme notiert, und alle gehen zur Tagesordnung über. Bis zum nächsten Vorfall.

4. Das interne Audit ist ein Spiegel, kein Stempel

Das interne Audit ist vielleicht das am meisten unterschätzte Instrument in einem Managementsystem. Wenn es richtig durchgeführt wird, hält es der Organisation einen Spiegel vor. Es zeigt die Kluft zwischen dem, was Sie sagen zu tun, und dem, was Sie tatsächlich tun.

Aber zu oft ist das interne Audit ein Ritual. Die gleichen Fragen, die gleichen Antworten, die gleiche Schlussfolgerung: *"Das System funktioniert angemessen."* Während alle wissen, dass es Verbesserungspotenzial gibt.

5. Das System passt sich an

Die Welt verändert sich. Bedrohungen verändern sich. Vorschriften verändern sich. Ein effektives Managementsystem bewegt sich mit. Nicht reaktiv — *"oh, es gibt ein neues Gesetz, lass uns schnell etwas regeln"* — sondern proaktiv. Durch regelmäßige Bewertung, ob das System noch zu den tatsächlichen Risiken der Organisation passt.

Die Managementbewertung ist hier entscheidend. Nicht als jährliche Pflichtübung, sondern als Moment, in dem das Managementteam kritisch fragt: *Tut unser System, was es soll? Schützt es uns? Oder machen wir uns etwas vor?*

Warum das wichtig ist

Ich schreibe dies nicht, um Organisationen zu belehren. Ich schreibe dies, weil ich sehe, dass viele Organisationen enorm viel Zeit und Geld in Compliance investieren — und dann zu wenig Wert daraus ziehen.

Ein Managementsystem, das nur existiert, um das Zertifikat zu erhalten, ist eine verpasste Chance. Es kostet Zeit, es kostet Geld, und es verursacht Frustration bei Mitarbeitern, die das Gefühl haben, Papierkram zu erledigen, der zu nichts führt.

Aber ein Managementsystem, das wirklich funktioniert — das ist ein strategisches Instrument. Es hilft Ihnen, Risiken zu erkennen, die Sie sonst übersehen hätten. Es hilft Ihnen, bessere Entscheidungen zu treffen. Es gibt Ihnen das Vertrauen, dass Ihre Organisation auf das vorbereitet ist, was kommt.

Meine Herausforderung an Sie

Wenn Sie dies lesen und Ihre eigene Organisation in Kategorie 1 oder 2 wiedererkennen: Das ist keine Schande. Die meisten Organisationen fangen dort an. Die Frage ist, ob Sie bereit sind, den Schritt zu einem System zu machen, das wirklich funktioniert.

Fangen Sie klein an. Stellen Sie sich drei Fragen:

1.Kann Ihr Managementteam die Top-5-Risiken der Organisation benennen — ohne das Risikoregister zur Hand zu nehmen?
2.Hat Ihr letzter Vorfall zu einer echten Veränderung geführt, oder nur zu einer Registrierung?
3.Würde Ihr System weiter funktionieren, wenn die Person, die es verwaltet, morgen gehen würde?

Wenn Sie alle drei mit "Ja" beantworten können, sind Sie auf einem guten Weg. Wenn nicht — dann ist das der Ausgangspunkt für ein wertvolles Gespräch.

---

*Stephan Brinkhuis ist Compliance-Berater, externer CISO und externer Auditor. Er hilft Organisationen, Managementsysteme aufzubauen, die nicht nur zertifizierbar sind, sondern auch tatsächlich zur Risikominderung beitragen.*

Alle Artikel

Mehr über Compliance

Sichere digitale Zusammenarbeit zwischen Kommunen und Lieferanten

Sichere digitale Zusammenarbeit zwischen Kommunen und Lieferanten

March 19, 2026

EU AI Act August 2026: die wichtigsten Pflichten für Hochrisiko-KI-Systeme

EU AI Act August 2026: die wichtigsten Pflichten für Hochrisiko-KI-Systeme

March 11, 2026

Strategie auf dem Papier — aber funktioniert sie auch in der Praxis?

Strategie auf dem Papier — aber funktioniert sie auch in der Praxis?

March 3, 2026

Compliance im IT/SaaS-Sektor: von ISO 27001 bis KI-gesteuertem Management

Compliance im IT/SaaS-Sektor: von ISO 27001 bis KI-gesteuertem Management

February 23, 2026

uComply vs traditionelle GRC-Tools

uComply vs traditionelle GRC-Tools

February 17, 2026

Alle Artikel anzeigen

Alle Kategorien

ComplianceISO 27001ISO 9001ISO 14001NEN 7510BIO2NIS2AIISO/IEC 42001SecurityuComply Product

Bereit zum Starten?

Entdecken Sie, wie uComply Ihrer Organisation bei der Compliance helfen kann.

Demo buchen