Compliance vs. Sicherheit: Warum das nicht dasselbe ist

Es gibt einen Satz, den wir bei jeder Erstberatung sagen, und mit dem wir Widerspruch oder Zustimmung sofort sichtbar machen:

Compliance misst Dokumentation. Sicherheit misst Realität.

Wer zustimmt, weiß meist schon, warum er uns angerufen hat. Wer widerspricht, hat in den nächsten Stunden einen interessanten Lernweg vor sich. Dieser Artikel erklärt den Unterschied, warum er praktisch relevant ist und wie man verhindert, dass das eine das andere ersetzt.

Die beiden Begriffe sind nicht austauschbar

Compliance ist die nachweisbare Einhaltung dokumentierter Regeln. Regeln können aus Gesetzen kommen (NIS2, KRITIS-DachG, DSGVO), aus Normen (ISO 27001), aus internen Vorgaben (ISMS-Richtlinien) oder aus Verträgen (Lieferantenanforderungen). Der typische Compliance-Prüfprozess: Auditor liest Dokument, fragt nach Nachweisen, hakt ab, schreibt Bericht. Output: Zertifikat, Audit-Bericht, Aufrechterhaltung des Status.

Sicherheit ist die Fähigkeit eines Betriebs, im konkreten Schadensfall die richtigen Dinge zu tun. Sicherheit hat eine messbare Wirkung: Wie schnell wird ein Angriff erkannt? Wie schnell wird darauf reagiert? Wie groß ist der Schaden, der eintritt, bevor jemand handelt? Wie viele Menschen sind im Ernstfall geschützt?

Compliance ist ein Zustand auf Papier. Sicherheit ist ein Verhalten im Betrieb. Beides ist wichtig. Beides ist nicht dasselbe.

Drei Beispiele aus der Praxis

Damit das nicht abstrakt bleibt, drei Konstellationen, die wir in Begehungen immer wieder finden. Anonymisiert, aber typisch.

Beispiel 1: Das ISMS, das niemand kennt

Ein mittelständischer Industriebetrieb hatte ein vollständig dokumentiertes Informationssicherheits-Managementsystem nach ISO 27001. Drei Auditoren hatten in den letzten vier Jahren bestätigt, dass alles vorhanden ist. Bei der Begehung fragten wir die Werkstatt-Schichtleiter, ob sie wüssten, was zu tun ist, wenn ein Mitarbeiter einen verdächtigen USB-Stick findet. Drei von drei wussten es nicht. Im ISMS-Dokument war es geregelt, auf Seite 47.

Compliance-Aussage: Konform. Sicherheits-Aussage: Im Ernstfall wirkungslos.

Beispiel 2: Die Notfall-Übung, die nicht stattfand

Ein Logistikbetrieb hatte einen schriftlichen Notfallplan für Brandfall, Stromausfall und IT-Ausfall. Der Plan war jährlich aktualisiert, vom Sicherheitsbeauftragten unterschrieben, in der Geschäftsführung freigegeben. Bei unserer Frage, wann die letzte Übung stattgefunden hatte, kam zunächst Schweigen, dann die Aussage, das sei wohl drei oder vier Jahre her. Die Telefonnummern auf dem Notfallplan waren teilweise veraltet. Zwei Schlüsselpersonen waren inzwischen ausgeschieden.

Compliance-Aussage: Plan vorhanden, Konformitäts-Checkbox bedient. Sicherheits-Aussage: Plan im Ernstfall vermutlich nicht ausführbar.

Beispiel 3: Die Kamera, die niemand auswertet

In einem Industriebetrieb mit erhöhter Bedrohungslage waren 32 Kameras am Perimeter und in Innenzonen installiert. Aufzeichnung lief, Datenspeicher hielt nach Vorschrift 14 Tage. Wir fragten: Wer sieht sich die Aufnahmen an, wenn nichts passiert? Antwort: Niemand. Wenn was passiert? Bei einem Diebstahl vor sechs Wochen waren die Aufzeichnungen schon überschrieben, bevor jemand sie sich angesehen hatte.

Compliance-Aussage: Kamerasystem nach VdS installiert, Datenschutz-Konzept vorhanden. Sicherheits-Aussage: Kamera-Investition liefert null Schutzwirkung.

Warum Compliance allein nicht genügt

In allen drei Beispielen war Compliance gegeben. Drei externe Auditoren hatten das bestätigt. Trotzdem war die reale Schutzwirkung im Ernstfall nahe null. Die Gründe sind strukturell, nicht zufällig:

• Audits sind dokumentenzentriert. Was nicht im Dokument steht, fällt nicht auf.
• Audit-Termine sind angekündigt. Die geprüfte Praxis ist nicht die Praxis vom letzten Dienstagnachmittag.
• Auditoren sprechen primär mit Sicherheits-Funktionen. Die operativen Rollen, die im Ernstfall handeln müssen, kommen selten vor.
• Audits messen Vollständigkeit, nicht Wirkung. Ein Notfallplan ist konform, wenn er existiert. Ob er funktioniert, ist eine andere Frage.

Das ist keine Kritik an Audits, sie haben ihre Funktion. Es ist eine Beobachtung, dass Audits eine bestimmte Frage beantworten und eine andere Frage nicht.

Warum Sicherheit ohne Compliance auch nicht reicht

Der umgekehrte Fehler ist genauso häufig: Ein Betrieb verlässt sich auf “wir kennen unseren Laden”, verzichtet auf Dokumentation und scheitert bei der ersten behördlichen Anfrage. NIS2 und KRITIS-DachG verlangen nachweisbare Vorkehrungen. Was nicht dokumentiert ist, gilt im Compliance-Sinn als nicht vorhanden, auch wenn es im Alltag tadellos funktioniert.

Außerdem ist Dokumentation eine Voraussetzung für Skalierung. Was im Kopf des einen Senior-Mitarbeiters lebt, verlässt das Unternehmen, wenn diese Person ausscheidet. Dokumentation macht Sicherheit übertragbar.

Wie man beide Dimensionen messbar macht

Unsere praktische Empfehlung: Trennen Sie die beiden Messpunkte nicht weg, sondern führen Sie beide nebeneinander. Eine Reifegrad-Erhebung hat mindestens diese zwei Achsen:

• Compliance-Achse: Sind die geforderten Dokumente, Prozesse, Nachweise vorhanden?
• Wirkungs-Achse: Funktionieren sie in der Praxis?

Ein einfacher Test für die Wirkungs-Achse: Greifen Sie eine Regel aus dem ISMS heraus und prüfen Sie sie in der Schicht, in der Werkstatt, am Empfang. Nicht durch Dokumenten-Vorlage, sondern durch Frage an die Person, die die Regel umsetzen müsste. Stimmen die Antworten mit der Regel überein? Dann lebt die Regel. Stimmen sie nicht überein? Dann existiert sie nur auf Papier.

In unserer Plattform S3:Analytics trennen wir genau das: jeder Befund hat einen Compliance-Marker (Norm-Mapping) und einen Reifegrad-Marker (Wirkung gemessen). Sie sehen pro Kategorie, ob Compliance und Reifegrad zusammenpassen oder ob die Schere auseinandergeht.

Die kürzeste mögliche Zusammenfassung

Wenn Sie nur einen Satz aus diesem Artikel mitnehmen, dann diesen:

Bezahlen Sie für Audit-Berichte, wenn Sie Compliance-Nachweis brauchen. Bezahlen Sie für Schwachstellenanalysen, wenn Sie wissen wollen, ob Sie sicherer werden. Beides ist sinnvoll. Beides ist nicht dasselbe.

Wer das verwechselt, kauft Papier und verkauft Risiko.