Ein Computerarbeitsplatz in einem Raum voller alter Kabel und Rechner
IT-Security Sustainability & Awareness

Schuld und SYNE – Alte Sünden in der IT-Sicherheit und wie wir sie überwinden

Von Lesezeit 4 Min. 38 Aufrufe

Am 17. September 2025 habe ich auf der Digital Xchange 2025 in Gummersbach meinen Vortrag „Schuld und SYNE“ gehalten. Darin habe ich gezeigt, wie sich alte Sünden in der IT-Sicherheit – technische Schulden in der System- und Netzwerksicherheit – über Jahre aufbauen und welche psychologischen Mechanismen dafür sorgen, dass sie bestehen bleiben.

Der Titel „Schuld und SYNE“ hat übrigens einen doppelten Hintergrund: In unserer Firma wird die Richtlinie zur System- und Netzwerksicherheit mit SYNE abgekürzt – diese Abkürzung inspirierte mich zu dem Titel, der bewusst an Dostojewskis Schuld und Sühne erinnert.

Das Echo des Publikums hat mir gezeigt: Wir alle kennen diese Probleme aus der Praxis. Schauen wir gemeinsam noch einmal genauer hin.
Zeichnung in schwarz-weiß: Ein Mensch trägt eine schwere Last

Alte Sünden in der IT-Sicherheit

Alles Vergangene war nicht vergangen, es lastete.

Wir stoßen in Audits und Architekturreviews regelmäßig auf dieselben Muster: zu weitgehende Benutzerrechte, fehlende Trennung zwischen Domänen und administrativen Konten, gewachsene Strukturen ohne klare Sicherheitsarchitektur. Meist waren diese Entscheidungen nicht böswillig, sondern das Ergebnis von Zeitdruck und pragmatischen Lösungen. Doch was einst schnelle Ergebnisse versprach, wird heute zum Risiko.

Genau diese Ambivalenz beschreibt Dostojewski in Schuld und Sühne: Raskolnikow begeht eine Tat, die er sich als „erlaubt“ rationalisiert. Organisationen tun Ähnliches, wenn sie Ausnahmen und Quickfixes rechtfertigen.
Ein Gerichtshammer als Zeichnung in schwarz-weiß

Technische Schulden sind auch psychologische Schulden

Wenn ich es für Recht halte, dann war es Recht.

Technische Schulden sind mehr als alte Software. Sie sind ein Geflecht aus gewachsenen Strukturen, veralteten Verfahren und fehlender Dokumentation. Niemand fühlt sich mehr verantwortlich.

In der Trauerarbeit spricht Chris Paul von „vagabundierender Schuld“ – Schuld, die keinen klaren Ort oder Adressaten hat. Genau das passiert auch in IT-Organisationen: Konten, Policies, Systeme hängen in der Luft, ohne klaren Owner. Das Ergebnis: Innovation wird blockiert, Kosten steigen und die Angriffsfläche wächst.

Die Psychologie liefert dafür Erklärungen. Leon Festinger beschrieb schon 1957 die „kognitive Dissonanz“: Wir wissen, dass etwas nicht stimmt, verdrängen es aber, weil Handeln unangenehm wäre. Neurowissenschaftliche Studien von McClure et al. zeigen, dass unser Gehirn kurzfristige Belohnungen – etwa ein erfolgreiches Release – stärker honoriert als langfristige Sicherheit. Kahneman erinnert uns daran, wie oft wir im „schnellen Denken“ bleiben und uns mit Ausreden beruhigen.

Chris Paul ergänzt: Schuld kann normativ sein (Verstoß gegen Regeln), instrumentell (Schuldzuweisung als Druckmittel) oder vagabundierend (niemand fühlt sich verantwortlich). Diese Mechanismen wirken auch in Unternehmen – und sie erklären, warum technische Schulden bleiben.
Eine Maus guckt aus einer Mülltonne hervor - Zeichnung in schwarz-weiß

Das Katz-und-Maus-Spiel vor Audits

Verbergen, immer verbergen das war sein Schicksal.

Wir kennen alle die Symptome: kurzfristig Ports schließen, Policies temporär ändern, Dokumentation kosmetisch aufbereiten. Statt Probleme zu lösen, werden sie geschminkt.

Wie Raskolnikow, der lügt und verschweigt, geraten Organisationen in ein Katz-und-Maus-Spiel: Verbergen statt Eingestehen. Doch Audit-Kosmetik beseitigt nicht das Problem, sie stabilisiert es.
Eine Bombe mit Zündschnur, die bald explodiert, Zeichnung schwarz-weiß

Die tickende Zeitbombe

Nicht die Schuld ist tödlich, sondern das Schweigen darüber.

Das Verdrängen funktioniert nicht ewig. Mit jeder weiteren Lücke wächst die Gefahr. Kumulative Risiken – von DSGVO-Verstößen über erhöhte Angriffsflächen bis zu Reputationsschäden – und dauerhafte Alarmbereitschaft führen zu Stress und Burnout im Team.

Chris Paul formuliert es treffend: „Unbearbeitete Schuld kann zerstörerisch wirken – nicht, weil sie existiert, sondern weil sie nicht ausgesprochen wird.“
Ein Pfeil der sich aus einem unübersichtlichen Knäuel den Weg nach oben bahnt als einfache Zeichnung in schwarz-weiß

Wege aus der Schuldenfalle

Im Bekenntnis liegt die Erlösung.

Der erste Schritt ist das Eingeständnis: Ja, wir haben Schulden. Genau wie Raskolnikows Geständnis ist es ein Wendepunkt. Dann gilt es, systematisch zu handeln:

  • Technisch: Rechte- und Rollenkonzepte (RBAC/ABAC) implementieren, administrative Ebenen trennen, Legacy-Komponenten priorisiert migrieren.
  • Organisational: Schuldenregister führen wie einen Bugtracker, Verantwortlichkeiten klar zuordnen, eine Kultur schaffen, in der man Schwächen offen ansprechen darf.

Ergänzend gilt: Schuld verliert ihre zerstörerische Macht, wenn sie Sprache bekommt. Wir brauchen Räume ohne Strafe, in denen technische Schulden offen benannt werden können. Transparenz und Struktur sind der Weg zur Sühne.
Eine Frau hebt eine Hantel in die Höhe und zeigt ihre Muskeln - einfache Zeichnung in schwarz-weiß

Von Schuld zur SYNE

Das Eingeständnis von Schuld ist nicht Schwäche,
sondern der Anfang von Stärke.

Schuld ist nicht Stillstand, sondern Ausgangspunkt. Wer sie anerkennt, kann Veränderung gestalten. Unternehmen, die hinschauen, gestalten eine sichere Zukunft – für sich und ihre Kunden.

Fazit

Technische Schulden sind kein rein technisches Problem, sondern Spiegel menschlicher Muster: Wir verdrängen, rechtfertigen und verschieben. Doch wer Schuld anerkennt, schafft die Grundlage für Veränderung. Mit Transparenz, klaren Verantwortlichkeiten und dem Mut, Schwächen offen anzusprechen, werden alte Sünden zum Ausgangspunkt für mehr Sicherheit und Stärke.

Von Schuld zur SYNE bedeutet: hinsehen, Verantwortung übernehmen und IT-Sicherheit als lebendigen Prozess begreifen – zum Schutz von Unternehmen, Mitarbeitenden und Kunden.

Quellen

  • Dostojewski, F. (1866). Schuld und Sühne
  • Festinger, L. (1957). A Theory of Cognitive Dissonance
  • McClure, S. M. et al. (2004). Science, 306(5695)
  • Kahneman, D. (2011). Thinking, Fast and Slow
  • Sapolsky, R. M. (2004). Why Zebras Don’t Get Ulcers
  • Paul, C. (2014). Schuld – Macht – Sinn
Foto: Torsten Jaeschke, OPITZ CONSULTING
Alle Beiträge von Torsten Jaeschke

Torsten Jaeschke ist seit über 20 Jahren in der IT-Branche tätig und hat langjährige Erfahrung in der Architektur und Entwicklung von IT-Lösungen. Schon früh hat er dabei aktiv Container- und Cloudtechnologien genutzt. Seit 2016 ist Torsten Jaeschke bei der OPITZ CONSULTING Deutschland GmbH beschäftigt und arbeitet daran flexible und sichere Lösungsarchitekturen für und mit Kunden zu entwickeln und damit verbundene Veränderungen professionell zu begleiten. Als Teil des Securityteams in der Division Systems kann er dabei seine Leidenschaften DevOps, Sicherheit und Change Facilitation miteinander verbinden und unterstützt Kunden und Mitarbeiter:innen dabei die damit verbundene Kultur, als auch Technologien zu verstehen und einzusetzen.

Ähnliche Posts

Schreibe einen Kommentar