Cybersicherheit sei darin ungewöhnlich, wie schnell Fachleute sich spezialisieren könnten, argumentiert Simon. In vielen Berufen stehe zunächst eine breite Grundausbildung: Man lerne, wie das System funktioniert, bevor man sich auf einen Teil konzentriere. Als Vergleich nennt er die Medizin, in der man erst Arzt werde und dann spezialisierter Chirurg. In der Sicherheit laufe es oft umgekehrt – Menschen wechselten direkt in eng gefasste Rollen wie Cloud-Sicherheit, Detection Engineering, Forensik oder Identitäts- und Zugriffsmanagement, ohne viel Berührung mit dem größeren Zusammenhang. So entstünden Teams, die in ihrer Domäne hochkompetent, vom Gesamtrisikobild aber abgekoppelt seien.
Die Folge sei eine fehlende durchgängige Sicht. Wer nur einen Ausschnitt der Umgebung sehe, könne schwerer beurteilen, wie sich Bedrohungen bewegten, wie Kontrollen zusammenwirkten oder warum bestimmte Risiken schwerer wögen als andere. Risiko werde dann nicht mehr ganzheitlich verstanden, sondern nur noch durch die enge Linse der eigenen Rolle. An diesem Punkt brächen viele Sicherheitsgespräche zusammen: Ein Problem werde angesprochen, aber nicht mit der tatsächlichen Funktionsweise der Organisation verknüpft – und klinge deshalb abstrakt.
Ein weiteres wiederkehrendes Muster sei, dass sich Sicherheitsentscheidungen um Produkte statt um Prozesse drehten. Gefragt, warum ein Werkzeug nötig sei, verwiesen Teams auf Funktionen oder Branchentrends statt auf das konkrete Risiko, das es im Unternehmen adressiere. Lasse sich ein Tool nicht auf das organisatorische Risiko zurückführen, sei meist das zugrunde liegende Problem nicht klar definiert. Sicherheit werde dann gekauft statt gestaltet.
Ein funktionierendes Sicherheitsprogramm beginne beim Geschäft, so Simon: Warum existiert die Organisation, welcher Auftrag wird verfolgt, welche Systeme und Daten sind dafür unverzichtbar? Ohne klare Antworten lasse sich nicht bestimmen, was tatsächlich geschützt werden müsse. Angreifer verstünden das gut – um ein Unternehmen zu stören, müssten sie identifizieren, was am wichtigsten sei. Verteidigern ohne diese Klarheit bleibe nur das Reagieren auf Alarme und Schwachstellen ohne Prioritätsgefühl. Grundlagenwissen ermögliche es, vom Auftrag über die Werte zum Risiko zu denken statt vom Werkzeug über den Alarm zur Behebung.
Viele Sicherheitsversagen ließen sich auf einen einfachen Punkt zurückführen: Teams wüssten nicht, wie der Normalzustand in ihrer eigenen Umgebung aussehe. Erkennung werde schwierig, wenn erwartetes Verhalten kaum verstanden sei; die Reaktion verlangsame sich, wenn grundlegende Fragen zu Systemen, Nutzern und Datenflüssen nicht schnell beantwortet werden könnten. Das sei kein Werkzeug-, sondern ein Vertrautheitsproblem. Erst die Kenntnis der eigenen Systeme und Netze lasse Anomalien hervortreten. Überspringe man diese Arbeit, müsse das Verständnis während eines Vorfalls aufgebaut werden – wenn der Druck am höchsten und Fehler am teuersten seien.
Moderne Cybersicherheit hänge von Spezialisierung ab, und das werde sich nicht ändern, schließt Simon. Ändern müsse sich die Annahme, dass Spezialisierung allein genüge. Grundfertigkeiten schüfen den gemeinsamen Kontext, der oft fehle, wenn Programme abdrifteten, sich Tools stapelten oder Vorfälle ins Stocken gerieten. Simon kündigt an, im Mai den Kurs SEC401: Security Essentials – Network, Endpoint, and Cloud bei der SANS Security West 2026 zu halten.
