← Zurück zum Blog
6 Min. Lesezeit

People, Process, Technology — und jetzt AI: Das Organisationsmodell der Sicherheit braucht ein Update

AIOrganisationsmodellPeople Process TechnologySecurity ManagementKIStrategie

Wer in den letzten 25 Jahren im Sicherheitsmanagement gearbeitet hat, kennt das Framework: People, Process, Technology (PPT). Es stammt aus den 1960er-Jahren, wurde von Harold Leavitt als Diamond Model für organisatorischen Wandel formuliert und hat sich seither als Standardmodell für die Strukturierung von Sicherheitsprogrammen etabliert — von der Informationssicherheit über Physical Security bis hin zu Business Continuity.

Die Prämisse ist einfach: Wirksame Sicherheit entsteht nur, wenn alle drei Dimensionen zusammenspielen. Die beste Technologie nützt nichts, wenn die Prozesse fehlen, sie zu betreiben. Die besten Prozesse scheitern, wenn die Menschen sie nicht verstehen oder umsetzen. Das war über Jahrzehnte eine valide und nützliche Vereinfachung.

Doch 2026 reicht diese Vereinfachung nicht mehr aus.

Warum PPT an seine Grenzen stößt

Das PPT-Modell unterstellt implizit, dass Technologie ein passives Werkzeug ist — ein Mittel, das Menschen über definierte Prozesse einsetzen. Eine Kamera überwacht. Ein Sensor meldet. Ein SIEM korreliert. Die Entscheidung liegt immer beim Menschen.

Künstliche Intelligenz durchbricht diese Logik fundamental. KI-Systeme sind keine passiven Werkzeuge. Sie analysieren, bewerten, priorisieren und handeln — zunehmend autonom. Ein KI-gestütztes SIEM entscheidet eigenständig, welche Alerts eskaliert werden und welche nicht. Eine KI-basierte Zutrittskontrolle erkennt Anomalien im Verhalten und sperrt Zugänge in Echtzeit. Ein KI-Agent im Security Operations Center triagiert Vorfälle schneller als jeder Analyst.

Das ist keine Technologie im klassischen Sinne mehr. Es ist ein eigenständiger Akteur im Sicherheitssystem.

AI als vierte Dimension

Die Erweiterung von PPT zu PPTA — People, Process, Technology, AI — ist kein Marketing-Trick. Sie ist konzeptionell notwendig, weil KI eine qualitativ andere Rolle einnimmt als traditionelle Technologie:

Technologie führt aus, was konfiguriert wurde. Eine Firewall blockiert nach Regeln. Eine Kamera nimmt auf, was vor der Linse passiert.

AI interpretiert, lernt und entscheidet. Sie generiert neue Erkenntnisse aus Daten, die kein Mensch in vertretbarer Zeit analysieren könnte. Und sie verändert ihr Verhalten auf Basis von Erfahrung — ohne explizite Neuprogrammierung.

Diese Unterscheidung hat konkrete Auswirkungen auf jede der drei klassischen Säulen:

Auswirkungen auf People

KI ersetzt keine Sicherheitsfachleute — aber sie verändert deren Rolle grundlegend. Der SOC-Analyst wird vom Alert-Bearbeiter zum Supervisor von KI-Agenten. Der Sicherheitsberater nutzt KI-gestützte Assessment-Tools, die in Minuten analysieren, was früher Tage dauerte. Der CISO muss verstehen, wie KI-Modelle Risiken bewerten — und wo deren blinde Flecken liegen.

Die benötigten Kompetenzen verschieben sich: weniger Routine-Monitoring, mehr kritisches Denken über KI-Outputs. Weniger manuelle Datenerfassung, mehr strategische Interpretation. Und eine neue, unbequeme Fähigkeit: die Fähigkeit, KI-Entscheidungen zu hinterfragen und zu korrigieren.

Praxistipp: Beginnen Sie damit, in jedem Sicherheitsprozess zu identifizieren, wo KI bereits Entscheidungen beeinflusst — auch wenn es nur die Priorisierung von Alerts ist. Klären Sie dann: Wer validiert diese Entscheidungen? Wer ist verantwortlich, wenn die KI falsch liegt?

Auswirkungen auf Process

Prozesse, die für menschliche Akteure designt wurden, funktionieren nicht für KI-Agenten. Ein Incident-Response-Prozess, der mit „Analyst bewertet den Alert" beginnt, muss neu gedacht werden, wenn die erste Bewertung bereits durch eine KI erfolgt.

Das betrifft elementare Fragen:

  • Eskalationslogik: Wann übernimmt ein Mensch die Entscheidung von der KI?
  • Nachvollziehbarkeit: Wie dokumentiert die KI ihre Entscheidungswege?
  • Fehlerbehandlung: Was passiert, wenn die KI systematisch falsch priorisiert?
  • Governance: Wer verantwortet das Training und die Konfiguration der KI-Modelle?

Organisationen, die KI einfach in bestehende Prozesse „einbauen", automatisieren im besten Fall Ineffizienz. Im schlechtesten Fall automatisieren sie Fehler — mit höherer Geschwindigkeit und größerer Reichweite.

Auswirkungen auf Technology

Paradoxerweise verändert KI auch die Technologie-Säule selbst. Traditionelle Sicherheitstechnologie war deterministisch: gleicher Input, gleicher Output. KI-basierte Systeme sind probabilistisch. Sie liefern Wahrscheinlichkeiten, keine Gewissheiten.

Das bedeutet: Die Integration von KI erfordert eine neue Schicht in der Technologie-Architektur — eine Governance-Schicht, die KI-Modelle überwacht, ihre Outputs validiert und ihre Performance misst. Die Branche nennt das AI Security Posture Management (AI-SPM) oder Model Monitoring. Es ist das Äquivalent zum Patch-Management, nur für Algorithmen statt Software.

Das PPTA-Framework in der Praxis

Wie sieht die praktische Anwendung aus? Ein Beispiel aus der Physical Security:

Klassisches PPT-Modell:

  • People: Wachpersonal patrouilliert das Gelände
  • Process: Rundgang alle 60 Minuten nach definierter Route
  • Technology: Kameras und Bewegungsmelder unterstützen die Überwachung

Erweitertes PPTA-Modell:

  • People: Sicherheitsfachkraft überwacht Dashboard und reagiert auf Eskalationen
  • Process: KI-gestützte Anomalieerkennung löst automatisierte Erst-Bewertung aus; menschliche Validierung bei konfidenz < 85%
  • Technology: Kameras, Sensoren, Zutrittskontrolle als Datenquellen
  • AI: Videoanalyse erkennt ungewöhnliches Verhalten, korreliert mit Zutrittsdaten und Schichtplänen, priorisiert Meldungen nach Risiko-Score

Der Unterschied ist nicht kosmetisch. Die KI verändert, wann Menschen eingreifen, worauf sie sich konzentrieren und wie Entscheidungen getroffen werden.

Was das für Sicherheitsverantwortliche bedeutet

Die Erweiterung des Organisationsmodells hat strategische Implikationen:

Budgetierung: KI ist nicht einfach ein Posten unter „Technologie". Sie erfordert eigene Investitionen in Training, Governance, Monitoring und — oft unterschätzt — in die Qualifizierung des Personals.

Risikobewertung: KI-Systeme selbst werden zum Risikoobjekt. Sie können manipuliert werden (Adversarial Attacks), sie können systematisch fehlerhafte Bewertungen liefern, und sie können — bei unzureichender Governance — regulatorische Verstöße verursachen.

Compliance: Der EU AI Act, NIS2 und kommende Regulierungen stellen explizite Anforderungen an den Einsatz von KI in sicherheitskritischen Bereichen. Organisationen, die KI stillschweigend unter „Technologie" subsumieren, übersehen diese Anforderungen.

Organisationsstruktur: Wer ist verantwortlich für KI im Sicherheitsprogramm? In vielen Organisationen fehlt diese Zuständigkeit. KI ist weder rein IT noch rein Security — sie ist eine Querschnittsfunktion, die eigene Governance braucht.

Kein Entweder-oder

Es geht nicht darum, PPT zu verwerfen. Das Framework bleibt nützlich als Denkgerüst. Aber es muss erweitert werden, um der Realität gerecht zu werden, in der KI nicht nur ein besseres Werkzeug ist, sondern ein eigenständiger Faktor, der das Zusammenspiel aller anderen Dimensionen verändert.

Organisationen, die diese Erweiterung frühzeitig vornehmen, werden besser in der Lage sein, KI wirksam und verantwortungsvoll in ihre Sicherheitsprogramme zu integrieren. Organisationen, die KI weiterhin nur als Technologie-Upgrade betrachten, werden die blinden Flecken erst bemerken, wenn es zu spät ist.

Fazit: Von drei Säulen zu vier

Das PPT-Modell war das richtige Framework für eine Welt, in der Technologie ein Werkzeug war. In einer Welt, in der KI ein Akteur ist, brauchen wir PPTA:

  • People — mit neuen Kompetenzen für die Zusammenarbeit mit KI
  • Process — mit Governance-Mechanismen für autonome Systeme
  • Technology — als Infrastruktur und Datenquelle
  • AI — als eigenständige Dimension mit eigenen Risiken, eigener Governance und eigenem Wertbeitrag

Die Frage ist nicht, ob Ihre Organisation diesen Wandel vollziehen wird. Die Frage ist, ob Sie ihn gestalten — oder von ihm überrollt werden.

Sie wollen KI systematisch in Ihr Sicherheitsprogramm integrieren? Siegel Resilience unterstützt Sie bei der Entwicklung von Governance-Strukturen, Risikobewertungen und Organisationsmodellen, die der neuen Realität gerecht werden — unabhängig, pragmatisch und normkonform. Kontakt aufnehmen →

Teilen: