In den Medien, und nicht nur solchen, die über IT berichten, tauchen immer häufiger Nachrichten über groß angelegte Datenklau-Aktivitäten auf. Das ist keine schlechte Sache – die gestiegene Aufmerksamkeit für dieses Thema in der Öffentlichkeit sorgt dafür, dass sich die Leute vermehrt darüber Gedanken machen, welche Informationen sie mit Unternehmen jeglicher Art teilen und wie diese dort gesichert sind.
Ebenfalls in den Medien wurde in den letzten Wochen immer wieder über Geschäftsführer berichtet, die über eben solche Datenpannen gestolpert sind und ihren Job verloren haben. Wahrscheinlich gibt es viele solcher Fälle, besonders prominent sind allerdings Greff Steinhafel, CEO der US-Kette Target, und Katherine Archuleta, ehemalige Chefin des US-Büros für Personalmanagement. In beiden Fällen wurden Millionen von Kunden bzw. Mitarbeiterdaten entwendet. Und auch in Deutschland, Stichwort Bundestag, kommen immer mehr aufsehenerregende Fälle ans Licht. Medial ausgeschlachtete, personelle Folgen sind wohl nur eine Frage der Zeit.
Natürlich könnte man jetzt sagen, dass Steinhafel und Archuleta lediglich Opfer sind, die kaum für eine ganze Verkettung von Fehlern verantwortlich sein können. Sehr wohl waren sie als führende Kraft allerdings für die gesamtheitliche Sicherheit ihres Unternehmens verantwortlich – und sei es durch das Anleiern entsprechender Sicherheitsmaßnahmen. Wie auch immer, aufgrund der Tragweite der Einbrüche war der Abgang nach Bekanntwerden der Lücke wohl unabänderlich. Das ist das Problem bei Cybereinbrüchen: wenn ein Fall bekannt geworden ist, ist der Schaden bereits unabänderlich da. Es folgen die allgemeinen Schuldzuweisungen und Geschrei über das, war man hätte besser machen können. Und in den meisten Fällen gibt es eben den einen Looser, der alles auf sich nehmen muss. Im Rahmen dieser „Diskussionsrunden“ realisiert die Geschäftsführung oft sehr schnell, welch enormen Schaden die Cyberangriffe verursachen können. Rufschädigung, finanzielle Belastungen, juristische Folgen oder sogar Schadenersatzforderungen – die Bandbreite ist weit gefächert. Entsprechend wird dann neben einem Notfallplan zu schnellen Reaktion nach einem Cybereinbruch außerdem gecheckt, ob auch wirklich alle notwendigen Sicherheitsmaßnahmen vorgenommen wurden. Und genau diese Schritte müssen Standard für jedes Unternehmen sein. Nicht nach einem Einbruch, sondern einfach so.
Solche Vorsichtsmaßnahmen sind heutzutage leider nicht mehr ganz so einfach wie früher. Immer komplexere Angriffe und hunderttausende neue Malware-Samples täglich sorgen dafür, dass die effektive Sicherheit eines Unternehmens immer anspruchsvoller wird. Da reichen die Grundregeln, zum Beispiel immer die neuesten Patches für benutzte Software zu installieren und das Antivirus auf dem neuesten Stand zu haben, bei weitem nicht mehr aus. Und selbst, wenn ein technologisch auf dem neuesten Stand befindliches System eingerichtet ist gibt es immer noch den Faktor „Mensch“. Umfragen zeigen, dass die besten Sicherheitssysteme von Mitarbeiter unterminiert werden, wenn diese nicht auch in puncto IT-Sicherheit geschult werden.
Was also sollen Geschäftsführung & Co. in einer Zeit tun, in der Daten und Informationen jeglicher Art immer attraktiver für Cyberkriminelle werden und die Attacken deshalb immer häufiger erfolgen? Ein einfach dahingeredetes „IT-Sicherheit hat für uns absolute Priorität“ nach einem Einbruch ist auf jeden Fall nicht der richtige Weg. Die Verantwortlichen müssen sich darüber bewusst sein, dass das IT-Sicherheit-Paket letztendlich immer in ihren Händen landet – und entsprechende Maßnahmen einleiten. Das ist gar nicht so schwer, wenn man vernünftig plant und vorbeugt.
Antwort hinterlassen