Trügerische Sicherheit

Es wird wieder gehackt und gephisht, was das Zeug hält. Die "Cyber­attacken" sind auf der Risiko-Landkarte des World Economic Forum 2019 mittlerweile auf gleicher Stufe wie die Folgen von Klimawandel oder Naturkatastrophen. Kein Wunder ist das Thema Cybersecurity endlich vom Büro der Firewall-Administratoren in der obersten Chef­etage gelandet. Die Bussen-Drohungen seitens EU-DSGVO aus dem Vorjahr stecken zudem noch tief in den Knochen. Dass etwas getan werden muss, ist wohl bei jedem verantwortungsvollen Manager angekommen. Und es wird auch einiges investiert, damit das Gewissen beruhigt ist. Gemäss Gartner sollen im Jahr 2018 12,4 Prozent mehr in die Sicherheit der IT-Infrastrukturen gesteckt worden sein. In diesem Jahr sollen es nochmals 9 Prozent mehr sein. Dass der Ernst der Lage erkannt wird, mag wohl niemand mehr zu bezweifeln.

Es hat sich zwischenzeitlich auch in den meisten Organisationen herumgesprochen, dass sich trotz all der raffinierten Abwehrsysteme und Anti­viren­lösungen immer noch hartnäckig eine sehr grosse Schwachstelle hält: der Mensch. Dieser sorglose Mitarbeiter, der Dateien von Unbekannten öffnet oder gar direkt einen Link aufruft und nicht realisiert, dass er sich und dem Unternehmen gerade einen Trojaner oder einen Wurm eingefangen hat. Dieser Mitarbeiter ist auch etwas unberechen­barer als die Technik, die Netzwerke oder Mailserver. Man kann ihn nur mit klaren Sicherheitsrichtlinien darauf hinweisen, sich vorsichtig zu verhalten und mantra-mässig an das Sicherheitsbewusstsein appellieren.

Innerhalb eines Unternehmens gibt es jedoch noch ein viel schwächeres Glied in der Sicherheitskette als der unachtsame Mitarbeiter: das Topmanagement. Dieses ignoriert vielfach die Bedrohungen durch Hacker und hat oft das Gefühl, dass alle selbstauferlegten Sicherheitsvorgaben im Unternehmen nichts mit der eigenen Position zu tun haben und nur für alle anderen Mitarbeiter gelten. Doch gerade ihre Sonderstellung mit privilegiertem Zugang zu Unternehmensdaten und -geheimnissen macht die Führungsetage besonders attraktiv für Cyber­kriminelle. Die perfiden Hacker streuen nicht mehr flächendeckend virenverseuchte Mails, sondern attackieren gezielt die Manager und ihr Umfeld. Dass sich diese an allen Sicherheitsvorschriften vorbei Daten auf die unterschiedlichsten BYOD-Geräte oder Cloud-Systeme hochladen und sich aus allen Winkeln der Erde in fremde Netzwerke einwählen, um an die Informationen zu gelangen, macht es professionellen ­Hackern dann oft leicht. "Walk the talk" wäre hier eigentlich angebracht. Viel lieber vertraut sich der Manager selbst am meisten und führt das Unternehmen und sich damit in eine trügerische Sicherheit.