Jedes 5. Unternehmen ohne IT-Sicherheitsstrategie hatte schon einen Komplettausfall durch einen IT-Sicherheitsvorfall!

Zwei deutsche Unternehmen aus dem IT-Sicherheitsbereich (Drivelock und techconsult) haben eine grossangelegte Umfrage unter deutschen Mittelständlern gemacht (10-1000 Mitarbeitende). Dabei sind ein paar spannende Ergebnisse herausgekommen.

Rund 2/3 der Unternehmen hatten bereits IT-Sicherheitsvorfälle und rund 1/5 der Unternehmen ohne IT-Sicherheitsstrategie hatten einen Arbeitsausfall des kompletten Unternehmens. Eine spannende Infografik zeigt auch, dass Unternehmen, die sich nicht explizit mit dem Thema IT-Sicherheit beschäftigen, viele Ausreden finden, warum sie es nicht tun. Die Gefährdung schätzen sie aber selbst genauso hoch ein, wie die Unternehmen, die sich damit beschäftigen.

Wenn die Erde schüttelt, ist es zu spät ein erdbebensicheres Haus zu bauen.

Noch vor wenigen Jahren hörten wir sehr oft die Aussage: "Wer hat denn schon Interesse an meinen Daten." Solche oder ähnliche Aussagen hören wir zwar weniger, aber wir hören sie immer noch. Es scheint tatsächlich, dass viele Unternehmen auch heute zuerst einen langen Prozess durchmachen, bis sie sich ausreichend mit dem Thema IT-Sicherheit beschäftigen. Im besten Fall findet die endgültige Sensibilisierung durch Erlebnisse von bekannten oder befreundeten Unternehmen statt, die einen der angesprochenen Totalausfälle hatten. Etwas schneller geht der Sensibilisierungsprozess, wenn es einen wichtigen Lieferanten oder Kunden trifft. Die letzte Variante ist dann eben, wenn die Erde bereits schüttelt und das Haus einstürzt. Danach muss eher darauf geachtet werden, dass IT-Sicherheit nicht überstürzt wird - zumindest wenn das Unternehmen überhaupt noch weiter existiert.

Jeder Ingenieur, der an einem neuen Fahrzeug mitentwickelt, weiss, dass die Sicherheit am Schluss unabhängig getestet wird!

Kein Autobauer würde auf die Idee kommen, ein neues Fahrzeug zu entwickeln (auch wenn es nur ein "Facelift" ist) und dann einfach mal auf den Markt zu bringen. Die Kunden (der Markt) werden schon zurückmelden, wenn ihnen die Sicherheit nicht genügt. Eine solche Einstellung, die in der IT leider immer noch weit verbreitet ist, wäre tödlich. Von Anfang an spielt die Sicherheit eine entscheidende Rolle. Zudem weiss jeder, dass Tricksen wenig bringt. Das Fahrzeug wird am Schluss unabhängig getestet. Beides ist wichtig: Die Berücksichtigung im Entwicklungsprozess und der anschliessende Test. In der IT ist das genauso. Sicherheit muss vom ersten Projektschritt bis am Schluss einen festen Platz haben. Selbst das ersetzt einen unabhängigen Test am Schluss aber nicht. Jetzt kommt noch eine entscheidende Bedingung, dass das funktionieren kann: Das zu erreichende Sicherheitslevel muss von Anfang an klar definiert sein. Nur so lassen sich verzögernde Diskussionen verhindern.

Sicherheit kann nicht verkauft werden - es kostet nur…

Auch wenn ich grundsätzlich anderer Meinung bin, kann ich die Aussage sehr gut nachvollziehen. Sicherheit ist ja ok, aber bitte nur ganz minimal, denn es kostet ja nur. Mehr Sicherheit bringt aber nicht mehr Geld. Kurzfristig betrachtet hat diese Einstellung einen hohen Wahrheitsgehalt. Dennoch möchte ich dazu auffordern, in verschiedene Branchen auf der Welt zu schauen. Nehmen wir Volvo als Automarke. Schon vor 30 Jahren galten Volvos als sichere Autos. Nicht nur, weil  man damals glaubte, ein sicheres Auto verhält sich bei einem Unfall am besten wie ein Panzer. Sondern auch, weil Volvo z.B. den 3 Punkt Sicherheitsgurt "erfunden" hat. Volvo konnte also durchaus Sicherheit verkaufen. Sicherheit im Auto wurde aber plötzlich so wichtig, dass sich alle Hersteller damit beschäftigten. Vermutlich wenden heute in der Autobranche alle Hersteller ähnliche Methoden an, um das Fahrzeug sicherer zu machen. Wenn wir Tests von NCAP lesen, dann erhalten wir das bestätigt. Im Jahr 2019 war unter den Klassenbesten kein Volvo. Dazu müssen wir dann schon ins Jahr 2017 zurückgehen. Dennoch glauben viele immer noch, dass Volvo besonders sichere Autos baut. Ist das ein Irrtum?

Die Vision von Volvo ist ein klares Statement: "Wir wollen die Anzahl der Menschen, die in einem neuen Volvo ums Leben kommen oder schwer verletzt werden, auf null reduzieren." (Quelle: volvocars.com)

Es ist sehr schwierig geworden Autos zu bauen, die bei Crashtests als Sieger erkoren werden. Das weiss auch Volvo. Mit seiner Vision muss der Hersteller aber nicht darüber diskutieren, ob ein Seitenairbag extra kostet, oder ob ein automatischer Bremsassistent auch in den kleinen Modellen erhältlich ist, usw. Mit anderen Worten: Bei demselben Crash mit derselben Geschwindigkeit kann auch ein Volvo nicht unbedingt besser schützen. Wenn der Crash aber gar nicht oder mit reduzierter Geschwindigkeit geschieht, macht das einen Unterschied. Je nach Betrachtungsweise trägt Volvo damit zurecht den Stempel eines sicheren Autos. Sicherheit kann folglich ein besonderes Merkmal sein. Sogar in einem Markt, in welchem das schwerer zu beweisen ist. Tesla, Renault und Subaru haben bei den Crashtests im 2019 besser abgeschnitten als Volvo. Aber bei Volvo geht es nicht nur um Crashtests, nicht nur um Marketing, es ist eine fest verankerte Philosophie. Übrigens: Wussten Sie, dass ein Volvo tendenziell teurer ist, als ein vergleichbarer BMW oder Mercedes?

Sicherheit kann sexy sein. Aber nur wenn es in der Philosophie und der Kultur verankert ist.

Das "Prinzip Volvo" funktioniert auch an anderen Orten. Geräte des Herstellers Apple werden als sicherer wahrgenommen als Produkte der Mitbewerber. Teilweise sicherlich zurecht. Vielleicht nicht mal, weil Apple schon immer die Sicherheit als solche explizit in der Kultur verankert hatte. Apple hatte durch Steve Jobs allerdings Perfektion verankert. Damit bekommt automatisch auch die Sicherheit einen höheren Stellenwert. Microsoft hat mit Windows seit Windows XP gewaltig aufgeholt, was Stabilität und Sicherheit angeht. Vielleicht ist es mittlerweile sicherer als MacOS (zumindest in bestimmten Bereichen). Es ist aber ein enormer Kampf für Microsoft, sich auf dem Markt entsprechend zu positionieren.

Wer nicht will, findet Ausreden. Wer es in der Kultur verankert, geht einen langen steinigen Weg.

Auch die IT kann nicht von heute auf morgen sicherer gemacht werden. Zu komplex ist das Thema und zu schnell entwickelt sich die IT weiter. Es ist tatsächlich ein langer Weg. Gerade deshalb ist es so wichtig, sein Ziel zu kennen, Anforderungen zu definieren und mit der Verankerung in der Kultur zu starten. Keiner würde doch die Strapazen eines Jakobsweges auf sich nehmen, wenn er oder sie das Ziel nicht kennt. Der internationale IT-Sicherheitsstandard ISO 27000 fordert übrigens genau diese Verankerung in der Kultur.

Die zu Beginn zitierte Studie zeigt es ganz klar auf. Wer IT-Sicherheit nicht systematisch anpackt, setzt sich einem sehr hohen Risiko aus, massive Schäden durch Cyber-Attacken zu erleiden. Zur Rechtfertigung werden Ausreden wie "Fehlendes Personal, Zeitaufwand zu hoch, zu hohe Kosten oder fehlender Überblick über Angebote" genannt.

Packen Sie es jetzt an. Vergessen Sie die Ausreden. Machen Sie es systematisch und nicht punktuell. Definieren Sie Anforderungen, verankern Sie Sicherheit in der Kultur und leben Sie es vor.

Informationen zum Autor
Sandro Müller
Autor: Sandro Müller
Seit 2007 bin ich als IT-Security Auditor für die Firma goSecurity tätig. Dadurch habe ich viel Erfahrung aus zahlreichen Audits, Penetration Tests und Beratungen. Eine besondere Spezialität sind meine auf die jeweiligen Kunden perfekt zugeschnittenen Konzepte und IT-Strategien. Mit grosser Leidenschaft denke ich mich dazu in die Geschäftsprozesse der jeweiligen Kunden ein. Am 1. Mai 2017 durfte ich die Geschäftsführung der Firma übernehmen. In dieser verantwortungsvollen Position führe ich das beste Security-Team der Welt. Zudem gebe ich gerne mein Wissen und meine Erfahrung weiter. Zum Beispiel bei einem Awarenesstraining, aber auch beim Kurs Information Security for CIO (IS4CIO). Täglich gebe ich mein Bestes für Sie als Kunden, für meine Mitarbeiter und für meine Firma.