Einige Leser werden sich noch an die Cartoon-Serie mit „Road Runner“ und „Wile E. Coyote“ erinnern. Die Clips sind simpel und laufen eigentlich immer nach dem gleichen Muster ab: Der Kojote versucht mit allen möglichen Tricks und selbst gebastelten Maschinen den schnell laufenden Vogel Road Runner zu fangen. Das geht eigentlich immer schief und der Kojote hat das Nachsehen.

Diese lustigen Clips ließen sich prima in die digitale Welt von heute übertragen. Einziger Unterschied: Der Road Runner wäre ein Hacker und der Kojote die IT-Security-Firma oder eine Behörde für Datenschutz. Das Ergebnis hingegen könnte ähnlich aussehen. Die Firma oder Behörde möchte den Hacker fangen, kommt aber vielfach einen Schritt zu spät. Das Ergebnis: Der Hacker ist weg und die Organisation hat den Schaden.

 

Den Wettlauf werden viele auch aus dem volkstümlich überlieferte Märchen „Der Hase und der Igel“ kennen. Bei einer zufälligen Begegnung macht sich der Hase über die krummen Beine des Igels lustig, woraufhin ihn dieser zu einem Wettrennen herausfordert. Doch der Igel ist clever und läuft nach dem Start nur ein paar Schritte. Am Ende der Ackerfurche hat er seine zum Verwechseln ähnlich aussehende Igel-Frau platziert. Als der siegesgewisse Hase heranstürmt, erhebt sich die Frau des Igels und ruft ihm zu: „Ich bin schon hier!“. Der Hase versteht die Welt nicht mehr und verlangt Revanche. Beim 74. Rennen bricht er erschöpft zusammen und stirbt.


Das Thema steht bei vielen Organisationen oben auf der Prioritätenliste, wie auch die jüngste Umfrage auf dem Kompetenzportal RISKNET zu den primären Themen der Risikomanager für das Jahr 2018 verdeutlicht. Fast vierzig Prozent der 240 teilnehmenden Unternehmensvertreter gaben an, dass für sie das Cyberrisiko und damit die Informationssicherheit zum Topthema zählen. Wen wundert es, wenn der aktuelle „Global Risks Report“ des Weltwirtschaftsforums zu dem Ergebnis kommt, dass sich Cyberangriffe auf Unternehmen in fünf Jahren fast verdoppelt hätten.

Nun glauben nicht wenige Vertreter von Unternehmen, dass sie dieses Malheur mithilfe von Sicherheits-Software beheben können. Doch weit gefehlt. Denn die beste Firewall, der neuste Virenscanner und das umfangreichste Risikomanagement-Tool taugen nichts, wenn der eigene Mitarbeiter sich nicht an Regeln hält. Wer beispielsweise als Risikomanagementverantwortlicher meint, er könne mit einer Riskmap alle Risiken des Unternehmens – und damit auch die IT-Sicherheit – abbilden und überwachen, der irrt. Das schwache Signal, das von einem potenziellen Innentäter ausgeht, der sabotieren oder Daten stehlen möchte, lässt sich so sicher nicht unterbinden.

 

In diesem Kontext schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Es ist nur dann möglich, Informationssicherheit innerhalb einer Institution erfolgreich und effizient zu verwirklichen, wenn alle Mitarbeiter erkennen und akzeptieren, dass sie ein bedeutender und notwendiger Faktor für den Erfolg der Institution ist und wenn sie bereit sind, Sicherheitsmaßnahmen wirkungsvoll zu unterstützen.“ Und das BSI folgert: „Hierfür müssen eine Sicherheitskultur und ein Sicherheitsbewusstsein (Awareness) aufgebaut und gepflegt werden.“

 

Und genau das ist das richtige Stichwort: Unternehmen benötigen eine über die komplette Organisation funktionierende Risikokultur. Risikomanagement muss in einer Organisation akzeptiert und gelebt werden. Und eine solche Kultur wächst nicht auf den Bäumen und die kann man auch nicht einfach kaufen. Das heißt, Unternehmen und ihr Topmanagement müssen solch einen Prozess initiieren, begleiten und überwachen. Andernfalls droht ein weiterer Wettlauf gegen Hacker und Cybergefahren, bei dem viele Firmen das Nachsehen haben. Road Runner und Wile E. Coyote und Hase und Igel lassen grüßen.

 

Autor:

Frank Romeike, geschäftsführender Gesellschafter RiskNET GmbH

 

Quellen:

www.zurich.de/de-de/ueber-uns/presse/aktuell/aktuelle-veroeffentlichungen/2018/12-global-risks-report

www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01013.html

 

 

Quelle: unsplash.com/@sunlifter