Das Wort “man” ist ein seltsames Konstrukt. Es bezieht sich auf ein gesichtsloses Subjekt, ein Repräsentant einer schwer greifbaren Masse. Kein Wunder, dass das “man” schon per-se nicht mit Sympathie-Punkten überschüttet wird. Oftmals wird es darüber hinaus noch mit sehr unerfreulichen Ratschlägen in Verbindung gebracht:
“Man sollte gesünder essen!”, “man sollte am Tag mindestens 10.000 Schritte machen”, “Man sollte nicht Whatsapp verwenden” oder “Man sollte mindestens alle 6 Monate zum Zahnarzt gehen”. Als “man” scheint man offensichtlich ein makelloses, aber sehr mühsames Leben zu führen. Als nicht so perfektes “man” fragt man sich also: Ist das wirklich realistisch? Oder erstrebenswert?
Also, beginnen wir uns von dem perfekten “man” zu distanzieren. Wir akzeptieren die Plausibilität dieser Ratschläge, lernen aber schon im Kindes-Alter, dass man auch ganz gut leben kann, ohne all diese Ratschläge zu befolgen. Was also für “man” überlebenswichtig ist, muss nicht unbedingt auch für unseren Kontext relevant sein. Das schlechte Gewissen verflacht mit der Zeit – es stellt sich ein gewisser Fatalismus ein. Auf gut österreichisch: “Eh alles wuarscht!” (auf hochdeutsch: “Es ist ohnehin alles egal!”)
Eine ähnliche Herangehensweise lässt sich bei Organisationen beim Umgang mit IT-Sicherheit beobachten. Ratschläge, Drohungen und Horror-Geschichten gibt es zuhauf. Aber die offensichtliche Überforderung mit der Breite und Komplexität des Themas führt zu einer ähnlichen gleichgültig, fatalistischen Einstellung wie gegenüber “man sollte”-Ratschlägen.
In beiden Fällen ist diese Einstellung nachvollziehbar und über weite Strecken durchaus sinnvoll. Wer im privaten Umfeld alle “man sollte” – Ratschläge befolgt, wird ein über weite Strecken langweiliges Leben führen. Ebenso werden Unternehmen, die der IT-Sicherheit alles unterordnen, sehr bald gelähmt sein und früher oder später von der Bildfläche verschwinden. Man könnte auch sagen: “Wer sich zu Tode fürchtet, ist auch gestorben!”
Was oftmals daraus folgt, ist ein rein reaktives Verhaltensmuster. Man tut nichts und zwar gar nichts – bis etwas passiert. Wir feiern fröhliche Kalorien-Orgien, bis zu dem Zeitpunkt, wo uns ein Schlaganfall einen Schuss vor den Bug gibt. Organisationen öffnen alle ihre Tore und verteilen beim Eingang für Hacker noch eine Landkarte der wichtigsten Unternehmens-Ressourcen. Wenn dann jemand die freundliche Einladung annimmt und dem Unternehmen Schaden zufügt, kommt Panik auf und – bis der Vorfall noch im Kurzzeitgedächtnis des Vorstands gespeichert ist – tritt der eigentliche Unternehmenszweck in den Hintergrund. Das neue Unternehmens-Motto ist “Wir alle sind IT-Security”, sowas darf nie, nie, nie mehr passieren.
Schadenfreude gegenüber tatsächlich Geschädigten ist nicht angebracht. IT-Sicherheit ist kein schönes Thema und bringt keinen Cent an zusätzlichen Umsatz. Das Thema ist komplex, kostet Geld und man gewinnt damit keine Innovations-Preise. Aber IT-Sicherheit ist die Voraussetzung für nachhaltigen Unternehmenserfolg und verdient daher Aufmerksamkeit.
Der Level an Aufmerksamkeit muss aber ausgewogen sein. Wie bei einer Diät hilft es nichts, ein paar Tage zu darben und danach wieder in die alten Gewohnheiten zu verfallen. Das ist ebenso kontraproduktiv wie ein kurzzeitiger Security-Maßnahmen-Tsunami, der nach kürzester Zeit in kollektive Gleichgültigkeit mündet.
Wie kann “man” also diesen Themen nachhaltiger begegnen?
Aus meiner Erfahrung helfen dabei Kontextualisierung, ein ehrlicher Umgang und Proaktivität:
Mit Kontextualisierung meine ich, die vielen gut gemeinten Ratschläge auf die eigene Situation anzuwenden und dadurch mit unterschiedlichen Prioritäten zu versehen. Eine Schwachstelle in der geschäftskritischen Applikation in der Produktionsumgebung muss sofort – ohne Wenn und Aber – behoben werden. Mit Schwachstellen, die sich in ohnehin gut abgesicherten Umgebungen befinden und/oder deren Ausnützen unkritische Konsequenzen haben, kann ich als Unternehmen gut leben.
Dies bedingt aber einen ehrlichen Umgang mit dem Thema IT-Sicherheit. Verabschieden wir uns als Unternehmen von dem Wunsch einer uneinnehmbaren Festung. Verabschieden wir uns als Menschen nach dem Streben nach Perfektion. Pragmatiker leben länger und lustvoller.
Und nähern wir uns dem proaktiv. Warten wir nicht wie das Kaninchen vor der Schlange mit Fatalismus und wechselndem starken schlechten Gewissen, auf den Super-Gau. Es geht vielmehr darum, zu priorisieren und mutige Entscheidungen zu treffen. Wir sollten heute noch die Top-Sicherheitslücken schließen und bei den weniger kritischen aktiv die Entscheidung treffen, diese zu akzeptieren.
Digi-Versationen 