Der Super-GAU ist da. Die Datenbank hat in ihrer Architektur ein Leck. Wichtige Informationen sind verloren gegangen oder durch Fahrlässigkeit nach außen gedrungen.
Der Dringlichkeit halber werden nun schnelle Entscheidungen getroffen, die, als oberste Direktive von ganz oben an die Verantwortlichen am Ort des Geschehens weitergegeben, eine schnelle Umsetzung verlangen. In der Aufregung wird der Ruf von Experten nach strategischen Lösungen überhört oder die Beschäftigung damit verschoben und verhallt dabei in der Regel sehr schnell. Vergleicht man einen strategischen Lösungsansatz mit der Installation neuer Software, gewinnt fast immer die Installation einer neuen Software. Die Auseinandersetzung mit Strategien klingt langatmig und komplex.
Doch diese geflissentliche Vernachlässigung hat uns dramatische Konsequenzen in der IT-Landschaft aufgezwungen. Dies ist jedoch nur einer der Gründe, die uns längst ein Maß der Datenkonzentration beschert hat, welches ein beschwingtes Leben für IT-Beauftrage schwer macht.
Wirkliche Sicherheit zu liefern ist unmöglich und Studien bestätigen uns, dass zudem 95% der Attacken von innen kommen, Zahlen die den Druck auf die IT-Abteilungen weiter verstärken.
Compliance-Software, soweit muss man schon gehen, hat uns keine Lösung gebracht. Im Gegenteil: Mehr vom Selben war noch nie eine gute Lösung. Damit verteufeln wir diese Art der Schutzmechanismen nicht; sicherlich haben sie den einen oder anderen Zwischenfall verhindert, doch die Statistik und die Unsicherheit haben sich kaum verbessert. Dazu kommt, dass der Einsatz von Sicherheitskonzepten kaum Schritt halten kann mit der explosionsartigen Zunahme an Nutzungsmöglichkeiten von Daten und Zugängen. Eine hoffnungslose Überforderung von Organisationen und Systemen, was man natürlich so kaum sagen darf.
Der Homo Digitalis – eine neue IT-Aufklärungswelle ist nötig
Wir alle müssen lernen, mit dieser neuen Vielfalt umzugehen: mit Zugängen, Profilen und dem aufmerksamen Bewegen in digitalen öffentlichen Räumen. Der Homo Digitalis steht vor gänzlich neuen Herausforderungen. Mehr als jemals zuvor sind hier die unterschiedlichen Intelligenzen eines Mitarbeiters gefragt. Das fängt an bei der sozialen Kompetenz und hört bei emotionaler Intelligenz noch lange nicht auf. Nun müssen diese weichen Faktoren für die bisher so isolierte IT erobert werden, denn die Sicherheit ganzer Unternehmen ist inzwischen vom sensiblen Umgang mit Daten abhängig. Eine Attacke kann ein ganzes Unternehmen ruinieren. 50 Mrd. Euro ist laut Branchenverband Bitcom der jährliche Schaden der durch Cyberattacken entsteht, betroffen ist beinahe jedes zweite Unternehmen. Das Bundeswirtschaftsministerium warnt Unternehmen, die Datensicherheit nicht ernst genug nehmen, um nicht den Anschluss an Wirtschaft 4.0 zu verlieren.
Unsere Welt ist weitaus mehr vernetzt, als wir ahnen. Der anerkannte Cyberwar-Experte Dr. Sandro Gaycken zeigt uns in seinem Buch „Cyberwar“ eindrucksvoll, was die Vielfalt an Zugängen und Datenautobahnen im Ernstfall für uns bedeuten könnte. Vom kleinen Unternehmer bis zu den Weltkonzernen, es gibt niemanden, der davon nicht betroffen ist. China bildet hier übrigens eine Ausnahme, da es den Internetverkehr auf vier Zugänge beschränkt hat und somit das Land komplett abschotten kann.
Der Performanceverlust wird im Fall einer Attacke weithin unterschätzt. Dies ist auch der Grund für den nachlässigen Umgang bei der Aufklärung von Gefahrenpotentialen. Noch sind in weiten Teilen der IT die angebotenen Lösungen stark vergangenheitsorientiert, es fehlt an Kompetenz und Einsicht über die neuen Zusammenhänge und Wirkungen zwischen den Datenarchitekturen.
Unternehmer müssen eine Offenheit für die Erkenntnis entwickeln, dass nur eine weitere „Sensibilisierung der Anwender“ einen sinnvollen Schritt darstellt. Dies kann keine Software übernehmen und auch kein Pamphlet an der Pinnwand oder ein Memo-Mail mit Wichtigkeit „hoch“ im Postfach.
Regelmäßig kann in Unternehmen beobachtet werden, dass nach einem Vorfall tatsächlich sehr schnell der Ruf nach Sensibilisierung laut wird. Naheliegend scheint es jedoch, dass aufgrund solcher Vorfälle oftmals nach automatisierten Lösungen Ausschau gehalten wird.
Sensibilisierung ist etwas höchst Menschliches, da es mit Wahrnehmung und Aufmerksamkeit direkt zu tun hat. Eine neue populäre Variante ist dabei die Achtsamkeit, welche allerdings in den IT-Abteilungen noch kaum bekannt sein dürfte. Zumindest wurde sie von den Vorgesetzten dem entsprechenden IT-Beauftragen noch nicht in einem „Auftrag zur Bildung von Achtsamkeit“ übertragen.
Die Wahrnehmung von Gefahrenpotential und deren „Berücksichtigung in der Aufmerksamkeit“ eines Mitarbeiters kann nur in systemischen und dezidierten Präsenzsitzungen geschult werden. Es geschieht ganz einfach ausgedrückt zwischen Menschen, da auch der sozialemotionale Faktor dabei eine wesentliche Rolle spielt.
Systemische Sensibilisierung hat Vorrang
Sensibilisierung von IT-Fachleuten für die Gefahrenquellen und die Unüberschaubarkeit multilateraler Softwarearchitekturen ist ein erster wichtiger Schritt. Doch auch die Sensibilisierung der Anwender braucht neue Formen der Schulung und Schwerpunkte bei der Weiterbildung. Hier kann eine systemische Sichtweise einen sehr guten Ansatz liefern, denn das Gefahrenpotential lauert vor allem in den Schnittstellen der intern verknüpften Teile eines Systems.
In vielen Fällen sollten externe Fachexperten eine vollständige und systematische Risikoanalyse durchführen, aber auch die Weiterbildung in Bezug auf die Cybersicherheit kann hier schon die Mitarbeiter für einen sachgemäßen Umgang mit Daten sensibilisieren. Im Grunde kann kaum noch eine Weiterbildung empfohlen werden, die nicht auch das Thema Datensicherheit und Cyberkriminalität beinhaltet.
Fragen Sie Ihren Weiterbilder, in wie weit diese Themen in den Präsenzseminaren, Workshops und Konzepten eine Rolle spielen. Es könnte Ihre Zukunft davon abhängen.
PS: Empfehlenswert zu diesem Thema ist der Leitartikel im Handelsblatt
Dr. Sandro Gaycken und Dr. Rex Hughes (ESMT)
„Kleine und mittlere Unternehmen sind meist nicht „cyber-ready“, Studie, Handelsblatt 11/2015