Gestern wurde bekannt, daß ein Cyber Angriff auf einen französischen Fernsehsender verübt wurde.
Nun sind alle empört, auch die deutsche Regierung schließt nicht aus, daß so etwas auch uns treffen könnte.
Ich frage mich nur, ist das eigentlich ein deutsches oder ein menschliches Problem? Dieses Reagieren auf Ereignisse gepaart mit einer hochstilisierten Empörung bei gleichzeitiger Lähmung. Jeder denkt bei jedem wie auch immer gearteten Problem, mir passiert das nicht, in meinem Land kann so etwas nicht passieren…
Warum nicht mal agieren, vorbereitet sein auf mögliche Ereignisse. Jede Firma hat mittlerweile einen Evakuierungsplan für z.B. Feueralarm. Warum nicht jetzt, weil der Anlass sich förmlich aufdrängt, einen Notfallplan für einen Cyberangriff machen. Stichwort: Incident Response Prozess.
Warum nicht jetzt beginnen, zu überlegen, welche Daten, Betriebsgeheimnisse, Patente … machen unser Unternehmen aus und sind besonders schützenswert. Warum nicht jetzt auflisten, welche Maßnahmen bereits getroffen wurden und überprüfen, ob das Sicherheitsniveau ausreichend ist?
Diese Überlegungen fallen in den Verantwortungsbereich jeder Geschäftsführung und können nicht abgewälzt werden auf einen wahrscheinlich ohnehin überlasteten Systemadministrator. IT-Sicherheit ist nicht automatisch, nur weil im Wort IT vorkommt, ein Thema ausschließlich für die IT Abteilung. Nicht jeder, der im Bereich IT arbeitet, kennt sich mit Sicherheitstechnik aus, bzw. kann sich neben seiner normalen Arbeitszeit so fortbilden, daß er auf dem neuesten Stand ist. IT kann jeder anbieten, das ist kein besonders geschützter Berufszweig wie z.B. Gasmonteur, wofür man eine Zulassung haben muß. Die meisten IT-Leute sind spezialisiert und können nicht automatisch alles, was irgendwie mit IT zu tun hat. Nicht jeder schafft es, eine ihm angetragene Aufgabe abzulehnen, mit dem Hinweis, daß er dafür nicht genügend ausgebildet ist.
Weiterhin sei gesagt
Cyberkriminelle finden jeden Tag neue Möglichkeiten in Systeme einzubrechen, weil sie sich damit intensiv oder ausschließlich beschäftigen. Man könnte sagen:
Es ist Ihr Job und darin wollen sie gut sein, denn sie kommen damit in die Medien.
Das bedeutet auch, daß es keinen 100%igen Schutz geben kann. Trotzdem sollte man am Ball bleiben und regelmäßige Betrachtungen einplanen, bekannt gewordene Sicherheitslücken, sollten immer einbezogen und geschlossen werden, sofern vorhanden. Man sollte sich auch nicht zu fein sein, Anzeige zu erstatten und an die Öffentlichkeit zu gehen. Der Schaden ist bereits entstanden und meistens irreparabel, aber Sie können andere durch Veröffentlichung auf diese Art des Einbruches aufmerksam machen.
Der Schutz Ihrer Daten ist ein nie abgeschlossener Prozess, bleiben Sie dran!