Was hat ein erfolgreicher Cyberangriff mit Glauben zu tun?

Die meisten Verantwortlichen in den Firmen haben einen unerschütterlichen Glauben.

Sie glauben, dass:

🔸 ihr Unternehmen sei zu klein sei, um angegriffen zu werden,
🔸 nur große und erfolgreiche Firmen angegriffen werden,
🔸 Cybersicherheit ein reines IT-Problem sei,
🔸 die IT schon alle Sicherheitsprobleme entdecken und beheben würde,
🔸 Datenschutz und Informationssicherheit nichts bringen,
🔸 ihre Mitarbeiter:innen immer sicher und fehlerfrei handeln,
🔸 eine Cyberversicherung schon für den ganzen Schaden aufkommt,
🔸 man einen erfolgreichen Hack besser verheimlichen sollte,
🔸 sie als Opfer eines Angriffs keine Verantwortung tragen.

Es verwundert immer wieder, dass sich dieser Glauben – man möchte ihn fast Aberglauben nennen – trotz erwiesener gegenteiliger Fakten so hartnäckig hält.

Die Gründe sind ganz unterschiedlich:

🔻 zunächst muss man die eigene Verwundbarkeit akzeptieren, um den Sinn von Gegenmaßnahmen zu verstehen. Das fällt vielen schwer.
🔻 dann gibt es in größeren Organisationen eine Diffussion der Verantwortung, da Abteilungs- und Verantwortungsgrenzen eine übergreifende systematische Betrachtung der Risiken verhindert. Jeder ist bemüht, sein Spielfeld sauber zu halten und verlagert das Problem dann gerne in die Spielfelder anderer Mitspieler.
🔻fehlendes Fachwissen spielt in den meisten Fällen eine große Rolle, weil sich Verantwortliche die eigene Verwundbarkeit des Unternehmens überhaupt nicht vorstellen können und sich der Konsequenzen nicht bewußt sind.
🔻und schließlich ermutigen fehlende Konsequenzen dazu, sich den eigenen Karrierepfad nicht durch Prävention unnötig kompliziert zu machen.

Mein Rat für 2023 an alle Unternehmensverantwortlichen: Nehmt das Risiko ernst und versteht, welcher Nutzen durch Datenschutz und Informationssicherheit für die Cyberresilienz Eures Unternehmens entsteht!