«Angriffe treffen vermehrt auch kleinere Firmen …» titelte der Tages-Anzeiger am 10. November, nachdem bekannt wurde, dass hochvertrauliche Daten von Privatpersonen und Firmen aus verschiedenen Kantonen online zugänglich wurden. Damit, so die Zeitung weiter, erreiche die Cyberkriminalität eine neue Dimension.

Fast täglich müssen wir schier machtlos zur Kenntnis nehmen, dass es heutzutage jede und jeden treffen kann: vom Einmannbetrieb und ländlichen Kleingewerbe über das traditionelle Familienunternehmen, den multinationalen Konzern oder eine systemrelevante Institution in einem Ballungszentrum. Längst sind nicht nur Firmen, Institutionen und Organisationen betroffen, welche an geheimen Patenten tüfteln, kritische Infrastrukturen für unsere Gesellschaft betreiben oder hochvertrauliche Technologien entwickeln. Nein, der Alltag holt uns alle ein, privat und geschäftlich. Die monetär getriebenen Hacker, kriminellen Organisationen und informationslechzenden Spione machen selbst vor Gemeindeverwaltungen, Anwaltskanzleien und Gesundheitseinrichtungen nicht halt.

Im neusten bekannten Fall ist ein Treuhandbüro Opfer geworden, vertrauliche und persönliche Daten bis hin zu ganzen Steuererklärungen wurden gar im Darknet publiziert. Somit ist tatsächlich eine neue, individuell spürbare und heikle Dimension der Betroffenheit erreicht: Persönlich anvertraute und bis anhin sicher geglaubte Informationen und Daten über sich als Privatperson werden urplötzlich für eine unbekannte Menge von Interessierten feilgeboten und im ungünstigsten Fall noch medial als erpresserisches Druckmittel eingesetzt. Das Risiko, was anfänglich nur Unternehmen etwas anzugehen schien – es ist plötzlich eine Gefahr für die eigene Person und das nächste Umfeld.

Und: Es handelt sich nicht um den ersten «Einzelfall», welcher jetzt publik wurde.

Immer die gleichen Muster

Welche Ziele verfolgen die Angreifer, wo liegt deren Interesse? Simpel zusammengefasst geht es immer um dasselbe wie immer unter uns Menschen: Macht und Geld.

Seit Jahren warnen Experten mit einschlägiger Erfahrung davor, dass die Angriffe zunehmen würden und das Thema Sicherheit endlich zuoberst in der Unternehmensführung angesiedelt werden muss. Im privaten Umfeld, als Individuum kümmern wir uns ja auch regelmässig um den Schutz und die Sicherheit von uns selbst und unseren Lieben, oder etwa nicht? Es ist sogar selbstverständlich, dass wir das tun.

Weshalb verhalten wir uns in der Berufswelt so diametral anders, um nicht zu sagen naiv? Ist es wirklich so, dass wir im Geschäft fortwährend grobfahrlässiges bis vorsätzliches «Management by Kopfanschlagen» betreiben und uns dann erstaunt zeigen, wenn man negativ betroffen ist? Und dann achselzuckend hinnehmen müssen, dass kein Produktionsprozess mehr richtig funktioniert, keinerlei Patientendaten sichtbar sind, die Kunden nichts mehr bestellen können oder sich die Lieferantenfahrzeuge draussen stauen? Denken wir noch etwas weiter, kann schon ein flaues Gefühl im Magen aufkommen: Was ist, wenn ich als Mitarbeiter zur Kenntnis nehmen müsste, dass die angegriffene Firma nicht mehr aus der Talsohle rauskommt und ich meinen Job verliere? Oder wegen mir einen Tag lang alles stillsteht – kein Licht, keine Herdplatte, kein Nachschub von Lebensmitteln ...

Weshalb fehlt uns hier die eigene Nabelschau, das kritische Hinterfragen von selbstgefälligen Ausreden und aufgeschobenen «Fertigungsmustern» der internen Prozesse sowie der Selbstreflexion des Delegierens von solch elementaren Führungsentscheiden an eine untere Stelle?

Es ist ein rein menschliches Problem, die Schwachstelle Mensch! Wir verdrängen, vergessen, hoffen darauf, dass uns niemand schlecht will, lassen uns von einer vorherrschenden Mehrheitsmeinung treiben, gar manipulieren. Letztlich hoffen wir auf die Elektronik und Technik, man hat schliesslich viel Geld investiert. Wenn es schief geht, wollen wir uns aus der Verantwortung ziehen. ‹Der Verwaltungsrat der Bank wurde nach dem Skandal auch nicht belangt.› Wir suchen – und finden! – immer wieder Entschuldigungen für solche «Fertigungsmuster».

Als Chef weiss ich, dass ich eigentlich einen anderen Anspruch an mich und meine Firma hätte: Ich sollte erfolgreich das Unternehmen und alle involvierten Stake-Holder (Mitarbeitende, Lieferanten, Kunden usw.), umfassend, nachhaltig und glaubwürdig schützen. Ist es in der Praxis so? Leider weit gefehlt! Nur wenige Entscheidungsträger wollen sich mit dem komplexen und budgetrelevanten Thema Sicherheit auseinandersetzen. Es ist einfacher, dieses immer wichtiger und vernetzter werdende Feld an eine untergeordnete Stelle zu delegieren, dann ist es vom Tisch. Die gängigen Ausreden von ganz oben: «Bis anhin brauchten wir dies nicht; wir wurden ja noch nie angegriffen; das betrifft nur Rüstungskonzerne und dergleichen.» Das Thema scheint lästig zu sein und kostet nur. Sichtbare Fortschritte bei der Prävention zum Beispiel scheinen in der Jahresrechnung als Aufwand und daher negativ auf. Umfassende, erforderliche und nutzbringende Sicherheitsmassnahmen nach einer knallharten Analyse planen, aufbauen, implementieren und umsetzen braucht Zeit und ist im Budgetplan nicht eingerechnet. Dann lässt man es halt, wird schon gut gehen. Und wenn nicht, hat die IT-Abteilung, die sowieso am teuersten ist, nicht richtig gearbeitet ...

Wollen wir so in die Zukunft schreiten? Oder es doch lieber anpacken und gestärkt hervorgehen? Dann braucht es eine Schubumkehr! Wie diese gelingt, lesen Sie in meiner nächsten und letzten Kolumne in der sgz vom 10. Dezember.

Chris Eckert

Mehr Auskünfte und gezielte Schulungen erteilt Ihnen: www.swissbp.ch