Читать книгу INFORMATIONSSICHERHEIT kompakt, effizient und unter Kontrolle - Jens Libmann - Страница 10
4.1.1.1.Sorglosigkeit der Chefs
ОглавлениеDie in vielen Führungsetagen herrschende Sorglosigkeit ist nicht gerechtfertigt. Jeder Verantwortliche sollte sich einmal folgende Kontrollfragen stellen:
1 Kann eindeutig beantwortet werden, ob im vergangenen Jahr Angriffe auf das eigene Unternehmen stattgefunden haben?
1 Wenn ja, welcher Art waren diese Attacken? Spionage, Diebstahl, Hacking ...?
1 Ist die Firma im Internet präsent? Fanden von dort Vorstöße auf das Netzwerk statt?
1 Wenn ja, was waren die Auswirkungen?
1 Wurden wirklich alle Einbruchsversuche bemerkt? Kann es sein, dass etwas verborgen geblieben ist?
1 Wo überhaupt liegen die größten Bedrohungen für das Unternehmen?
1 Was kann man dagegen tun?
1 Was wurde bereits dagegen getan?
1 Was wird in Zukunft dagegen getan?
1 Ist dann die Gefahr ausreichend abgewendet?
Fragen wie diese gibt es noch viele, denn der Umfang dieses Themas ist beträchtlich. Ich bin mir aber jetzt schon sicher, dass bereits auf diese wenigen Sätze nicht immer überzeugt geantwortet werden kann. Es ist auch nicht möglich. Gerade im Bereich InfSec ist die Dunkelziffer der tatsächlichen Zwischenfälle sehr hoch. Die Gründe dafür sind einfach: Einerseits ist es kein Renommee für ein Unternehmen, zugeben zu müssen, dass ihm Informationen gestohlen, verfälscht oder zerstört wurden. Andererseits bemerken die meisten Firmen den Diebstahl oder die Manipulation ihrer Daten zu spät oder gar nicht40.
Sehr oft wird argumentiert: „Was soll uns schon passieren? Wir sind ja viel zu unbedeutend.“ Die Gefahr richtet sich in der Regel nicht nach der wirtschaftlichen Bedeutung. Informationsdiebstähle und -schädigungen können sich in jeder Firma ereignen. Dabei ist egal, wie groß, eingesessen oder bekannt der Betrieb ist. Hacker im Internet beispielsweise suchen sich als Ziel jene Computer, die ihnen den geringsten Widerstand leisten. Ganz egal, welcher Name dahinter steht.
Klarerweise wird natürlich auch die Gefährdung akuter, umso größer der ökonomische Wert eines Betriebes ist. Jede Firma besitzt wichtiges Wissen und hat genügend Konkurrenz, die möglicherweise gerne Bescheid darüber wissen möchte, was der Kontrahent so treibt. Besonders bedroht sind Branchenführer. Bei denen lässt sich nahezu sicher sagen, dass bei ihm schon spioniert wurde, oder gar gerade noch immer wird41!
Keine Strategie hinsichtlich Sicherheitsbestrebungen zu besitzen, stellt zweifellos die schlechteste Wahl unter allen Möglichkeiten dar. Wer nichts gegen vorherrschende Gefahren unternimmt, bleibt den allgegenwärtigen Bedrohungen schutzlos ausgeliefert. Als Konsequenz besteht übergroße Gefahr, enorme Werte zu verlieren, obwohl dies vermeidbar wäre. Irgendwie erinnert diese Haltung an eine Vogel-Strauß-Mentalität, die sich ja bekannterweise fatal auswirken kann.
Eine andere, gerne gebrauchte Taktik lautet: „Wenn es soweit ist, werden wir schon etwas unternehmen“. Eine solche Vorgehensweise lässt sich als defensive Strategie bezeichnen. Sie zielt darauf ab, ein billiges Ergebnis zu erreichen und erweist sich nach dem vorher beschriebenen Fehlen eines Schlachtplans als zweitschlechteste Alternative. In der Praxis ist diese Methode leider am Häufigsten anzutreffen: Die jeweilige Führungsspitze erkennt (meistens gezwungenermaßen) die Notwendigkeit zum Handeln und versucht, eine schnelle Lösung zu finden. Diese Art zur Problembewältigung zeugt von Konzeptionslosigkeit. Meistens entsteht dabei ein wirkungsloses Flickwerk, welches unter dem Strich mehr Aufwand verursacht, als es Nutzen bringt42. Die Reaktion auf einen Notfall erfordert auf den letzten Stand geschultes Personal, Ersatzteile, spezielles Werkzeug usw. Vergleichen wir es mit einem Reflex: Im Anlassfall wird automatisch mit bereits vorhandenen Mitteln reagiert. Erst nachzudenken zu müssen, was zu tun ist, kann in der freien Wildnis das Leben kosten. Das Gleiche gilt auch für einen Geschäftstreibenden im Dschungel des Wirtschaftsmarktes.
Auf der anderen Seite bedeutet die Omnipräsenz ständig wachsender Bedrohungen wiederum nicht, in Paranoia zu verfallen. Es ist kaum vorstellbar, doch es existieren tatsächlich Unternehmen, wo regelrechter Verfolgungswahn herrscht.43 Dort praktiziert man verschiedene eigenartige Verhaltensweisen, die aber allesamt nicht zielführend sind. Eine mögliche Form ist, sich den Möglichkeiten des Marktes zu verschließen, nur weil es gefährlich werden könnte. Abgesehen davon, dass es wahrscheinlich vom wirtschaftlichen Standpunkt her gar nicht durchführbar ist, bedeutet es zudem einen wenig sinnvollen und realistischen Weg. Bedrohungen wird es immer geben. Sie sind Teil des Geschäftsdaseins. Vollständigen, also hundertprozentigen Schutz gibt es, wie im gesamten sonstigen Leben, auch hier nicht. Was aber getan werden kann, ist das Maß seiner Sicherheit zu erhöhen.
Eine andere paranoide Verhaltensweise drückt sich darin aus, das Misstrauen gegenüber seinen Mitarbeitern zu übertreiben. In solchen Firmen herrscht die Aura von Bespitzelung und Geheimdienstaktivität. Letztendlich entsteht enorme Unruhe, die zu allgemeiner Unzufriedenheit und Destruktivität führt.44 Die Gefahren, die dadurch aufkommen, sind kontraproduktiv zur eigentlichen Absicht, das Bewusstsein aller Betroffenen zu fördern. Überwachung ist zweifellos ein wichtiger Teil der InfSec. Freilich muss aber das Verhältnis zu den Geschäftsabläufen stimmen. Wenn Kontrollvorgänge dominieren, sollten die Prozesse überdacht werden, denn dann läuft etwas falsch.