Flüchtige Sicherheit
Sicherheit ist kein Zustand, sondern ein Prozess. Sicher und vor Cyberangriffen geschützt zu sein, würde jede Organisation gerne von sich behaupten und viel dafür tun. Was auch immer man aber zur Optimierung der Sicherheit unternimmt, es wird nicht verhindern können, trotzdem Opfer eines Cyberangriffs zu werden. Ohne jetzt jedoch in Resignation zu versinken, muss man lernen, mit dem latenten Risiko zu leben. Denn Cyberrisiken sind eine zu akzeptierende Begleiterscheinung der Digitalisierung, der Nutzung der Cloud-Technologie und der grenzenlosen Mobilität geworden. Die damit verbundenen Unsicherheiten bieten auch enorme Chancen, die gepackt werden wollen.
Neben der aktuell grassierenden Pandemie-Müdigkeit macht sich in vielen Organisationen auch eine gewisse Müdigkeit hinsichtlich andauernder Informationen über Cyberbedrohungen breit. Das Management und die Mitarbeitenden von heute werden ständig mit neuen Warnungen und neuartigen Schulungsprogrammen überschwemmt, welche die Wahrscheinlichkeit einer Datenpanne verringern sollen. Es kommt nicht von ungefähr, dass es einen direkten Zusammenhang zwischen Stress und Erschöpfung der Mitarbeitenden und deren Unachtsamkeit bei Cybersicherheitsvorfällen gibt. Unternehmen müssen endlich einen aktiveren Ansatz zur Überwachung und Bedrohungsabwehr entwickeln.
Dazu braucht es definitiv mehr als eine Versicherung, welche die Zahlung der Lösegeldforderung bei einem Ransomware-Angriff übernimmt. Diese mag zwar auf den ersten Blick günstiger und schneller erscheinen, anstatt die IT-Systeme mühsam wieder aufzubauen. Aber Sicherheit lässt sich nun einmal nicht kaufen. Das blinde Vertrauen in den CISO und die Firewall der nächsten Generation geht im digitalen Ökosystem definitiv ins Auge.
Um im Cyberspace überleben zu können, braucht es eine gewisse Widerstandsfähigkeit und damit eine Fähigkeit, sich von Angriffen zu erholen und das Businessmodell dauerhaft aufrechtzuerhalten. So eine Fähigkeit muss in allen Poren des Unternehmens entwickelt werden. Es ist nicht primär eine Frage des Geldes oder der eingesetzten Technologie. Vielmehr gehört es in die DNA des Unternehmens, das sich dann in allen Facetten der Geschäftstätigkeit entfalten kann. Es braucht guten Schutz und die Kompetenz, Probleme rechtzeitig zu entdecken, diese abzuwehren und dann unversehrt zurück zum Normalbetrieb zu finden. Auch wenn man gut gepolstert und mit einem Helm gerüstet mit dem Fahrrad durch Zürichs Strassen fährt, lauern an jeder Kreuzung neue Gefahren, mit denen jeder umgehen können muss. Auf der Kreuzung liegend nützt der Fahrradmechaniker in der Werkstatt nur noch sehr bedingt.
Es ist nie zu spät, sich in dieser seltsamen und schwierigen Zeit auf die wichtigsten Schwachstellen zu konzentrieren. Während sich die Bedrohungslandschaft weiterentwickelt, sollten wir uns darauf konzentrieren, sicherzustellen, dass sich unsere Resilienz-Strategien mit ihr verändern.