CW-Kolumne

Sicher ist, dass nichts sicher ist

24.03.2012
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Haben Sie heute mehr Angst vor Angriffen auf Ihre Unternehmens-IT als noch vor einigen Jahren? Haben Sie bereits unangenehme Erfahrungen mit Cyber-Gangstern oder „fehlgeleiteten“ eigenen Mitarbeitern gemacht, die Ihnen mutwillig oder einfach nur aus Unwissenheit Schaden zugefügt haben? Wenn ja, besteht kein Grund zur Scham – Ihr Unternehmen ist beileibe nicht das einzige.
"IT-Security-Kompetenz zeigt sich nicht darin, wie häufig und stark ein Unternehmen in die Schusslinie gerät, sondern in dem, was nach diesen Negativerlebnissen intern und in der öffentlichen Wahrnehmung hängen bleibt." Simon Hülsbömer, Redakteur COMPUTERWOCHE.
"IT-Security-Kompetenz zeigt sich nicht darin, wie häufig und stark ein Unternehmen in die Schusslinie gerät, sondern in dem, was nach diesen Negativerlebnissen intern und in der öffentlichen Wahrnehmung hängen bleibt." Simon Hülsbömer, Redakteur COMPUTERWOCHE.

IT-Security-Kompetenz zeigt sich nicht darin, wie häufig und stark ein Unternehmen in die Schusslinie gerät, sondern in dem, was nach diesen Negativerlebnissen intern und in der öffentlichen Wahrnehmung hängen bleibt. Anstatt nach Schuldigen zu suchen und auf immer neue Gesetzesvorgaben und firmeninterne Verbote zu pochen, ist der Blick nach vorne gefragt. Langsam hält ein neuer Gedanke Einzug in die IT-Branche: Das Ziel kann und darf nicht mehr sein, alle Risiken im Vorhinein auszuschließen. Es geht vielmehr um Antworten auf die Frage, wie die Folgeschäden so gering wie möglich gehalten werden.

Unternehmen müssen lernen, mit Hacker-Angriffen, Datendiebstahl und Cybercrime zu leben. Wer die Vorteile einer offenen Unternehmenskultur wahrnehmen will, muss an dieser Stelle Zugeständnisse machen – ähnlich wie beim Nutzen von Cloud-Angeboten oder dem Thema Bring your own Device. Die Zeiten ändern sich, wer mehr Produktivität und bessere Arbeitsergebnisse will, muss sich bewegen. Selbstredend sind kritische Umgebungen weiterhin zu schützen, aber die Frage, welche Daten, Anwendungen und Prozesse eigentlich geschäftskritisch sind, muss in vielen Unternehmen neu gestellt werden.

Im Zuge meiner Recherchen zur Titelgeschichte „Der Cyber-Krieg hat gerade erst begonnen“ hörte ich in vielen Gesprächen die Aussage, dass die Dax-Konzerne gar nicht mehr versuchen, ihre „Cyber-Infektionen“ loszuwerden. Es gehe ihnen nur noch darum, bestmöglich mit ihnen umzugehen, um finanzielle Schäden und Imageverluste in den Griff zu bekommen. Die großen Player machen es also vor – alle anderen Unternehmen werden folgen.