IT-Security-Kompetenz zeigt sich nicht darin, wie häufig und stark ein Unternehmen in die Schusslinie gerät, sondern in dem, was nach diesen Negativerlebnissen intern und in der öffentlichen Wahrnehmung hängen bleibt. Anstatt nach Schuldigen zu suchen und auf immer neue Gesetzesvorgaben und firmeninterne Verbote zu pochen, ist der Blick nach vorne gefragt. Langsam hält ein neuer Gedanke Einzug in die IT-Branche: Das Ziel kann und darf nicht mehr sein, alle Risiken im Vorhinein auszuschließen. Es geht vielmehr um Antworten auf die Frage, wie die Folgeschäden so gering wie möglich gehalten werden.
Unternehmen müssen lernen, mit Hacker-Angriffen, Datendiebstahl und Cybercrime zu leben. Wer die Vorteile einer offenen Unternehmenskultur wahrnehmen will, muss an dieser Stelle Zugeständnisse machen – ähnlich wie beim Nutzen von Cloud-Angeboten oder dem Thema Bring your own Device. Die Zeiten ändern sich, wer mehr Produktivität und bessere Arbeitsergebnisse will, muss sich bewegen. Selbstredend sind kritische Umgebungen weiterhin zu schützen, aber die Frage, welche Daten, Anwendungen und Prozesse eigentlich geschäftskritisch sind, muss in vielen Unternehmen neu gestellt werden.
Im Zuge meiner Recherchen zur Titelgeschichte „Der Cyber-Krieg hat gerade erst begonnen“ hörte ich in vielen Gesprächen die Aussage, dass die Dax-Konzerne gar nicht mehr versuchen, ihre „Cyber-Infektionen“ loszuwerden. Es gehe ihnen nur noch darum, bestmöglich mit ihnen umzugehen, um finanzielle Schäden und Imageverluste in den Griff zu bekommen. Die großen Player machen es also vor – alle anderen Unternehmen werden folgen.