In China gilt es als Zeichen des fehlenden Vertrauens gegenüber dem Taxifahrer, einen Gurt anzulegen. Schön und gut, Ich vertraue dir schon, Mr. 1-Meter-Abstand-muss-reichen. Aber wenn das Schadensausmaß mein Leben ist, ist mir egal ob du glaubst, ich vertraue dir nicht. Ich werde mich vorbereiten.
So etwas passiert uns doch nicht.
Ich bin mir sicher, dass dieser Satz auch von einigen Personen gesagt wurde, die jetzt beatmet werden, oder gar nicht mehr unter uns weilen.
So etwas passiert uns doch nicht.
Sagen Unternehmen die sich noch nie angesehen haben, wie hoch die Wahrscheinlichkeit denn wirklich ist, dass es ihnen einmal passieren wird.
Es gibt ja Regeln, und wir haben den MitarbeiterInnen auch mal gesagt, dass sie nicht auf böse Links klicken sollen. Dass sie sich nicht mit der Firmen E-Mail überall registrieren sollen. Dass sie sichere Passwörter verwenden sollen. Nun, ich habe hier mehr als 2 Terabyte Username und Passwort-Kombinationen auf meiner Festplatte liegen die beweisen, dass sich kaum jemand daran hält. Selten bin ich bei Unternehmen unterwegs, zu deren Domain ("@unternehmen.xyz") keine Passwörter finde.
In einem meiner Webinare hatte ich einen Teilnehmer von einem Unternehmen, dessen ehemaliger Geschäftsführer mit der Firmen E-Mail in einem Sex-Forum registriert war.
Das mag gute Gründe haben (damit es die Partnerin nicht mitkriegt?), stellt aber ein nicht unerhebliches Risiko für das Unternehmen dar. So jemand ist erpressbar. Wenn ich überhaupt erpressen muss, weil sein Passwort war auch nicht soooo gut.
Nein, ihr seid auch nicht zu klein.
Ein IT-Dienstleister in Oberösterreich wird gehackt. Ein kleineres Unternehmen, über das 34 Kunden des Unternehmens verschlüsselt wurden. Ein "zu klein" gibt es bei Ransomware nicht. Und schon gar nicht beim sogenannten Business E-Mail Compromise (BEC), wo mit Fake-E-Mails des Chefs versucht wird, Überweisungen im Unternehmen anzustoßen.
Die einzige Heuristik, auf die man hören sollte
Dabei zeigt sich immer wieder: Wenn etwas passiert ist, ist plötzlich Geld für IT-Sicherheit da. Das ist eigentlich alles, was man wissen muss.
Nur hat man dann nicht nur die Kosten für den Vorfall selbst (jenseits der zehntausenden Euros – wenn alles gut geht!), sondern man muss noch dazu die Dinge tun, die bereits im Vorfeld so einen Vorfall verhindert hätten.
Man muss sich also entscheiden zwischen:
Kosten für den Vorfall
+ Kosten für IT-Sicherheitsmaßnahmen
oder
Kosten für IT-Sicherheitsmaßnahmen
Da muss man kein BWL studiert haben, um diese Rechnung zu lösen.
Aber zum Glück gibt es eine viel einfachere Lösung: Bei jedem Artikel über einen Hack, jedem Beitrag über ein verschlüsseltes Unternehmen schütteln wir einfach den Kopf und sagen:
"So etwas passiert uns doch nicht."