BROADCAST - NEUES AUS DER IT WELT UND VON VICARDION

Ein Inhaber und Geschäftsführer eines mittelständischen Unternehmens mit etwa 60 Mitarbeitern teilte mir neulich in einem persönlichen Gespräch mit, dass er sich keine Gedanken mehr um das Thema Cybersicherheit machen muss. Heutzutage könne man alle Risiken versichern und so hat er nun eine Cyberversicherung abgeschlossen, um das Thema vom Tisch zu räumen.

Im ersten Augenblick habe ich seine Aussage nicht ernstgenommen. Vielmehr wartete ich gespannt was als nächstes kommt und hielt es tatsächlich als Vorbereitung für einen Gag der mit den nächsten Aussagen zwangsläufig kommen musste. Doch mit den nachfolgenden Aussagen stellte ich fest, dass mein Gesprächspartner es tatsächlich ernst meinte.

In diesem Moment wusste ich nicht was schlimmer ist, die Gefahren die dieser Umgang mit dem Thema IT-Sicherheit mit sich bringt oder die Tatsache, dass er an den vermeintlichen Schutz auch tatsächlich glaubte. Meine Aufgabe ist es u.a. meine Erfahrungen und mein Wissen gewinnbringend für meine Kunden einzusetzen. Wenn ich Gefahren erkenne und nicht eingreife, dann handle ich auch fahrlässig oder komme zumindest eben dieser Aufgabe nicht nach. Also fragte ich ihn wie er zu solch einer Überzeugung kommt.

Er führte aus, dass der größtmögliche und existenzbedrohende Schaden für Ihn finanzieller Natur sei. Für seine Daten als solche interessiert sich niemand und wenn dann höchstens der Wettbewerber. Der hat aber die gleichen Informationen über die Kunden und wenn er zusätzlich auch noch an seine Daten kommt, dann kann er damit gut leben.

Während er sprach hatte ich immer wieder den Gedanken, dass es eine Art Humor sein muss den ich einfach nicht verstand, doch das Gespräch war ernst wie auch die Aussagen des Geschäftsführers vollkommen ernst waren. Zeitgleich tauchten in meinem Kopf in diesem Zusammenhang so viele Fragen auf, die ich gar nicht alle hätte stellen können. Ich beschloss Ihm dann nur einige dieser Fragen zu stellen und an seiner Reaktion zu entscheiden wie ich das Gespräch weiterführen sollte.

Mein Ziel war es, den Verantwortlichen zum Umdenken zu bewegen und ihn vor vielen möglichen Schäden zu bewahren.

Somit fragte ich meinen Gesprächspartner, ob er auch dann damit gut leben könnte, wenn auch er und seine Mitarbeiter mit seinen scheinbar unwichtigen Daten nichts mehr anfangen könnten, weil sie z.B. zerstört, gelöscht oder verschlüsselt wurden und seine Tagesabläufe für eine unbestimmte Zeit zum Erliegen kommen?

Den Gesichtsausdruck kann ich hier nicht beschreiben, aber wissen Sie wie endlos mir die 10 Sekunden Schweigen vorkamen?

Ich fragte weiter, ob er den Schaden melden muss oder nicht und ob er einen möglichen Angriff auch anzeigen würde?

Eine weitere Frage war, ob er in irgendeiner Form ein IT-Sicherheitskonzept vorlegen könne oder im Schadensfall gegenüber den Behörden zugeben muss, dass er das Thema IT-Sicherheit nicht ernst genug nahm und grob fahrlässig gehandelt habe?

Auch könnte ich mir vorstellen, dass die Versicherung ebenfalls ein Mindestmaß an Sicherheit einfordert und bei grober Fahrlässigkeit den Schaden doch nicht regulieren würde. (Sollte das ein Versicherungsexperte lesen so freue ich mich über die Aufklärung in den Kommentaren).

Mit Erleichterung habe ich wahrgenommen, dass bereits diese drei Fragen und ein lauter Gedanke das Gespräch in eine objektive und analytische Richtung lenkten. Dabei gibt es sehr viele weitere Aspekte, die darüber hinaus u.a. erwähnenswert wären.

Wie schnell kann im schlimmsten Fall der Geschäftsbetrieb wieder aufgenommen werden? Existiert ein funktionierendes Datensicherungskonzept, mit dem die Daten wiederhergestellt werden können? Was würde ein Sicherheitsvorfall für das Image des Unternehmens bedeuten? In einigen anderen Gesprächen fragten mich auch ein paar weitere Unternehmer, was ich von einer Cyberversicherung halte. Meine Antwort ist immer dieselbe und eigentlich ganz einfach.

Die Cyberversicherung ist als eine mögliche Maßnahme des gesamten Sicherheitskonzepts, also als eine Ergänzung zu betrachten. Sie ist kein Ersatz für ein IT-Sicherheitskonzept mit wichtigen technischen und organisatorischen Sicherheitsmaßnahmen. Die Cyberversicherung befreit nicht von den „Aufgaben“ und schon gar nicht von der Verantwortung ein angemessenes Sicherheitsniveau zu erreichen und zu halten.

Schreiben Sie mir Ihre persönliche Meinung, Ergänzung oder auch Ihre Sichtweise in die Kommentare.

Kontaktieren Sie mich, um die Sicherheit Ihrer IT auf die Probe zu stellen. Profitieren auch Sie von gezielten und effektiven Sicherheitsmaßnahmen.

Folgen Sie uns auf unseren Social Media Kanälen und teilen Sie diesen Beitrag mit anderen: