Sind Sie sicher?

In schockierender Regelmäßigkeit führe ich sie. DIE Diskussion schlechthin. Die, die es nicht geben dürfte. Die Diskussion über Sicherheitsmaßnahmen in IT-Systemen. Da erklärt mir vom Laie bis zum Fachmann mit einer - für ihn - schlüssigen Argumentationskette, warum MFA in der eigenen Organisation völlig untragbar ist, warum die Fritzbox als Firewall für die kleine Außenstelle oder gar die Zentrale völlig ausreicht, warum eine Notebookverschlüsselung eine Spinnerei für paranoide IT-Spezialisten ist.

Der Bitkom meldete erst diese Tage 223 Milliarden(!) Euro Schäden pro Jahr und, dass neun von zehn Unternehmen von Datenklau, Spionage und Sabotage betroffen sind. Wer bei diesen Zahlen immer noch glaubt, das eigene Unternehmen sei viel zu uninteressant für Angreifer, zieht seinen Geldbeutel beim Einkauf in der Fußgängerzone auch am Wollfaden hinter sich her.

Nahezu jedes Unternehmen hat irgendwelche Maßnahmen getroffen - in den seltensten Fällen gibt es aber ein schlüssiges Gesamtkonzept. Es gibt Risiken bei denen man u.U. entscheiden will oder muss, dass man sie akzeptiert, weil Gegenmaßnahmen die Arbeit zu stark behindern würden oder schlicht untragbar teuer wären. In solchen Fällen sollte das aber bitte kein Zufall, sondern eine bewusste Entscheidung sein, die in regelmäßigen Abständen erneut geprüft und ggf. korrigiert wird.

Ich erlebe täglich Situationen, bei denen es ausschließlich um Bequemlichkeit geht: das System unterstützte Passwort-Policies, sie werden aber bewusst nicht aktiviert, damit der arme User weiterhin sein Geburtsdatum als Login verwenden kann. Es gibt MFA - und zwar kostenlos - aber es wird nicht genutzt, weil man es nicht zumuten kann - glatt gelogen! - man kann auch die Gurtpflicht zumuten.

Spätestens, wenn ich mir die Logins einer Umgebung anschaue und dort regelmäßige Login-Versuche aus China, Russland oder den USA finde, weiß ich entweder, dass ich (mit MFA und Policies) alles richtig gemacht habe, oder dass der Besitzer der Umgebung (ohne MFA und Policies) ein Problem hat. Und: Um gleich den Cloud-Gegnern den Wind aus den Segeln zu nehmen: das sieht beim selbst gehosteten Exchange-Server genauso aus, falls man nicht vollständig auf externen Zugriff mit Mobilgeräten und Computern verzichtet oder extreme Maßnahmen durchsetzt.

Für mich ist es völlig unverständlich, dass manche Kosten für Ausstattung ohne viel Diskussion hingenommen werden - der Firmenwagen mit 200-400€ pro Monat, ein brauchbarer Schreibtisch mit 800€, ein Bürostuhl mit 500€, ein Notebook für 1.200€ - alles in Ordnung. Wenn aber eine vollumfängliche Security-Lösung für alle PCs, Handys und sonstige Geräte eines Users mehr als 2,50€ pro Monat kostet, ist es viel zu viel und man muss sich überlegen, ob man sich das leisten kann. Keine gute Idee - wirklich nicht.

Hand auf's Herz: ist das Mobilgerät, mit dem Sie diesen Artikel gerade lesen wirklich gesichert? Mindestens die Firmendaten verschlüsselt? Zugang mit Passwort oder Biometrie gesichert? Zugriff von Facebook/Whatsapp auf die Firmendaten unterbunden? Werden die Sicherheitseinstellungen zentral gesteuert? Viren- und Angriffsschutz etabliert?

Nein? Dann sollten Sie reagieren.