Sicherheit ist kein beliebtes Thema. Sicherheit produziert keine Werte, da sie definitionsgemäss nichts anderes als die Abwesenheit von Gefahr ist. Das kann dazu verleiten, ein einmal eingeführtes Information Security Konzept als bewährt (!) wahrzunehmen, so lang es nicht belastet wird.
Es ist ein gutes Gefühl zu wissen, dass ein Auto über ein Reserverad verfügt. Nun bricht die Welt nicht zusammen, wenn ein Auto abgeschleppt werden muss, weil das Reserverad leer ist.
Anders sieht es aus, wenn es nicht ums Auto, sondern um die IT-Infrastruktur des Unternehmens geht. So nützt beispielsweise das beste Backup-System wenig, wenn die benötigten Datenträger im privaten Keller jenes Mitarbeiters liegen, der in den Ferien weilt.
Dass es nicht um Ausnahmeerscheinung geht, zeigt ein kürzlich durchgeführter Test im Zusammenhang mit dem RDP Remote Desktop Zugang: Von rund 60 gescannten Unternehmen war die Hälfte offen «wie ein Scheunentor», obwohl Microsoft gewarnt und einen Patch zur Verfügung gestellt hatte.
Bekannterweise gibt es keine absolute Sicherheit. Wer das Thema ernst nimmt, kommt demzufolge nicht darum herum, das gewünschte, angemessene, also bezahlbare Sicherheitsniveau zu quantifizieren. Die Verantwortung dafür muss auf oberster Ebene klar zugeordnet und mit Budget und Befugnissen ausgestattet werden. Und wenn doch mal etwas passiert, ist der Vorfall nachzubereiten: Was war der Grund? Müssen technische oder organisatorische Massnahmen ergriffen werden, um eine Wiederholung zu vermeiden? Oder kann darauf verzichtet werden zugunsten der Erkenntnis «Wir kennen das Risiko jetzt und nehmen es bewusst in Kauf». Ob die letztere Entscheidung gut ist, lässt sich diskutieren. Sicher ist nur: Besser eine Entscheidung als gar keine.