Es hat noch geschneit oder war zumindest bitterkalt, als ich Mitte Januar folgende Anfrage an eine grosse Schweizer Firma – eigentlich eine sehr, sehr grosse – schickte:
"Das Thema IT-Security interessiert mich. Wer wäre da der richtige Ansprechpartner und wäre ein Interview möglich?"
Es dauerte ganze sechs Wochen, bis ich Anfang März eine Antwort erhielt.
"Bei uns ist gerade in diesem Bereich sehr viel am Laufen."
Das wundert mich nicht. Deshalb würde ich auch gerne darüber reden.
"Könntest du mir mal die groben Themenfelder zukommen lassen, die du gerne abstecken würdest? Dann kann ich mal vorsondieren und planen, wie ein Gespräch mit einer Fachperson aussehen könnte."
Ja, klar. Soweit so normal. Am gleichen Tag liess ich mögliche Themen verlauten. Darunter die Höhe der Investitionen in IT-Security, die Grösse des Teams, mit welchen Massnahmen sich die Firma schützt und was sie punkto Awareness bei Mitarbeitenden unternimmt oder ob es eine Cyberversicherung gibt.
"So in etwa in diese Richtung – danke fürs Abklären", schrieb ich am 1. März.
Zwei Tage später erhielt ich die Antwort:
"Bei uns sind ein paar Leute ferienbedingt abwesend. Ist es OK, wenn wir uns Ende nächster Woche wieder melden?"
Aus Ende nächster Woche wurden zweieinhalb Monate und Mitte Mai.
"Wie du dir denken kannst, können wir bei diesem Thema nicht alle Karten komplett auf den Tisch legen."
Auch das ist völlig normal. Doch statt Terminvorschläge schickt die Pressestelle schon die vorgefertigten Antworten auf die Wochen zuvor übermittelten Fragen, die eigentlich zur Gesprächsvorbereitung gedacht waren.
Darunter befanden sich Perlen wie:
"Wir haben die Wichtigkeit von automatisierten Prozessen vor langer Zeit schon erkannt. Um diese fachgerecht zu schützen, fokussieren wir uns auf einen risikoorientierten Ansatz, um die sachgerechte Reduktion der IT-Risiken zu erzielen."
Dies auf die Frage, wie viel das Unternehmen in IT-Security investiert. Zur Grösse des verantwortlichen Teams sagt man uns:
"Wir haben ein schlankes Team aufgestellt, um risikoorientiert zu steuern, zu prüfen und die Umsetzung von Massnahmen in der ersten Linie zu veranlassen."
Oder zum Thema, ob es schon erfolgreiche Angriffsversuche gab, heisst es:
"Wir haben einen eingespielten Security Incident Response Prozess. Das CSIRT führt diesen und stellt dabei die interdisziplinäre Zusammenarbeit der jeweiligen Teams sicher. So sind wir sicher, dass wir über die Experten von Forensik über Legal & Compliance wie auch Kommunikation die notwendige Management Attention verfügen."
Tja, jetzt wissen wir also gleich viel wie vorher. Schade eigentlich. Das Interview würde ich natürlich noch immer gerne führen, aber ganz sicher nicht schriftlich.