Cyberkriminalität richtet einen immensen wirtschaftlichen Schaden an. Das ist genauso ein unbestreitbarer Fakt, wie die immer häufiger und perfider werdenden Angriffe von Ransomware-Banden auf Unternehmen und Organisationen. Deshalb ist die Schuld primär nicht bei den Angegriffenen zu suchen, sondern bei den Kriminellen. Beim Täter und nicht beim Opfer.

Dennoch habe ich als Beobachter der Situation immer öfter den Eindruck, dass viele Unternehmen nicht genug dafür tun, sich bestmöglich gegen Angriffe zu schützen. Es ist mir bewusst, dass es keinen 100%-ig wasserdichten Schutz gibt, aber oft genügt das kleine Einmaleins der Cybersicherheit, um den grössten Schaden abzuwenden: Multifaktor-Authentifizierung, Passwortmanager, bekannte Lücken patchen und den Umgang mit Phishing-Mails schulen. Zum Beispiel.

In vielen Unternehmen fehlt es aber an entsprechend ausgebildeten Mitarbeitenden und auch am Budget, das ist mir bewusst und das ist ein Teil des Problems. Denn wenn ein Cyberangriff passiert, ist das Budget plötzlich oft da – es wird dann halt einfach in die Behebung des Schadens investiert:

Der andere Teil des Problems ist, dass es oft auch an der Sensibilität für Cybersicherheitsthemen fehlt. Exemplarisch gezeigt haben das die eingeschriebenen Briefe des ehemaligen NCSC, die über gefährliche Exchange-Lücken informiert hatten, aber geflissentlich ignoriert worden sind.

Sie können nun zu Recht sagen: "Das ist Jahre her!", was auch stimmt. Aber besser ist es seitdem nicht geworden. Das Bewusstsein, dass jedes Unternehmen schützenswerte Daten hat, auch wenn es keine Daten von Kundinnen und Kunden speichert, haben längst nicht alle verinnerlicht. Zu weit verbreitet ist der Glaube, weil "bei mir nichts zu holen ist, mir deshalb auch nichts passiert". Das ist nicht nur naiv, das ist auch gefährlich. Und schlimmstenfalls sehr teuer.

Jede Firma speichert mindestens Daten von Mitarbeitenden (Notfallkontakt, Bankkonto, AHV-Nummer und weitere), für die sie verantwortlich ist und die sie schützen muss. Beim Datenschutz auf das Prinzip Hoffnung zu setzen, genügt nicht. Und es reicht erst recht nicht, die Öffentlichkeit via Medienstelle mit Worthülsen – "Wir nehmen dieses Thema sehr ernst!" – zu vertrösten. Es braucht eine ernstgemeinte, transparente und offene Kommunikation nach Aussen und eine ehrlich gemeinte Fehlerkultur nach Innen.

Es ist doch so: Würden diese Unternehmen das Thema wirklich (!) und noch vor dem Angriff (!) ernst nehmen, dann würden viele Vorfälle mit an Sicherheit grenzender Wahrscheinlichkeit nicht passieren. Oder zumindest wären ihre Folgen weniger dramatisch.