«Star Wars» ist wieder in den Schweizer Kinos und eine Studie der Fachhochschule Nordwestschweiz (FHNW) zur Digitalen Transformation bei KMU hat ergeben, dass Daten- und IT-Sicherheit als das grösste Risiko angesehen wird (61% der Befragten). Ein perfekter Aufhänger, um die «dunkle Seite der Digitalisierung» etwas näher zu beleuchten.

Auch ICTswitzerland hat kürzlich eine Studie zu Cybersicherheit publiziert, wonach bereits jedes dritte KMU (36%) Opfer von Cyberangriffen war und 4% gar erpresst wurden. Zu meinem Erstaunen las ich in derselben Studie: 56% der Geschäftsführer «fühlt sich gut bis sehr gut vor Cyberangriffen geschützt».

Bauchgefühl reicht leider nicht

Ich kann mir diese Diskrepanz nur damit erklären, dass die Gefahren auf einer generellen, theoretischen Ebene durchaus ernst genommen werden, im konkreten Unternehmensalltag aber meist abstrakt und im Hintergrund bleiben. Gefühlsmässig ist die digitale Welt in Ordnung.

Ich vermute, das liegt unter anderem daran dass wir Menschen biologisch bedingt sehr schlecht darin sind, Risiken und Gefahren einzuschätzen, die keine physische, mit unseren Sinnen erfahrbare, Form haben. Cybergefahren gehören dazu: Es sind Bits und Bytes, die rasend schnell und leider oft unbemerkt durch die Netzwerke schwirren.

Dieser «Bias» führt oft zu falschen Vorstellungen und Einschätzungen.

So höre ich bei Cloud-Lösungen oft Bedenken bezüglich Daten- und IT-Sicherheit. Menschen neigen dazu, den immer noch oft existierenden «Server unter dem Schreibtisch» als sicherer einzustufen, weil die Daten dann eben «im Haus» sind. Dass Cloud-Lösungen in der Tendenz sicherer sind, weil sie meist von Spezialisten 24 Stunden am Tag überwacht und gewartet werden, wird dabei nicht bedacht.

Lustig wird es, wenn Datacenter in alte Armeebunker verlegt werden. Cyber-Gefahren kommen aus dem Netzwerk und interessieren sich nicht für Bunkerwände.

Investitionen in echte Daten- und IT-Sicherheit fallen dann diesem «Bias» zum Opfer oder werden auf die lange Bank geschoben. Sie bringen ja zunächst auch weder Kunden noch Umsätze.

Die Gefahren sind real

Dass Cybergefahren real sind, lässt sich einfach nachvollziehen. Es ist nicht zu erwarten, dass die Ursache – Cyberkriminalität, welche es auf Werte wie Daten oder Geld abgesehen hat – so schnell massiv zurückgeht. Denn auch Cyberkriminellen bietet die Digitalisierung sowohl Schutz wie auch immer neue Möglichkeiten und «Geschäftsmodelle».

Digitalisierung heisst technologisch vorallem, dass immer mehr Produkte und Prozesse in Software abgebildet werden. Es ist allgemein anerkannt, dass Software niemals fehlerfrei ist. Das kann eine falsche Berechnung oder eben auch eine Sicherheitslücke sein. Hinzu kommt auch die steigende Anzahl von Geräten, welche mit Software ausgestattet sind (Stichwort Internet der Dinge). Aber auch der Mensch ist und bleibt eine der wesentlichen Schwachstellen. Er ist oft der Faktor, der Dinge in Gang setzt, zum Beispiel durch das Öffnen einer «verseuchten» E-Mail.

Zusammen mit der immer höheren Vernetzung von Systemen und Akteuren steigen die Angriffspunkte und Gefahren nicht linear, sondern  Exponentiell.

Die Ergebnisse der Studien zu den Opfern von Cyberangriffen bestätigen das leider.

Zeit, die dunkle Seite ernst zu nehmen

Zuerst muss also das Bauchgefühl und die Sensibilität für das Digitale neu justiert werden. Nicht nur Chancen, sondern auch Risiken. Nicht nur hell, sondern auch dunkel. Oder wie Meister Yoda es formulierte:

«Du musst sie fühlen, die Macht, die Dich umgibt. Hier, zwischen Dir, mir, dem Baum, dem Felsen dort, allgegenwärtig!»

Ich bin sicher, Sie statten Ihre physischen Assets wie Büros, Produktionsstätten oder Lager mit dem bestmöglichen Schutz aus. Sehen Sie Daten- und IT-Sicherheit genauso:

Als Schutz Ihrer digitalen Investitionen und Assets.

Insbesonders dann, wenn sie damit Geld verdienen – und das wollen Sie ja vermutlich.

Eine klare und zweckmässige Strategie, welche auf dem richtigen Bauchgefühl aber auch harten Fakten beruht, ist dazu unerlässlich. Diese sollte in enger Zusammenarbeit von Business, IT und externen Spezialisten erarbeitet und regelmässig auditiert werden. Oft lassen sich die Risiken bereits mit wenigen, aber konsequent umgesetzten Massnahmen, erheblich senken.