KI-Systeme sind nicht immun gegen Angriffe, sondern können selbst zum Ziel von Angriffen werden. Es...
Im heutigen Blog möchte ich mich einmal mit einem Phänomen beschäftigen, das mich in den letzten gut 20 Jahren meiner beruflichen Tätigkeiten im IT-Security Bereich begleitet hat, das ich aber bis heute nicht zu meiner vollständigen Zufriedenheit erklären kann:
Warum behandeln wir in Deutschland das Thema „IT Sicherheit im eigenen Hause“ immer noch als Sollte-aber-muss-man-nicht-(auf-neuestem-Stand)-haben-Thema? Gleichzeitig möchte ich aber auch dazu ermuntern, uns Feedback zu geben, was hierzu Ihre Meinung ist.
Kürzlich luden wir im Rahmen einer Web-Session (Der Pattern-basierte Ansatz war gestern, warum Unternehmen umdenken sollten) ein. Hierzu führte ich u.a. mit einem Kunden im Vorfeld ein Telefongespräch, weil ich diesen gerne einladen wollte. Die Reaktion des IT-Security Verantwortlichen: „Das ist nicht so interessant für uns und außerdem fällt das zeitlich genau in unsere Frühstückspause“
Ich gebe zu, das ist ein sehr plakatives Beispiel,- aber wahr! Ich frage mich ernsthaft, was passieren muss und wer alles warnen muss, damit das Gefühl bei immer noch vielen Verantwortlichen, dass es sich bei Investitionen zur Absicherung des eigenen IT/OT-Überlebens um lästige Versicherungsbeiträge handelt, verschwindet. Bzw. dass man hier erst einmal ein paar Jahre abwarten kann, ob man sie überhaupt tätigen muss.
Tagtäglich erreichen uns Hiobs-Botschaften über Leaks, Schwachstellen in gängigen Produkten und erfolgreiche Hacker-Angriffe auf Unternehmen und Behörden. Warum führt das nicht zu der Einsicht, dass man seinen Sicherheitszustand regelmäßig überprüfen und abwägen muss, ob der Schutz gegen aktuellste Angriffe noch gut genug ist? Sind wir aufgrund der vielen Meldungen bereits abgestumpft? Warum werden „Überwachungs-Leistungen“ nicht an Profis übergeben, wenn sie aus eigener Kraft nicht gestemmt werden können? Ist das eine alleinige Budget-Frage?
Mir wurden und werden seit Jahren immer wieder folgende Argumente genannt:
- kein Geld, nicht budgetiert
- die Verantwortlichen haben andere Prioritäten
- die vorhandene Lösung ist bekannt, reicht aus und kann vom Personal auch betreut werden
- Einkauf externer Dienstleister zu teuer / nicht gewünscht
Gleichzeitig diskutieren wir aber über die Zunahme von erfolgreichen Attacken, die Anfälligkeit kritischer Bereiche in Deutschland und den zunehmenden Mangel an fachlich qualifizierten Mitarbeitenden im Bereich IT-Security. Ich betone hier: diskutieren. Denn wir kommen meiner Meinung nach nicht in die Umsetzung. Ist es wirklich so, dass die Frühstückspause wichtiger ist, als die effektive Absicherung meiner wichtigsten Assets?
Wir freuen uns auf Ihre Meinung. Was sind bei Ihnen die Hemmnisse? Haben Sie ähnliche Erfahrungen gesammelt oder sehen Sie die Entwicklung ganz anders?
