Jörg Fritsch, Research Director bei Gartner, über die Tatsache, dass in Deutschland weniger häufig erfolgreiche Hacker-Attacken bekannt werden. Er hofft, dass es nicht nur damit zusammenhängt, dass wir Deutschen besser darin sind, Dinge unter den Teppich zu kehren als anderswo.
Da draußen im Cyberspace findet eine große Schlacht statt. Eine erfolgreiche Hacker-Attacke übertrumpft die nächste, was die Menge und Sensitivität der Kundendaten betrifft, die wieder mal in falsche Hände geraten sind. Um den Standort Deutschland und Firmen aus Deutschland ist es dabei vergleichsweise ruhig. Warum das so ist, darüber kann man nur spekulieren.
Verglichen mit den USA gibt es in Deutschland keine Gesetze, die Unternehmen verpflichten, einen Hacker-Angriff mit Datendiebstahl öffentlich bekannt zu geben. Das könnte bedeuten, dass deutsche Unternehmen auch Sicherheitslecks am laufenden Band haben, aber besser darin sind, diese zu vertuschen. Anzeichen dafür könnten sein, dass man bei dem letzten Vorfall im Januar 2014, bei dem 16 Millionen deutsche Nutzerkonten gefunden wurden, nie so richtig erfahren hat, wer diese Daten ‘verloren hat’ und wo sie zu finden waren. Wie viele weitere Fälle gibt es also in Deutschland, von denen wir schlicht und ergreifend gar nichts erfahren?
Eine andere Antwort könnte sein, dass die Auswirkungen auf den Endverbraucher fast immer vernachlässigbar sind (und der Kunde haftet sowieso nicht für den Schaden) und man im deutschen Markt weniger an Schlagzeilen interessiert ist, die keine Auswirkungen auf den eigenen Geldbeutel haben. Für Werbezwecke von Herstellern von Sicherheitssoftware und Services reichen die internationalen Schlagzeilen aus. Es gibt ja jede Menge davon.
Kurz: Ich glaube, dass es in Deutschland tatsächlich weniger erfolgreiche Hackerattacken gibt, und ich glaube, dass die deutsche Gründlichkeit dafür verantwortlich ist:
Augenmerk auf Details und Grundlagen
Unattraktive Aufgaben, wie zum Beispiel das unangenehme Patchen von Systemen und die Einhaltung von (IT-) Unternehmensrichtlinien werden in Deutschland oft akribisch verfolgt. Regeln sind zum Einhalten da. Wer in Deutschland Sicherheitsrichtlinien für den Gebrauch des Firmenlaptops unterzeichnet hat, spielt darauf nicht Online-Poker und lädt nicht die halbe Kundendatenbank in ein cloud-basiertes Tool hoch, weil ihm dort das GUI besser gefällt.
Ein langer Atem zahlt sich manchmal aus
Man setzt auf etablierte – das heißt natürlich, in Deutschland etablierte – Technologien und bleibt an diesen hängen. Obwohl man immer öfter hört, dass alle Systeme bereits von zum Beispiel fortgeschrittenen andauernden Bedrohungen (englisch: “Advanced Persistent Threats”, kurz APTs) unterwandert sind und man deswegen noch mehr Kontrollen braucht, ist die Installation traditioneller, so genannter “Endpoint Protection Agents” eine Technologie, an der man in Deutschland immer noch viel Freude hat. Fakt ist, dass man mit dieser relativ einfachen Maßnahme einiges erreicht. International wird diese einfache Maßnahme jedoch oft vernachlässigt.
Aber, wir kennen es alle: Die deutsche Gründlichkeit bereitet natürlich auch Probleme und Stolpersteine:
Papiertiger werden unterschätzt
International kümmern sich im Moment viele Unternehmen, auch kleinere und mittelständische, um Governance-Risiken und Compliance-Themen, wie zum Beispiel IT Risk Management, Vendor und Supply Chain Risk Management, Audit & Corporate Compliance sowie Software und Dashboards die den CIO dabei unterstützen, den Überblick zu behalten. In Deutschland beobachte ich, dass es dort, wo Technologie auf Papier trifft, eher Hemmungen und Sorgen gibt, den nächsten Papiertiger zum Leben zu erwecken (wahrscheinlich aufgrund der Furcht vor deutscher Gründlichkeit) und man tut hier lieber nichts. Dies betrifft natürlich nicht die Branchen, die dazu verpflichtet sind.
Es fällt schwer, sich an Neues zu gewöhnen
Neue Denkweisen, die etwa notwendig sind, voll und ganz von neuen Technologien wie zum Beispiel “Software Defined Data Centers”, Cloud Computing oder dem Internet of Things zu profitieren, verlieren oft den Kampf gegen etablierte Denkweisen und Mauern. DevOps ist hier ein gutes Beispiel. Laut Wikipedia ist DevOps “ein Kofferwort aus Development (englisch für Entwicklung) und Operations (englisch für Betrieb) und beschreibt Maßnahmen, um häufige Bruchstellen zwischen Anwendungsentwicklung und IT-Betrieb in Unternehmen zu überwinden”.
Die Unsicherheit um DevOps wird meiner Einschätzung nach noch Jahre lang anhalten, weil es sich nicht herumspricht, dass DevOps nur funktionieren kann, wenn man deutsche Gründlichkeit voraussetzt. Klar, anderswo wird es mit den Vorteilen der Autonomie und Selbstverantwortung beworben. Was viele nicht wissen, ist aber, dass diese Vorteile damit erkauft werden müssen, dass sich alle konsequent an die Regeln halten.
Auf der einen Seite empfiehlt man gerne, ausgewogen an Situationen heranzugehen und sagt Dinge wie “Alles hat seinen Platz”. Man findet Synergien und baut Brücken zwischen altem und neuen. Keiner wurde jemals dafür gekündigt, weil er ein ausgewogenes Konzept hatte? Vergessen Sie das! Ein 80er Jahre Walkman hat nur noch einen Platz im Museum. Damit kommen Sie heute nicht mehr weiter.
Riskieren Sie etwas!
Ich denke vielmehr, dass es genau jetzt Zeit ist, ein paar (kalkulierte) Risiken einzugehen und zum Beispiel neue Technologien frühzeitig einzusetzen und dabei abzusichern, so gut es eben geht. Lassen Sie Ihr Unternehmen nicht vor lauter Angst und Gründlichkeit auf seinem Weg ins digitale Zeitalter aufhalten. Nicht nur die Finanzmärkte verlangen hohe Einsätze, sondern auch neue Technologien. Mit den gegenwärtigen Entwicklungen steht die IT an einer historischen Schwelle. Entweder alles wird hypertechnisch oder die großen Visionen erweisen sich als Luftblasen und sinken zurück in die Bedeutungslosigkeit. Wenn sie dies hier lesen, sitzen Sie schon im Boot der “Hypertechniker”. Erhöhen Sie mal den Einsatz.