Wenn man den Begriff „Informationssicherheit“ in Deutschland hört, setzt man ihn meist gleich mit Buzzwords wie „Cyber“, „Cybersecurity“, „IT-Sicherheit“ und so weiter. Flächendeckend besteht kaum Kenntnis dessen, was Informationssicherheit eigentlich macht, wer das macht, warum das wichtig ist, und warum ausgerechnet der viel besungene Mittelstand sich damit befassen muss.
Informationssicherheit sichert alle Werte eines Unternehmens ab. Alle. Werte. Also natürlich die Datenbestände, die personenbezogenen Daten, vor allem die geheimgeschützten Daten, aber auch die Gebäude, Autos, Mitarbeiter, in meinem Laden betrachte ich sogar Burnout von Mitarbeitern als Risiko, das betrachtet und regulativ gesenkt werden muss. Ich folge dabei vier großen Themenbereiche, sogenannte Kontrollen, die ich mir ansehe:
Physische, Organisatorische, Soziale und Technische Kontrollen. In diese Bereiche kategorisiere ich Risiken, und erarbeite zusammen mit den Fachbereichen Lösungen, wie wir diese Risiken mindern können. Das ganze orientiert sich an der DIN ISO 27001 in der Version 2022.
ISO 27001 – Was zum…. ?!
Die meisten Geschäftsführer, die ich erlebt habe, schüttelt es nur bei der Erwähnung von Zertifizierungen. Nicht nur, weil der Aufwand wohl bekannt ist, sondern hauptsächlich der Kosten wegen. Denn: wir reden hier von relativ kleinen Betrieben, für die eine Zertifizierung zwar aus Marketinggründen, wenn schon nicht zum Selbstschutz Sinn macht, aber die Kosten eben dem Nutzen entgegenstehen.
Die ISO 27001 ist da ein Paradebeispiel. Jeder, der mal eine Zertifizierung nach dieser Norm mitgemacht hat, weiß, wie nervenaufreibend das sein kann, vor allem in großen Betrieben, die dann noch von anderen Normen abhängen. Es dauert Tage, bindet Fachkräfte, und nervt einfach nur.
Aber gerade in einer Bürokratie wie Deutschland ist es seit Jahrzehnten Brauch, dass nichts etwas wert ist, wenn es nicht auf Papier gebannt wurde. So ein Zertifikat muss schließlich auch alle drei Jahre erneuert werden, und jährlich überprüft werden. Die Kosten sind erheblich. Daraus hat sich eine ganze Industrie entwickelt, die nichts anderes tut, als Firmen zu auditieren in allen möglichen Bereichen, bei der Qualitätssicherung angefangen bis hin zu extrem obskuren Zertifikaten, unter anderem aber eben auch die ISO 27001. Nun muss man natürlich einen Bedarf schaffen. Und hier spielt in der Werbung oftmals Angst eine entscheidende Rolle.
Die amerikanische Sprache kennt den Begriff „German Angst“, ein ursprünglich von Kierkegaard geprägter Begriff, der zwar im Hinblick auf die Verhaltensweisen anderer Bevölkerungen nicht mehr als deutsches Alleinstellungsmerkmal der Krisenreaktion herhalten kann, aber dennoch viel von dem erklärt, was wir im Umgang mit Informationssicherheit in Deutschland erleben. Auch im Umgang mit Krisen, was das betrifft.
Angst ist einer der stärksten Motivatoren bei der Entscheidungsfindung. Jeder kennt den Begriff „Fliehen oder Kämpfen“, die einfachste Entscheidungsmatrix unseres Gehirns. Dies betrifft sichtbare, akute und gegenwärtige Gefahren. Salopp gesagt, diese Entscheidung treffen wir unterbewusst, wenn der Säbelzahntiger uns anspringt. Womit wir gewaltige Schwierigkeiten haben, sind abstrakte Risiken. Wir sind als Individuen in der Lage, Risiken zu erkennen, die uns gar nicht oder noch nicht betreffen. Wir sind aber als Masse nicht in der Lage, diese Risiken effektiv zu bekämpfen, weil wir sie eben nicht mit der physischen Angstreaktion verknüpfen. Das wiederum bedeutet, dass wir kaum Energie auf die Krisenvorbereitung verwenden. Ich rede hier nicht von Aluhüten, die sich im selbstgebauten Bunken mit Tonnen von Dosenbohnen verschanzen. Ich rede von einem vernunftbasierten Risikomanagement auf kollektiver Ebene. Hier scheitert natürlich Ideal an Realität, denn das passiert natürlich nicht. Ein Individuum mag ein Risiko für sich erkennen, und Gegenmaßnahmen einleiten. Versicherungen sind zum Beispiel ein Auswuchs dessen. Nicht Cyberversicherungen, keine Sorge. Wir haben tolle Organisationen wie die Feuerwehren, das THW, die Rettungsdienste, alles tolle Menschen, die die Gefahren für Leib und Leben verringern.
Firmen fürchten vor allem zwei Dinge: Verlust von Gewinnen, und Verlust von Reputation. Das eine bedingt in Teilen das andere. Das heißt, Aufgabe der Informationssicherheit ist hauptsächlich das Verhindern dieser beiden Dinge. Nebenbei geht es natürlich noch um das Einhalten von Gesetzen und so weiter – aber bitte ohne Gewinne oder Reputation zu verlieren. Das Spannungsfeld zwischen Compliance und Firmeninteressen ist nochmal ein anderes Thema.
Um diese Dinge abzusichern, ersinnt die Informationssicherheit Wege, um Risiken zu erkennen, und dann die Entscheider dazu zu bringen, diese Risiken ernst zu nehmen, und Mittel bereitzustellen, die Risiken zu minimieren. Als Beispiel möchte man verhindern, dass in einen Standort eingebrochen wird. Also evaluiert man die vorhandene Schließtechnik, und trifft eine Entscheidung, was man verändern möchte, um das Risiko unter einen bestimmten Schwellenwert zu drücken. Die Abwägung, welches Risiko man eingehen, und welches man minimieren möchte, wird im Einvernehmen mit der Geschäftsführung getroffen.
Normen wie die ISO 27001, oder der BSI IT-Grundschutz, helfen Leuten wie mir dabei, sich an einem vorgefertigten Gerüst entlang zu hangeln. Sie machen also die Arbeit grundsätzlich einfacher. Wenn man keine Angst vor ihnen hat.
Wer hat Angst vorm Schwarzen Mann?
Deutschland hat ein riesiges Problem mit der digitalen Sicherheit. Nicht nur, weil der Prozentsatz derer, die verstehen, worum es dabei auch technisch geht, so gering ist, sondern auch, weil wir seit Jahrzehnten durch Bürokratie und Papier gebremst werden. Auch die Weigerung vieler Behörden, auf – wohlgemerkt – eingeladene oder eingekaufte Experten zu hören, macht es nicht einfacher. Man erinnere sich an die unwürdigen Debatten über das IT-Sicherheitsgesetz in seinen Ausprägungen. Es fehlt also an klaren Vorgaben von oben. Ich halte das für einen falschen Ansatz. Ich sage: Ermächtigt Euch selbst. Als Firma kann man doch genausogut die zugrundeliegende Norm nehmen, ihre Anforderungen umsetzen, und sich eben nicht zertifizieren lassen. Man kann Informationssicherheit auch einfach machen, anstatt bei jeder Gelegenheit nach Subventionen zu schreien, Hilfe von Stellen anzufordern, deren Kompetenz in der Hilfeleistung bestenfalls fragwürdig ist. Man kann Quereinsteiger anheuern, die das für einen regeln. Man kann Vertrauen in Institutionen wie den CCC haben, die sicher nicht über jeden Zweifel erhaben sind, aber dennoch mehr Kompetenz in der Sache haben als viele andere.
Deutschland hat nicht den Absprung nicht geschafft, wir haben die Ausfahrt auf der Autobahn verpasst. Also sollten wir die nächste nehmen, zurückrudern, und uns auf das besinnen, was wir gut können, oder mal gut konnten. Aus wenig etwas machen, mit harter Arbeit, ohne KI auf alles draufzukleben, mit intellektueller und technischer Kreativität und aus eigener Kraft die Informationssicherheit angehen, und Unternehmen und Behörden vor der Einflussnahme durch durchaus feindlich eingestellte Dritte zu schützen.
Wer? Was? Wo?
Deutschland wurde von russischen Geheimdiensten als das lohnendste Ziel in Europa für Cyberwarfare gewählt. Nicht von ungefähr. Wir sind zahnlos. Faul. Eingefahren in den Wegen des Auenlandes. Verwöhnt von dem Luxus, den uns die Arbeit anderer eingebracht hat. Unsere Bürokratie verschlingt unfassbare Mengen von Steuergeldern, ebenso unser Parlament. Unsere Armee ist die Lachnummer der Nato, unsere Cybersicherheit ein Blatt im Wind staatlich finanzierter Cracker, die seit Jahren unsere kritischen Infrastrukturen angreifen und wir machen exakt was dagegen? Wir ergehen uns in Worthülsen, anstatt uns entschlossen zu verteidigen. Auch wenn das ein Umdenken des Konzeptes erfordert, wie wir Staat, Bürgerbeteiligung und Regierungsverantwortung sehen. Aber es fängt bei den Firmen an.
Wenn große Konzerne gehackt werden, dann oft durch die Dienstleister, mit denen sie zusammenarbeiten. Es geht weniger um Ransomware, wobei auch die nach wie vor eine Rolle spielt. Es geht um Industriespionage, um die Möglichkeit, im Rahmen eines militärischen Engagements Druck auszuüben, oder Schlüsseltechnologien lahmzulegen. Wasser, Energie, Ernährung, und was nicht noch so alles zu den kritischen Infrastrukturen gehört. Was wir nicht brauchen, ist noch eine Behörde, noch ein Gesetz. Was wir brauchen, sind gute Leute, die mit Leidenschaft dran arbeiten, auch die kleineste Firma abzusichern. Wir brauchen Richtlinien, die kostenlos auch für Ein-Personen-Unternehmen abrufbar sind, und klare Handlungskataloge für diese Firmen, was man wie am besten absichern kann. Wir brauchen Vertrauen in Open-Source-Zertifikate und -Software, in Experten, und wir brauchen vor allem das Gefühl, dass wir nicht alleine dastehen. Misstrauen, Gier und Angst sind eine tödliche Mischung, auch für Unternehmen. Wir müssen dahin kommen, dass ein kleines Unternehmen ohne Vorbehalte Informationssicherheit betreiben kann, und sich dabei gut fühlt, und wertvoll.
Man kann Vereine gründen, die ehrenamtlich solche Zertifizierungen durchführen, Penetrationstests anbieten, die mit der Firmengröße skalieren, man kann Informationssicherheit als lebenskundliche AG in Schulen anbieten, wenn schon nicht als fester Bestandteil eines verpflichtendes Lehrfaches Informatik. Was man nicht machen kann, ist, sich bei der Informationssicherheit auf Behörden zu verlassen.
Logray, 2025
