An einem Netzwerkanlass sprach ich mit dem CEO einer 60 Personen grossen Unternehmung. Seine Haltung zur Cybersicherheit ist so verantwortungslos und naiv, dass es mich aufgerüttelt hat: MFA haben sie nicht, Awarenesstrainings werden auch keine gemacht und für Cybersicherheit ist seine Assistentin zuständig. Ein irres Gespräch, das man im Jahr 2025 kaum für möglich halten würde.
Ich will euch davon berichten, weil es ein musterhaftes Beispiel für eine brandgefährliche Haltung ist: Hoffen anstatt Handeln. Mein Ziel ist es nicht, mit dem Finger auf jemanden zu zeigen.
Die Inhalte dieses Beitrages
1. Das spontane Gespräch
Es geschah an einem Wirtschaftsevent, ich war umgeben von Unternehmerinnen und Unternehmern aus unterschiedlichsten Branchen. Beim Lunch sass ein CEO eines Unternehmens mit rund 60 Mitarbeitenden neben mir. Wir kamen schnell auf das Thema Cybersicherheit zu sprechen.
«Wie seid ihr in Sachen Cybersicherheit aufgestellt?», wollte ich von ihm wissen.
Er lächelte und sagte ruhig: «Meine Firma ist zu klein. Für uns besteht kein grosses Risiko. Die Eintrittswahrscheinlichkeit ist praktisch null.»
Diese Antwort hat mich erschreckt. Ich hakte nach: «Und ist die IT denn wichtig für euch?»
«Natürlich», sagte er. «Wir sind ein Dienstleister. Das muss einfach immer laufen.»
Ich merkte, dass er das Thema Sicherheit als rein technische Frage verstand. Als Aufgabe seiner IT-Abteilung. Für ihn war Cybersicherheit ein Thema, das man «laufen lassen» kann, solange die Computer funktionieren.
2. Die unglaublichen Aussagen
Im Verlauf des Gesprächs wurde klar, wie tief diese Haltung bei ihm verankert ist. Als ich ihn fragte, wie seine Sicherheitsmassnahmen konkret aussehen, meinte er: «Das weiss ich nicht so genau. Das ist Sache der IT.»
Dieser Satz blieb hängen. Denn genau hier liegt die erste Todsünde: Cybersicherheit ist nicht eine Sache der IT. Cybersicherheit ist Sache der Unternehmensleitung. Er als CEO muss das Thema als fixen Agendapunkt traktandieren und eine Sicherheitskultur vorleben. Natürlich nimmt jede Abteilung, insbesondere auch die IT, ihre Teilaufgaben darin wahr.
Aber die Verantwortung darf er nicht delegieren, sondern muss sie übernehmen und sichtbar leben.
Darum überraschte mich nicht, wie er auf die Frage nach Awarenesstrainings für seine Mitarbeitenden antwortete. Sie machen keine Trainings. Das ist heftig, ich habe hier im Detail über die Wichtigkeit der Trainings geschrieben.
Meines Erachtens ist das die zweite Todsünde. Die Mitarbeitenden sind die grösste Angriffsfläche und es lässt sich mit schlanken Trainings rasch eine Verbesserung in der Resilienz messen.
Als ich schliesslich auf Multifaktor-Authentifizierung (MFA) zu sprechen kam, setzte er die Kirsche auf die Torte. Er kannte den Begriff nicht. «Authenticators, Codes; davon habe ich gehört, aber das haben wir nicht im Einsatz», meinte er.
Die dritte Todsünde. Die Multifaktor-Authentifizierung ist heute ein absoluter Standard und gehörte in einem Unternehmen wie seinem diskussionslos durchgesetzt.
3. Die enorme Gefahr
Was mich dabei am meisten beschäftigt hat, war nicht das technische Unwissen, sondern die unternehmerisch verantwortungslose Haltung.
Vertrauen ist für ein Unternehmen die härteste Währung überhaupt. Wenn dieses Vertrauen verloren geht aufgrund eines schweren Cybervorfalles, ziehen seine Kundinnen und Kunden die Aufträge zurück und man wird in der Branche einen grossen Bogen um ihn und seine gebrandmarkte Firma machen.
Er setzt die Zukunft seines Unternehmens aufs Spiel. Mehrfach habe ich ihn im Gespräch zu überzeugen versucht. Er zeigte sich wenig beeindruckt und wiederholte, dass sie zu klein und daher uninteressant seien.
Diese Zeiten sind längst vorbei. Cyberkriminalität trifft nicht mehr nur die Grossen. Kleine und mittlere Unternehmen sind heute das bevorzugte Ziel, weil sie schwächer geschützt sind. Die Hacker brauchen keine spektakulären Beutezüge mehr. Sie begehen CEO-Fraud, kaufen Zugangsdaten im Darknet und nutzen ungepatchte Schwachstellen aus.
Es ist ein Spiegelbild vieler Unternehmen. Man hat verstanden, dass Cyberrisiken existieren – aber man verdrängt sie, weil sie unbequem sind. Statt zu handeln, wird gehofft.
4. Das ernüchternde Fazit
Ich bin überzeugt: Für jedes Unternehmen wird der Tag kommen, an dem ein Cybervorfall Realität wird. Die Frage ist nicht ob, sondern wann.
Genau deshalb ist Prävention eine wichtige Führungsaufgabe, keine zu delegierende IT-Dienstleistung. Wer erst nach dem Ernstfall reagiert, zahlt den Preis doppelt: mit Geld und mit Reputation.
Mein Gesprächspartner wartet sinngemäss auf den Ernstfall. Sein Motto war: «Es wird gehofft, statt gehandelt.» Und das ist brandgefährlich. Denn wer in der heutigen Bedrohungslage nicht vorbereitet ist, riskiert, dass das eigene Unternehmen von einem Tag auf den anderen stillsteht.
Ich wünsche mir, dass Führungspersonen wie er das Thema endlich dort ansiedeln, wo es hingehört: im Chefbüro. Nicht, weil man alles selbst verstehen muss, sondern weil wir Chefs die Verantwortung tragen.
Cybersicherheit ist kein Projekt. Es ist eine Haltung. Und sie beginnt ganz oben.
