Bei “heise” gibt es ein Video, welches sich mit dem Solarwinds-Hack auseinandersetzt.
Zwei Aspekte möchte ich aufgreifen.
Es scheint so, als habe ein Investor die Firma übernommen, um diese danach auf maximalen Profit zu trimmen.
In diesem Bestreben hat man wohl das “unproduktive” Thema Sicherheit zu wenig beachtet, um es einmal vorsichtig zu formulieren.
Warnungen von Sicherheitsexperten wurden ignoriert – offene Zugänge nicht geschlossen.
Man kann sich leicht vorstellen, dass die Angreifer diese Informationen natürlich auch hatten und so war es sehr leicht, die offenen Türen einzurennen.
Es ist das grundsätzliche Problem, das ich auch bei meinen Kunden immer wieder habe. Sicherheit kostet Geld. Sogar vielleicht sehr viel Geld.
Das möchte man möglichst nicht investieren.
Ein wenig findet man das auch auf dem Arbeitsmarkt wieder, wo erfahrene Security Experten oft in der gleichen Gehaltsgruppe zu finden sind wie “Admins”.
Öffentliche Ausschreibungen befinden sich meist auf einem Gehaltsniveau, das maximal wenig erfahrene Berufseinsteiger locken kann.
Wenn ein erfahrener (Security)-Experte im Monat 8 Tage beschäftigt ist, bei einem Stundensatz von 100€, dann macht er damit im Jahr (8 Tage * 8 Stunden * 12 Monate * 100€) einen Umsatz von 76.800€ Brutto.
Was wären Sie bereit einem IT-Experten als Brutto Jahresgehalt zu bieten?
Ganz sicher gibt es in der Gruppe der Berufseinsteiger auch viele “Cracks”, die mir ganz schnell meine Grenzen zeigen würden. Dennoch finde ich, dass Erfahrung schwer durch Wissen zu ersetzen ist und eben auch sein Geld wert sein sollte.
Aber auch der Druck der Geschäftsleitung, möglichst die beste Technik für das kleinste Geld und mit keinerlei Administrationsaufwand zu bekommen, ist gerade im Mittelstand und bei kleinen Unternehmen noch oft vertreten.
Hier ist dringend ein Umdenken erforderlich.
Moderne IT Systeme haben eine Komplexität, die nur durch qualifizierte Fachkräfte in den Griff zu bekommen ist. Dafür braucht man ein Budget.
Dieses für kurzfristige Gewinnoptimierungen nicht bereitzustellen, wird sich rächen, wie das Beispiel Solarwinds zeigt.
Der zweite Aspekt ist das Thema “Cyberversicherung”.
Ich habe ja schon oft angedeutet, dass ich es besser fände, wenn man das Geld und den Aufwand in die Absicherung der Systeme stecken würde.
Aber tatsächlich könnten die Versicherer dann etwas bewirken, wenn die Prämien auf Basis einer Sicherheitsanalyse entsprechend hoch berechnet sind.
Wenn ich für eine Versicherung gegen Cyberangriffe dem Risiko angepasste Prämien bezahlen muss, dann könnte es sich in der Tat auch lohnen, das Geld an der richtigen Stelle zu investieren.
Wobei – eine Versicherung wird niemals den Imageschaden abfangen können!
Ansonsten lohnt es sich durchaus, das Video von heise einmal anzuschauen.
Es liefert ausreichend “Material” zum Nachdenken…