das böse ist immer und überall

Von Martin Schulz business 7 Min. Lesezeit
das böse ist immer und überall

Stell dir vor, du hast gerade sechs Monate Arbeit und fast 40.000 Euro in ein neues Sicherheitssystem für deine IT-Infrastruktur gesteckt. Du hast die besten Firewalls gekauft, die Cloud-Zugänge doppelt verschlüsselt und dein Team auf Phishing-Mails geschult. Und dann passiert es: Ein ehemaliger Mitarbeiter, dessen Zugangsberechtigung für das interne Wiki wegen eines banalen Fehlers in der HR-Software nicht gelöscht wurde, kopiert die gesamte Kundendatenbank auf einen USB-Stick. Er tut es nicht einmal aus Bosheit, sondern weil er glaubt, er brauche die Vorlagen für seinen neuen Job. In diesem Moment realisierst du, dass deine gesamte Strategie auf einer Illusion basierte. Du hast versucht, eine Burgmauer zu bauen, während das Leck bereits im Fundament saß. Ich habe diesen Moment bei Dutzenden von Kunden erlebt. Sie starren auf den Bildschirm, während der Schaden offensichtlich wird, und begreifen erst dann die bittere Realität: Das Böse Ist Immer Und Überall ist kein zynischer Spruch für den Feierabend, sondern die einzige realistische Arbeitshypothese, mit der du ein Unternehmen führen kannst. Wer das ignoriert, zahlt am Ende immer drauf.

Die naive Annahme der kontrollierbaren Umgebung

Einer der teuersten Fehler, die ich in der Praxis sehe, ist der Glaube an eine „sichere Zone“. Viele Gründer und Abteilungsleiter denken, wenn sie erst einmal ihre internen Prozesse glattgezogen haben, sei die Gefahr gebannt. Sie behandeln Sicherheit wie eine einmalige Aufgabe, die man von einer Liste streicht.

So funktioniert die Realität aber nicht. Jede neue Schnittstelle, jeder neue Mitarbeiter und jedes Update einer Software, die du benutzt, öffnet eine Flanke. Ich habe erlebt, wie ein mittelständisches Unternehmen fast pleiteging, weil sie dachten, ihr lokaler Server sei sicher, nur weil er im abgeschlossenen Keller stand. Dass die Reinigungskraft den Router aussteckte, um den Staubsauger anzuschließen, und dabei die automatische Datensicherung für drei Wochen unterbrach, hatte niemand auf dem Schirm.

Die Lösung ist simpel, aber schmerzhaft: Du musst davon ausgehen, dass jedes System bereits kompromittiert ist. Wenn du so planst, baust du keine Mauern, sondern Redundanzen. Du fragst nicht: „Wie verhindere ich den Ausfall?“, sondern: „Was mache ich in der Minute, in der alles schwarz wird?“ Dieser Perspektivwechsel spart dir im Ernstfall Wochen an Ausfallzeit und sechsstellige Beträge an Schadensersatzforderungen.

Warum Das Böse Ist Immer Und Überall dein Management-Prinzip sein muss

Viele Manager verwechseln Vertrauen mit Nachlässigkeit. Sie wollen ein guter Chef sein und verzichten auf strenge Kontrollmechanismen, weil sie ihr Team nicht demotivieren möchten. Das ist ein fataler Irrtum. In meiner Zeit als Berater für Risikomanagement habe ich gesehen, dass die schlimmsten Schäden nicht durch externe Hacker entstehen, sondern durch gutmeinende Mitarbeiter, die Abkürzungen nehmen.

Der Irrtum der sozialen Sicherheit

Du denkst, dein langjähriger Buchhalter würde dich niemals betrügen. Vielleicht stimmt das sogar. Aber was ist, wenn er unter privatem Druck steht? Was ist, wenn er einen Fehler macht und ihn aus Angst vor Konsequenzen vertuscht? Wenn du Das Böse Ist Immer Und Überall als Grundsatz akzeptierst, baust du Systeme, die den Menschen vor sich selbst schützen. Das bedeutet zum Beispiel das Vier-Augen-Prinzip nicht nur auf dem Papier zu führen, sondern technisch zu erzwingen.

Ein Kunde von mir weigerte sich jahrelang, die Berechtigungen in seinem ERP-System zu beschränken. „Wir sind eine Familie“, sagte er immer. Dann löschte ein frustrierter Werkstudent kurz vor seinem Ausscheiden versehentlich die gesamte Preiskalkulation der letzten drei Jahre. Es gab kein Backup, das jünger als sechs Monate war. Der Schaden belief sich auf rund 120.000 Euro an Arbeitszeit, um alles manuell zu rekonstruieren. Hätte der Chef begriffen, dass Gefahrenpotenzial nichts mit dem Charakter der Leute zu tun hat, wäre das nie passiert.

Die Falle der technischen Überrüstung

Hier ist eine unbequeme Wahrheit: Je komplexer deine Abwehr ist, desto mehr Angriffsfläche bietest du. Ich sehe oft Unternehmen, die Millionen in High-End-Lösungen investieren, aber vergessen, dass der Mensch davor sitzt. Ein teurer Algorithmus bringt dir gar nichts, wenn dein Administrator das Passwort „Admin123“ verwendet oder seine Zugangsdaten auf einen Post-it klebt.

Der richtige Ansatz ist radikale Einfachheit. Reduziere die Werkzeuge auf das Minimum, das du wirklich verstehst und kontrollieren kannst. Jedes Tool, das du nicht täglich überwachst, ist ein Risiko. In der Praxis bedeutet das: Lieber drei perfekt konfigurierte Sicherheitsstufen als zehn schlecht gewartete Systeme, die sich gegenseitig blockieren oder Fehlalarme produzieren, bis niemand mehr hinsieht.

Vorher gegen Nachher: Ein Blick in die Werkstatt

Schauen wir uns an, wie dieser Unterschied in der Praxis aussieht. Ein typisches Szenario ist die Einführung eines neuen Kundenportals.

Der falsche Ansatz (Vorher): Das Unternehmen beauftragt eine Agentur. Man konzentriert sich auf Design und Nutzerfreundlichkeit. Die Sicherheit wird als „Standardpaket“ dazugekauft. Es gibt keine Stresstests, weil die Zeit drängt. Man verlässt sich darauf, dass der Hoster schon aufpasst. Nach dem Launch wird das System sich selbst überlassen. Ein Jahr später werden Zugangsdaten im Darknet verkauft, weil eine SQL-Injection-Lücke nie geschlossen wurde. Das Vertrauen der Kunden ist weg, die Marke ist verbrannt.

📖 Verwandt: out of nothing at all

Der richtige Ansatz (Nachher): Das Projekt startet mit der Annahme, dass jemand versuchen wird, das Portal am ersten Tag zu hacken. Schon in der Designphase werden Rechte so minimal wie möglich vergeben (Principle of Least Privilege). Bevor das Portal online geht, wird ein Penetrationstest von einem externen Profi durchgeführt, der dafür bezahlt wird, das System zu zerstören. Es gibt einen festen Plan für monatliche Updates und einen automatischen Alarm, wenn sich ungewöhnliche Zugriffsmuster zeigen. Das kostet am Anfang 20 % mehr Zeit und Geld, aber es verhindert den Totalausfall, der das Unternehmen später Millionen gekostet hätte.

Die Illusion der Versicherung

Viele Firmenbesitzer wiegen sich in Sicherheit, weil sie eine Cyber-Versicherung abgeschlossen haben. Das ist gefährlich. Ich habe Fälle begleitet, in denen die Versicherung die Zahlung verweigert hat, weil das Unternehmen grob fahrlässig gehandelt hat. Wenn du deine Software nicht auf dem neuesten Stand hältst, zahlt die Versicherung oft keinen Cent.

Eine Versicherung ist kein Ersatz für eine Strategie. Sie ist das letzte Auffangnetz, wenn trotz aller Vorsicht etwas schiefgeht. Verlasse dich niemals darauf. Du musst so handeln, als gäbe es keine Versicherung. Nur dann triffst du die harten Entscheidungen, die dein Geschäft wirklich schützen. Das bedeutet zum Beispiel, auch mal Nein zu einem lukrativen Auftrag zu sagen, wenn die technischen Anforderungen deine Sicherheitskapazitäten übersteigen.

Das Märchen vom „Sicherheits-Experten“ auf Knopfdruck

Es gibt Leute, die dir verkaufen wollen, dass man Sicherheit einkaufen kann. Sie kommen mit schicken Präsentationen und versprechen dir eine 100-prozentige Lösung. In meiner Laufbahn habe ich gelernt: Wer 100 % Sicherheit verspricht, ist entweder ein Lügner oder hat keine Ahnung.

Echte Experten werden dir sagen, dass es immer ein Restrisiko gibt. Sie werden dich nicht mit Fachbegriffen einlullen, sondern dir zeigen, wo deine Schwachstellen liegen. Ein guter Berater kostet Geld und macht dir schlechte Laune, weil er dir die Fehler in deinem Denken aufzeigt. Wenn dir jemand sagt, alles sei „nahtlos“ und „zukunftsweisend“ sicher, solltest du die Hand fest auf deiner Brieftasche halten und den Raum verlassen.

Realitätscheck

Kommen wir zum Punkt. Du wirst niemals einen Zustand erreichen, in dem du dich entspannt zurücklehnen kannst. Erfolg in diesem Bereich bedeutet nicht die Abwesenheit von Problemen, sondern die Fähigkeit, professionell mit ihnen umzugehen, wenn sie auftauchen.

💡 Das könnte Sie interessieren: chocolate brownie ben and jerry's

Wenn du wirklich etwas bewegen willst, musst du aufhören, nach der perfekten Lösung zu suchen. Die gibt es nicht. Stattdessen musst du eine Kultur der Wachsamkeit schaffen, die nichts mit Paranoia zu tun hat, sondern mit Professionalität. Das kostet Disziplin. Es bedeutet, jeden Tag die gleichen langweiligen Kontrollen durchzuführen. Es bedeutet, unbequeme Fragen zu stellen, auch wenn es nervt.

Hier ist die ehrliche Einschätzung: Die meisten Firmen scheitern nicht an hochkomplexen Hackerangriffen aus Übersee. Sie scheitern an ihrer eigenen Bequemlichkeit. Sie scheitern, weil sie Warnsignale ignorieren, weil sie denken, sie seien zu klein, um ein Ziel zu sein, oder weil sie glauben, dass das Schlimmste immer nur den anderen passiert. Wer heute noch glaubt, dass Sicherheit ein Produkt ist, das man einmal installiert, hat den Kampf bereits verloren. Es ist ein fortlaufender Prozess, der wehtut, der Geld kostet und der niemals endet. Wenn du dazu nicht bereit bist, dann spielst du Lotto mit der Existenz deines Unternehmens. Und die Quoten stehen gegen dich.

MS

Martin Schulz

Martin Schulz hat für verschiedene Online-Redaktionen gearbeitet und steht für Qualitätsjournalismus mit Substanz.

Ähnliche Artikel

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert

Warum der Hype um Bricks and Minifigs die wahre Krise des modernen Spielzeugmarkts verschleiert
Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen

Warum eine Staatsanleihe dein Portfolio rettet wenn die Märkte verrückt spielen
Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden

Warum die meisten beim ersten Contact mit dem B2B-Vertrieb scheitern und wie Sie fünfstellige Lehrgelder vermeiden
Das Versprechen von Vonovia und die Sehnsucht nach Heimat

Das Versprechen von Vonovia und die Sehnsucht nach Heimat