Organisatorische und technische Maßnahmen zum IT-Selbstschutz

Es mangelt nicht an Rahmenwerken für die IT-Sicherheit (wie ISO 27001, BSI-Grundschutz, Top 20 CIS Controls, VdS 10000:2018 Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU), MITRE ATT&CK), Best-Practice-Empfehlungen, Studien oder Fachartikeln. Zum Teil ist solches „told you so“ seit Jahren oder Jahrzehnten verfügbar.

Aber warum ist deren Umsetzung im Alltag so schwer? Warum werden IT-Systeme und IT-Netze immer wieder erfolgreich angegriffen? Warum fällt das RAID genau dann aus, wenn die Tapes soeben im hochwassergefluteten Keller ertrunken sind? (Nein, ein RAID ist kein Backup-Ersatz. Nein, Online-Backups, die für Verschlüsselungstrojaner erreichbar sind und sich so auch online verschlüsseln oder löschen lassen, sind kein Ersatz für die Lebensversicherung Offline-Backups). Warum versagt die Managementkonsole der Endpoint Protection prompt, während ein Angriff mitten im Gange ist, lief davor aber fünf Jahre (vermeintlich …) so schön unauffällig durch? Sind wir selbst schuld, wenn unsere Systeme, Dienste und Daten kompromittiert werden oder nicht verfügbar sind? Oder anders gefragt: Wie viel Sicherheit brauchen und erreichen wir für unsere IT-Systeme im pragmatischen Alltagschaos?