‚Sehr geehrter Kunde,
anbei Ihre Monatsrechnung für das Website-Hosting mit der Bitte um Ausgleich…..‘
usw.
Reinhold B. hat den kurzen Gedanken ‚Haben wir überhaupt was bei denen…?‘
08:36: Weiterleitung der Email an die Buchhaltung mit der Anmerkung ‚bitte mal prüfen!‘
Die Buchhaltungsleiterin Regina M. öffnet die angehängte Datei ‚Rechnung12345XYZ.doc‘, um sie zu prüfen.
Kurze Zeit später werden alle Bildschirme in Büros und Produktion dunkel und es erscheint die Aufforderung zur Überweisung von etwas Bitcoin für die Freigabe der verschlüsselten Dateien.
Die gute Nachricht: es wurde kein Lösegeld bezahlt und die IT-Landschaft war mit Unterstützung der externen Dienstleister am Ende der Woche wieder lauffähig.
Die weniger gute Nachricht: drei verlorene Aufträge und ein verlorener Kunde.
Warum schreibe ich das auf?
Kurze Zeit nach dem Vorfall wurde ich eingeladen, einen Awareness-Workshop zum Thema Phishing, Trojaner, Viren etc. zu halten.
Regina M. hat sich an diesem Tag krank gemeldet. Wie ich erfuhr, hat sie wochenlang keine Emails mit Anhang mehr geöffnet.
Immer noch stand unausgesprochen die Frage nach der Schuld im Raum…
Wer war denn nun der oder die Schuldige? Der Chef mit ‚bitte mal prüfen!‘, die Buchhaltung durch Befolgen der Anweisung oder die Administration mit den unglücklichen Makro-Einstellungen in der Software?
Ich sage: die Frage nach der Schuld oder die Suche nach einem Schuldigen ist müßig und kontraproduktiv!
Solche und ähnliche Vorgänge spielen sich vielfach und täglich in Unternehmen und Organisationen jeder Größe ab und nur wenige kapitale gelangen in die Öffentlichkeit.
Jeder von uns hat zum Teil gut gemachte und personalisierte Emails im Postfach und, Hand aufs Herz, niemand kann sich von der Gefahr eines möglicherweise verhängnisvollen Klicks freisprechen.
Wirklich wichtig ist:
1. Alle Mitarbeiterinnen und Mitarbeiter verstehen sich als Team und sind zusammen achtsam und kritisch im Umgang mit den elektronischen Medien. Nachfragen und sich Vergewissern ist kein Makel, sondern gelebter Schutz.
2. Es gibt viele gute Angebote auf dem Markt, die dabei helfen, das Bewusstsein aller Beteiligten für die Gefahren in der Internetwelt zu schärfen. Auch wenn diese Workshops und Online-Trainings etwas Geld und Zeit kosten: Alles ist billiger als der Totalausfall.
3. Die Nachbetrachtung des Vorfalls: Alle technischen und organisatorischen Maßnahmen gehören auf den Prüfstand. An welchen Stellen gibt es Optimierungspotential? Wo müssen wir ansetzen, um die Sicherheit des Unternehmens weiter zu verbessern?
In diesen Tagen las ich, dass das Aufkommen von Spam- und Fishing-Mails seit Anfang 2000 in der Homeoffice-Phase um 600 Prozent gestiegen ist. Und eines ist sicher: das wird nicht besser. Bleiben sie wachsam!