Hätten Sie gewusst, dass der Oktober der Europäische Cybersicherheitsmonat ist, kurz der ECSM? Nein, dann machen Sie sich keine Vorwürfe. Sie sind nicht die einzigen. Eine nicht repräsentative Umfrage unter Redaktionskollegen mit Digitalbezug hier im Haus ergab x-fach das gleiche Resultat: „ECSM? Nie gehört!“
Dabei gibt es den von der EU-Cybersicherheitsbehörde Enisa organisierten Aktionsmonat bereits seit sieben Jahren. 2018 beteiligten sich in Deutschland mehr als 100 Partner – Firmen, Behörden und Organisationen – mit Veranstaltungen. Und auch in diesem Jahr finden sich an die 150 Termine auf der Übersichtsseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die deutschen Events sammelt. Soweit, so ordentlich.
Das Problem: Wer kommt schon einfach so auf die Idee, einfach so beim BSI vorbei zu surfen. Und selbst wenn, auf der Homepage findet sich kein Link auf die immerhin europaweite Aktion. Damit, freilich, steht das BSI nicht allein. Werfen Sie mal einen Blick auf die Web-Angebote der wichtigsten Cyber-Sicherheits-Anbieter in Deutschland, der größten Software-Hersteller, der führenden IT-Konzerne hier im Land. Auch da findet sich auf den Startseiten kein Wort zum ECSM. Es herrscht Ignoranz auf breiter Front.
Das nur befremdlich zu nennen, wäre untertrieben. Ich finde es rundweg ärgerlich.
Und eine mit Anlauf vertane Chance. Denn wird sind zwar längst eine vernetzte und zunehmend digitalisierte Gesellschaft, aber es ist ja beileibe nicht so, als wären sich Bürgerinnen und Bürger, Beschäftige in Unternehmen, Behörden oder Vereinen allesamt jederzeit und in ausreichendem Maße der Risiken im Netz bewusst.
Im Gegenteil, die Schadenssummen durch Cyberkriminalität werden in diesem Jahr auch hierzulande voraussichtlich wieder neue Höchstwerte erreichen. Und dass ganze Stadtverwaltungen, wie jüngst das niedersächsische Neustadt am Rübenberge, oder kürzlich das Berliner Kammergericht Attacken mit Erpressungssoftware zum Opfer fallen, sind ja längst keine Einzelfälle mehr.
Aber die meisten dieser Vorfälle verbindet eine Gemeinsamkeit. Die Schwachstelle, über die die Angreifer in die IT-Systeme eindringen, sind fast immer die Beschäftigten, die auf mehr oder minder gut gemachte Lock-Nachrichten hereinfallen und per E-Mail versandte Schadprogramme aktivieren. Nicht, weil sie ihre Arbeitgeber schädigen wollten, sondern, weil es vielen noch immer an der notwendigen Sensibilität für die Tricks der Hacker fehlt.
Da wäre eine Extraportion Aufklärung wahrlich ein Gewinn. Und ein Europäischer Cybersicherheitsmonat, in den auch noch der nationale Digitalgipfel fällt, die perfekte Gelegenheit für eine umfassende, koordinierte Bildungsinitiative. Und zwar eine, die alle Beteiligten erfasst: Anbieter und Anwender, Berater und Betroffene. Es ist ja nicht so, als gäbe es nicht längst Initiativen, die sich explizit der Aufklärung über Cybergefahren verschrieben haben. Sie reichen von der Aktion „Deutschland sicher im Netz“ des Bundesinnenministeriums über „Mittelstand Digital“ des Bundeswirtschaftsministers bis zur Allianz für Cybersicherheit des BSI und des IT-Branchenverbandes Bitkom.
In diesem Jahr aber, soviel bleibt leider festzuhalten, haben sie sämtlich die Chance einer breiten, wirksamen Kampagne für mehr Sicherheit im Netz vergeigt. Bleibt zu hoffen, dass sich die Sicherheits-Community kommendes Jahr rechtzeitig abstimmt und 2020 einen massiven kommunikativen Auftritt organisiert. Es wäre nötig. Denn eines ist gewiss: Die Zahl der Attacken, der Viren und Würmer und auch die Schadenssummen werden weiter steigen.
