Was haben Sony, Neckermann, LinkedIn und der Online-Händler Zappos gemeinsam? Sie alle haben Millionen Kundendaten verloren und gerieten damit in die Schlagzeilen. Dass solche prominenten Beispiele nur die Spitze des Eisbergs bilden, ist in der IT-Branche ein offenes Geheimnis. In den meisten Fällen, so beobachtet etwa der Rechtsanwalt Wilfried Reiners, versuchten die Betroffenen, den Datenverlust zu verschleiern.

Umso erstaunlicher erscheint da das Urteil etlicher Sicherheitsexperten, dass nur die wenigsten Unternehmen für den Fall der Fälle ausreichend vorgesorgt haben. Die Probleme sind vielfältig: So kommt es beispielsweise selten vor, dass ein Vorfall sofort entdeckt wird. Viele Unternehmen haben noch nie einen Penetrationstest ihrer IT-Systeme gefahren und stoßen deshalb nur zufällig auf ein Sicherheitsleck, berichtet Robert Haist vom Tübinger Sicherheits-Dienstleister SySS. Solche Bremseffekte werden häufig durch lange Meldewege verstärkt. In vielen Fällen ist bereits die dritte oder vierte Hierarchiestufe einer Organisation erreicht, bevor jemand etwas unternimmt.

Gerade kleine und mittelständische Unternehmen arbeiten oft mit einer Infrastruktur, die auf veralteter und unsicherer Software und Hardware basiert, berichten Security-Spezialisten weiter. Doch auch Großunternehmen seien nicht wirksam gegen Angriffe geschützt. Die Probleme zögen sich durch alle Firmengrößen. Häufig unterschätzen die Verantwortlichen zudem die Gefahr von innen.

All diese Probleme sind nicht neu. Und doch fehlt es in vielen Unternehmen offenbar noch immer am Nötigsten: Es gibt kein Notfallteam, keinen Plan für erste dringende Maßnahmen und oft nicht einmal eine Telefonliste mit den wichtigsten Ansprechpartnern. Dass die IT-Budgets knapp sind, kann angesichts der drohenden Gefahren keine Entschuldigung sein. Allzu oft, das belegen die Erfahrungen von Security-Experten, verdrängen die Unternehmen die Probleme, nach dem Motto: Es wird schon nichts passieren. So regiert das Prinzip Hoffnung.