xx

Vor geraumer Zeit hat mir jemand, den ich gut kenne, von einem Schadsoftware-Angriff auf seine Firma berichtet. Es handelt sich um eine Weltfirma, deren Namen ich hier genau so wenig nenne wie irgendetwas anderes, das zur Identifizierung der Beteiligten führen könnte. Es war ein Desaster. Fast alle Rechner weltweit waren betroffen, jedenfalls die in seinem Heimatland.

Das Bizarre an dieser Geschichte ist nicht nur, dass diese Firma, die von einer funktionierenden EDV-Infrastruktur noch abhängiger ist als viele andere, keine angemessene Vorsorge getroffen hat, sondern, woran das im Einzelnen liegt. Glück im Unglück, dass ein paar kompetente Leute innerhalb der Firma noch wussten, was nach dem Crash zu tun war, während sich die eigentlich Verantwortlichen und Zuständigen als Totalausfall epischen Ausmaßes erwiesen.

Kann man nix machen

Zur Ursache: Sowohl die Schadsoftware als auch die Schwachstelle waren seit Langem bekannt. Der Hersteller des betroffenen Betriebssystems hatte seit mehr als einem halben Jahr die Sicherheitslücke geschlossen – wenn man denn das Nötigste dazu getan hätte. Die zuständige externe Firma aber, ebenfalls eine Weltfirma, hatte es nicht für nötig erachtet, die Systeme zu patchen.

Derart als Komplettversager überführt, hielt sie es dennoch nicht für nötig, den Schaden wenigstens mit Priorität beheben zu helfen. Stattdessen kam vom Support im Kern nur ein Wort: "Caniclosedaticket?". Turbulente Verhandlungen führten dann zu etwas mehr Schwung in der Sache. Es hat dennoch Monate gedauert, alles wieder zum Laufen zu bringen.

Wozu der Stress?

Jetzt kommt aber das Beste an der Geschichte: Hat die betroffene Firma ihren IT-Dienstleister achtkantig vor die Tür geworfen, ihn in Grund und Boden verklagt und die horrenden Honorare zuzüglich Schadenersatz eingeklagt? Ihr ahnt es schon: Nein. Der Dienstleister wird vielmehr weiterhin für seine großartige Arbeit bezahlt. Er ist seinerseits Kunde der betroffenen Firma. Win-win!

Was lehrt uns das? Es gibt nicht nur keine Sicherheit in der IT, es wird nicht nur auf einem Weltniveau geschlampt, das selbst ich mir nicht leiste, es wird vor allem so getan als ob. Wir haben doch diese Riesenfirma, die das für uns erledigt; mehr können wir ja nicht tun. Das mit dem Geldverdienen klappt auch prima, selbst nach dem Worst Case. Wozu sollten wir etwas ändern? Wer sollte sich dafür mit dem Endboss anlegen? Wer sollte den ganzen Aufwand einer seriösen IT betreiben, wenn es so viel billiger geht?