Der Gedankenaustausch über Sicherheitsvorfälle ist in Deutschlands Unternehmen oft ein Tabuthema. Wer einen Angriff abwehren kann, freut sich still und leise – und kehrt zur Tagesordnung zurück. Diese Mentalität ist fatal, warnen die Experten. “Ein Beinahe-Unfall ist alles, das hätte passieren können und bei dem man denkt: Gott sei Dank ist nicht das Schlimmste eingetreten,” erklärt Nather. Solche Momente könnten als Trainingslabor für Notfallpläne dienen, werden aber verschenkt.
Das eigentliche Problem liegt tiefer: Die Cybersecurity-Branche leidet unter einer toxischen Schuld- und Schamkultur. Ransomware-Opfer fürchten regulatorische Strafen und öffentliche Bloßstellung. Mitarbeiter, die auf Phishing-Mails hereinfallen, werden persönlich verantwortlich gemacht, statt dass die Systeme hinterfragt werden, die menschliches Versagen begünstigen. “Ich hasse den Ausdruck ‚Menschen sind das schwächste Glied’”, sagt Nather deutlich. “Wie wäre es, wenn wir Systeme so entwickeln, dass Menschen nicht perfekt sein müssen?”
Lord kritisiert zudem ein fundamentales Missverständnis: Wenn Mitarbeiter bei der Fehlersuche als erste Schuldige identifiziert werden, endet die Untersuchung oft viel zu früh. Die wahren Ursachen liegen häufig in schlecht konfigurierten Systemen, fehlender Mehrfaktor-Authentifizierung oder konkurrierenden Unternehmenszielen, die Sicherheit vernachlässigen. “Die Idee, dass ‚Grundursache’ nur ein Label für unsere Entscheidung ist, wann wir aufhören zu graben – das war ein Augenöffner”, sagt Lord.
Um diese Kultur zu durchbrechen, schlagen die Experten ein freiwilliges Meldesystem für Beinahe-Vorfälle vor – ähnlich wie behördliche Meldepflichten für Datenpannen. Unternehmen könnten anonym berichten, was fast passiert wäre, welche Kontrollen es verhindert haben und welche Annahmen sich als falsch erwiesen. Die gesammelten Daten würden aggregiert, ohne Firmen zu benennen, und könnten Behörden und der Industrie helfen.
Für deutsche Organisationen hätte ein solches System großes Potenzial. Die BSI-Meldepflicht konzentriert sich auf Datenpannen, ignoriert aber die wertvollen Erkenntnisse aus verhinderten Angriffen. Ein anonymisiertes Meldesystem könnte Trends aufzeigen, ohne einzelne Unternehmen zu gefährden. Das Ziel ist klar: Beinahe-Vorfälle nicht länger als Zeichen von Schwäche, sondern als Beweis von Sicherheitsbewusstsein interpretieren.