Schluss mit den Angst-Szenarien. Mit Panikmache lässt sich der mittelständische Entscheider nur selten von notwendigen Maßnahmen zur IT-Sicherheit überzeugen. Mit Recht: Der Normalschaden heißt nämlich nicht Totalverlust, sondern ­besteht in vergeudeter Zeit und damit Gewinnausfällen.

Schluss mit den Angst-Szenarien

Internet-Sicherheit ist ein Teilbereich der IT-Sicherheit. Um beide steht es schlecht im Mittelstand. Das berichten die einschlägigen Medien unisono schon seit Jahren, und das ist auch die Erfahrung der meisten in diesem Feld tätigen Berater. Zu wenig Zeit und Geld sowie fehlendes Know-how werden immer wieder als Begründung für diese Mängel genannt. Dabei macht letztlich das Know-how den größten Aufwandsposten aus, denn es muss ständig aktuell gehalten werden.

Angst ist ein schlechter Ratgeber
Dass es mit der Internet-Sicherheit im Mittelstand nicht besser bestellt ist, daran haben indes die Anbieter von Sicherheitsprodukten und -leistungen ein gerüttelt Maß Schuld. Gelingt es doch diesen Anbietern relativ selten, treffende und gleichzeitig verständliche Leistungsinformationen zu geben. So wird in einem Werbeprospekt eines renommierten TK-Dienstleisters ein »Angebotspaket für optimale Internet-Sicherheit« zum Beispiel mit folgenden Begriffen umschrieben: Sicherheitspaket, Sicherheitslösung, Sicherheitssystem und Sicherheitskonzept. Dass es sich bei dem beworbenen Produkt um eine Firewall zum Schutz gegen Hacker handelt, wird jedoch nicht gesagt. Eine solche Firewall bietet freilich für sich alleine nicht diese »optimale Internet-Sicherheit«, wie im Werbeprospekt behauptet wird. Kein Wunder, dass die Internet-Sicherheit besonders im Mittelstand Schwachstellen hat. Mit Panikmache aber lässt sich der mittelständische Entscheider nur selten auf den Weg der Besserung bringen. Denn der Normalschaden ist nicht der Verlust des Unternehmens, sondern die verlorene Zeit des Unternehmers und seiner Mitarbeiter.
Viele Kunden zögern deshalb, von Angeboten der oben beschriebenen Art Gebrauch zu machen. Angesichts von Kundenzurückhaltung spielen die Anbieter dann häufig die »Angstkarte« aus. Einem mittelständischen Geschäftsführer den möglichen Untergang seines Unternehmens als Bedrohungsszenario anzubieten, ist aber für die Verbesserung der Internet-Sicherheit nicht zielführend. Als Unternehmer ist er ohnehin gewohnt, Grenzrisiken zu tragen. Er ist ja kein Angestellter eines Großunternehmens, der bestrebt sein muss, Risiken per Entscheidungsvorlage nach oben abzugeben. Horrorszenarien sind aber so weit vom Tagesgeschäft eines Mittelständlers entfernt, dass sie keine didaktische Wirkung erzielen können.
Überdies ist Angst bekanntlich ein schlechter Ratgeber. Der Kunde durchschaut die reißerische Darstellung und wird erst recht davon abgehalten, etwas für die Sicherheit zu tun. Ähnlich wenig Wirkung zeigt der Hinweis auf die Haftung des Geschäftsführers nach § 43 GmbH-Gesetz und die Strafandrohung bei Verletzung der Vermögensbetreuungspflicht.

1. Schluss mit den Angst-Szenarien
2. Schluss mit den Angst-Szenarien (Fortsetzung)