Ich stehe gerade vor einer Entscheidung, die mich länger beschäftigt. Bei uns in der Firma wird jetzt endlich ein Budget für mehr IT-Sicherheit freigegeben, und ich soll mitentscheiden, wohin die Mittel fließen. Eigentlich dachte ich, wir bräuchten dringend eine bessere Firewall, aber nach einem Gespräch mit einem Kollegen aus der Entwicklung bin ich unsicher geworden. Er meinte, dass die größten Lücken bei uns oft durch menschliche Fehler entstehen und dass wir stattdessen viel mehr in regelmäßige Schulungen investieren sollten. Ich frage mich, ob wir mit der neuen Firewall nur eine vermeintlich einfache Lösung kaufen, aber das eigentliche Problem damit gar nicht angehen.
Aus technischer Sicht wirkt eine stärkere Firewall oft wie eine Tür die sich schließt. Doch echte Sicherheit entsteht erst durch das Zusammenspiel aus Netzwerksegmentierung, Patch Management und regelmäßigen Schulungen, die menschliche Fehler abfedern. Wenn ihr nur ein Bauteil austauscht verlagert ihr das Risiko eher an andere Stellen.
Vielleicht ist der neue Firewall Kauf tatsächlich der einfache Weg der sofort greifbar wirkt. Aber ist das wirklich der Kern des Problems?
Ich spüre den Druck der Entscheidung. Schulungen klingen trocken, aber sie schützen eher vor Emails als eine geniale Konfiguration. Manchmal fühlt sich Sicherheit an wie Gewohnheiten ändern, aber Gewohnheiten sind eben schwerer zu knacken.
Bevor wir uns auf die Firewall stürzen könnten wir das Thema aus einer breiteren Perspektive sehen. Zero Trust, Sicherheit durch Lernkultur und Messbarkeit der Risikoreduktion wären eine konzeptionelle Herangehensweise die das Budget in mehreren Säulen anlegt.
Vielleicht brauchen wir gar kein neues Loch sondern eine Verstärkung der Medienkompetenz der Mitarbeitenden die Firewall ist nur eine Schraube am sicheren Haus.
