Klar wäre es ehrlicher, aber das klingt natürlich blöd, wenn man zugeben muss, dass man bei seiner IT-Sicherheit nicht so gut aufgestellt ist, wie man sein könnte. Und es bietet auch Angriffsfläche für etwaige Schadensersatzansprüche 😁
Da stellt man sich besser als Opfer dar.
Ich würde nicht immer alles auf die IT-Sicherheit schieben - das System ist zum Zeitpunkt der Betrachtung sicher - leider entwickelt sich alles weiter.
Man kann ein System zu 100% absichern, aber dann kann man damit nicht mehr Arbeiten - Es gilt also immer abzuwägen, wie hoch der Leidensdruck für die Angestellten sein kann.
Ich sehe eher das Problem im Menschen, schönes Beispiel, müsste so um 2008/2009 gewesen sein:
Kunde hat ein Problem mit Links aus Emails, ergo wird mit viel Aufwand auf Basis von Remoteapplikation eine gekapselte Lösung für den Browser geschaffen, bei dem das ganze für den User relativ transparent mit Copy&Paste läuft, aber der Browser eine Sandbox auf ner VM ist.
Danach wurde den Usern (Multinational) mitgeteilt, das sie doch bitte nicht einfach so ohne Prüfung auf die Links klicken sollen, da gefährlich und so...
Nach der Schulung wurden im Trackingsystem bis zu 12x mehr Klicks auf verdächtige links gezählt, als vor der Unterweisung.
Frei nach dem Motto, mal gucken was da passiert. - Und genau das ist das Schlimme, selbst wenn man es demonstriert und vorführt probieren das einige am normalen PC aus, nicht in einer Sicherheitsumgebung.
Ein schöner Film ist und bleibt: Anatomy of an Attack (von Cisco)
--
Und ja, es ist leider zum Standard geworden, das man Software im Pre-Alphastatus auf den Markt wirft, dafür Geld von den Kunden nimmt und dann Patcht - manchmal bleibt so Software dann in der Betaphase hängen, es geht zwar aber nicht schön, aber man entwickelt schon den Nachfolger...