Würden Sie sich und die suresecure GmbH kurz vorstellen?

Mein Name ist Thomas Günther und ich leite die Division Security Consulting als eine von insgesamt fünf Divisionen der suresecure GmbH. Die suresecure ist ein hochspezialisiertes IT-Security-Beratungsunternehmen, dass aber weit über die Beratungsleistung hinausgeht. Wir begleiten unsere Partner aktiv auf dem Weg zu einer maßgeschneiderten IT-Sicherheit.

Die suresecure wurde 2017 gegründet und hat sich seit dem ersten Tag voll dem Thema Informations- und IT-Sicherheit verschrieben. Uns ist von jeher wichtig, dass wir nicht nur
Software-Lösungen anbieten, sondern unsere Partner von unserer menschlichen Expertise profitieren können. Unsere hauseigenen IT-Expert:innen kennen die
aktuell gültigen Sicherheitsstandards und bleiben stets up-to-date und profitieren von jahrelanger Erfahrung und vielen begleiteten Incidents.

Dabei bieten wir nicht nur Incident Response Management, sondern setzen vor allem auf Prävention. Wir bieten dazu ein ressourcenschonendes Security Operations Center an, dass aus dem besten beider Welten, Software und menschlicher Expertise, profitiert. Der Erfolg gibt uns dabei recht. Wir sind in den vergangenen Jahren von einem
kleinen Kernteam gewachsen und werden voraussichtlich in diesem Jahr unseren einhundertsten Mitarbeiter begrüßen.

Kleinere KMU haben regelmäßig weder die finanziellen Mittel noch die Expertise um auf Cyberangriffe ausreichend reagieren zu können. KMU sollten sich daher idealerweise vor einem Incident bereits mit einem Partner zusammentun, der weiß, was er macht. Auch wenn für viele, insbesondere kleinere KMU, die etablierten Standards wie ISO
27001 und IT-Grundschutz aufgrund ihrer Größe und Komplexität abschreckend sind, so sollte jedoch zumindest ein Dokument erstellt werden: ein Incident
Response Management Plan (IRMP). Ein IRMP beschreibt detailliert und genau, was im Falle eines Cyberangriffs zu tun ist. Man darf nicht vergessen: Wenn eine
Ransomware-Attacke erfolgreich ist, geht schlimmstenfalls nichts mehr. Betroffene Unternehmen können oftmals nicht mal mehr telefonieren, geschweige
denn E-Mails schreiben oder auf Netzwerkspeichern abgelegte Pläne zurückgreifen. Die Nerven liegen dann blank. Gerade in einer solchen Situation braucht man einen genauen Plan, der auf die Gegebenheiten des Unternehmens zugeschnitten ist. Was muss wann durch wen getan werden? Wo sind die Backups?
Welche Systeme müssen als erstes wieder hochgefahren werden, um die wichtigsten geschäftskritischen Prozesse zu reaktivieren? Wie kommuniziere ich nach innen
und nach außen?

Auch dem kleinsten KMU muss klar sein: Cyberangriffe sind ein Geschäftsmodell. Es ist völlig egal, wie vermeintlich klein oder unattraktiv das Ziel ist. Es ist nicht eine Frage, ob
ein Angriff erfolgt, sondern nur wann. Der IRMP ist ein erster, enorm wichtiger Schritt, um das Unternehmen auf den Worst Case vorzubereiten.

Als zweites sollte man sich Ressourcen für den Fall der Fälle sichern. Da kleine KMU wie bereits erwähnt nicht in der Lage sind, eine eigene Cyber-Abteilung zu unterhalten, sollte man sich diese Expertise im Vorfeld durch entsprechende Verträge zusichern. Die suresecure bietet aufgrund der besonderen Brisanz des Themas IR eine sehr geringe
Reaktionszeit von nur zwei Stunden für unsere Partner an. Gleichzeitig sichert sich der Partner unsere Unterstützung im Falle eines Angriffs.

Es ist leicht einzusehen, dass die Suche nach einem zuverlässigen Dienstleister für einen Wiederaufbau etwas ist, was man nicht unter Zeitdruck machen will – insbesondere nicht, wenn der Angreifer schon auf den eigenen Systemen Unheil anrichtet. Haben Sie jedoch einen IRMP und einen Dienstleister, können Sie ruhig schlafen: Sollten sie
wirklich angegriffen werden, ziehen sie den IRMP aus der Schublade und rufen den Dienstleister an.

Der Fachkräftemangel ist natürlich überall zu spüren. Wir suchen ganz besonders nach SOC-Spezialisten und Security Consultants. Auch gute Manager mit Teamleitungserfahrung sind Mangelware. Interessanterweise sind auch Account Manager ohne dedizierte Security-Erfahrung gar nicht leicht zu kriegen…

Ich bin allerdings der Auffassung, dass es keinen wirklichen Fachkräftemangel gibt. Die Fachkräfte sind da. Und Sie sind hervorragend ausgebildet. Sie sind nur bereits
angestellt. Daher ist es aus Sicht eines Arbeitnehmers eine große Hürde, einen bekannten Arbeitgeber zu verlassen. Selbst wenn dieser Arbeitgeber gar nicht so toll ist.

Als Mindestmaß und Anreiz für einen Wechsel muss daher das gebotene Gehalt stimmen. Qualität hat seinen Preis, das gilt auch für den Arbeitnehmermarkt. Das wissen wir bei suresecure. Aber ein gutes Gehalt allein reicht halt auch nicht. Wir haben erkannt, dass es eine Reihe von weiteren, enorm wichtigen Faktoren gibt, die teilweise sogar
wichtiger als das Gehalt sind. So haben wir generell Remote Work und Vertrauensarbeitszeit – nicht nur um Familie und Beruf zu vereinen, sondern generell der individuellen Arbeitsweise unserer sehr verschiedenen Mitarbeiter gerecht zu werden. Außerdem haben wir etwas, was viele neue Mitarbeiter sehr erstaunt: Unbegrenzten Urlaub. Jeder Mitarbeiter kann grundsätzlich so viel Urlaub nehmen, wie er oder sie glaubt zu brauchen. Wir setzen dabei sehr stark auf Eigenverantwortung. Und das funktioniert! Außerdem haben wir etwas gemacht, was erstmal nicht arbeitnehmerfreundlich klingt: Wir haben Bonusregelungen abgeschafft. Kein Consultant hat einen wie auch immer gestalteten
leistungsabhängigen Gehaltsanteil. Wir erwarten von allen unseren Mitarbeitern vollen Einsatzwillen und bezahlen diesen auch von Anfang an. Wir haben uns daher entschieden, diese Karotte vor der Nase unserer Mitarbeiter einfach zu entfernen. Das gibt jedem Mitarbeiter die Möglichkeit, einfach das Beste für die Firma zu tun. Und nicht irgendwelchen Zeilen hinterher zu laufen.

Der wesentliche Aspekt ist aber sicherlich das Miteinander in der Firma. Wie geht man miteinander um? Ist das gemeinsame Arbeiten an einem gemeinsamen Ziel spürbar? Mir ist klar, dass das erstmal eine steile Behauptung ist. Es ist auch nicht messbar. Aber neue Mitarbeiter bestätigen uns regelmäßig in unserem Tun. Was noch während der
Bewerbung höchstens halb geglaubt wurde, bestätigt sich innerhalb der ersten Wochen bei suresecure und ändert sich auch nicht mehr. Und das zu hören, freut mich jedes Mal auf neue.