Sie beraten Unternehmen bei der strategischen IT-Security. Worin besteht im Mittelstand derzeit der größte Beratungsbedarf?

Technisch gesehen ist das bei jedem Unternehmen etwas anders. Man muss hier zwischen den Unternehmen unterscheiden, die durch eigene Motivation oder regulatorischem Druck schon eine gewisse Security-Reife erreicht haben, und jenen, die die starke Entwicklung der letzten 5 Jahre verschlafen haben. Daher gehen die Bedarfe weit auseinander. Auf organisatorischer Ebene liegt jedoch der Handlungsdruck definitiv auf gutem Security Design und der Etablierung funktionierender Prozesse, auch “Security Operations” genannt. Früher hat man ein paar Tools gekauft und einer handvoll Mitarbeitern in der IT gesagt, dass sie diese Tools bedienen sollen. Heute muss Security rund um die Uhr fehlerfrei, effektiv und effizient liefern, um den eigenen Unternehmensnamen bestmöglich aus den Negativschlagzeilen halten zu können. Ich habe zudem das Gefühl, dass die Beratungsbedarfe sehr schnell in Richtung Validierung und Konsolidierung vorhandener Security Infrastrukturen kippen werden. Nicht nur, weil das aktuelle Weltgeschehen die Unternehmen zwingt gut zu haushalten, sondern weil in der Vergangenheit teure Fehler eingekauft wurden, die nicht mehr wirksam oder schlichtweg obsolet sind.

Welche Ratschläge haben Sie für kleine und mittelständische Unternehmen insbesondere ohne klassischen IT-Hintergrund, um Ihre IT-Sicherheit kurzfristig zu erhöhen?

Da habe ich viele, wo soll ich Anfangen?

1. Assets!
Kenne deine Geräte, deine Leute und deine Landschaft. Wenn du nicht weißt, was und wer unter deiner Kontrolle sein sollte, dann hast du die Kontrolle schon verloren. Dafür gibt es einfache Methoden, gute Frameworks und günstige Tools. Man muss sie nur kennen und fortlaufend richtig Anwenden.

2. Tools!

Bevor du dir ein neues Security Tool kaufst, frag jemanden der es einsetzt. Es gibt mittlerweile eine unfassbar große Menge an Security-Tools die alle das Blaue vom Himmel versprechen, getrieben von Verkaufsdruck und Größenwahn einiger Hersteller, die sich für nichts zu schade sind. Ich werfe dabei Security Start-Ups in den selben Topf wie “Gartner rechts oben”.

3. Plan! 

Wenn du keinen Plan hast, wie du dir einen Plan machst, dann hol dir jemanden der das kann. Nichts ist schlimmer, als ein verkorkstes Security Projekt oder ein völlig falsches Budget dafür. Diese Aussage ist proportional auf jede Unternehmensgröße zutreffend. Wir sehen ganz oft blinden Aktionismus mit überstürzten Kaufentscheidungen für Security-Tools. Zuerst muss die Geschäftsleitung entscheiden, wo es hingehen soll. Diese Entscheidung wird in eine Policy gegossen und ab Tag 1 ihres Inkrafttretens kommuniziert und gelebt. Zur Erstellung einer solchen Policy kann man sich Hilfe holen. Für die Umsetzung auch.

4. Cloud!

Die Cloud ist sowohl technisch sicherer als auch organisatorisch effizienter als deine OnPrem-Infrastruktur. Jeder der etwas anderes sagt hat die Cloud nicht verstanden, oder hat noch nie eine gut konfigurierte Hyperscaler-Landschaft gesehen. Ausnahmen bestehen für Geheimdienste, Militär und einige Gesundheitsbereiche. Wenn du also nicht gezwungen bist, Hardware in einem RZ zu betreiben dann geh in die Cloud. Und nein, du kommst dafür nicht in die Datenschutz-Hölle. Man kann alles rechtlich, organisatorisch und technisch absichern.

5. Insurance!
Lagere dein Restrisiko aus, hol dir eine Cyber-Versicherung. Egal was du von Versicherungen hältst, diese Finanzprodukte können und werden im Ernstfall den Fortbestand deines Unternehmens sichern. Solange du keine solche Versicherung hast, trägst du das Restrisiko alleine. Die Gerüchte um nicht zahlende Versicherungen sind zwar alle wahr, jedoch mussten die Versicherer in den letzten Jahren eine Entscheidung treffen. Verlassen sie den Markt oder bieten sie weiterhin ihre Leistungen unter härteren Auflagen an. Zweiteres ist passiert. Die Leistungen differieren dabei ebenso stark wie die Prämien. Daher empfehle ich, dir einen guten Makler zu suchen der sein Geschäft beherrscht und gute Ausschreibungen und Vergleiche durchzuführen.