Sie sind bereits seit einiger Zeit Einzelmitglied im Cyber Security Cluster Bonn und nun mit der sequrium GmbH als Unternehmen dem Verein beigetreten. Können die sich und die sequrium GmbH einmal vorstellen?
Mein Name ist Johannes Kresse und ich lebe seit Kurzem wieder in meiner alten Heimat, im Leipziger Raum. Von hier aus betreue ich die deutschlandweit ansässigen Kunden der sequrium GmbH. Die sequrium GmbH bietet Beratungsleistungen für Unternehmen an, die verstanden haben, dass man für schlagkräftige Security nicht nur die richtigen Tools und Leute braucht, sondern auch einen realisierbaren Plan, wie diese langfristig zusammen wirken sollen. Dabei reichen unsere Leistungen von der Optimierung eines Security Operation Centers bis hin zum Aufbau eines solchen. Wir starten bei der Analyse des aktuellen Zustandes der Security Organisation und entwickeln basierend auf den Anforderungen und Lücken ein passgenaues Zielbild, welches wir dann Stück für Stück realisieren. Oft kommen unsere Kunden mit der Sorge zu uns, nicht zu wissen wo sie ansetzen sollen oder befürchten schwerwiegende Fehler zu machen. Diese Kunden finden mit der sequrium GmbH einen Partner, der strukturell plant und die komplette Umsetzung oder explizit schwierige Teilprojekte betreut.
Sie beraten Unternehmen bei der strategischen IT-Security. Worin besteht im Mittelstand derzeit der größte Beratungsbedarf?
Technisch gesehen ist das bei jedem Unternehmen etwas anders. Man muss hier zwischen den Unternehmen unterscheiden, die durch eigene Motivation oder regulatorischem Druck schon eine gewisse Security-Reife erreicht haben, und jenen, die die starke Entwicklung der letzten 5 Jahre verschlafen haben. Daher gehen die Bedarfe weit auseinander. Auf organisatorischer Ebene liegt jedoch der Handlungsdruck definitiv auf gutem Security Design und der Etablierung funktionierender Prozesse, auch “Security Operations” genannt. Früher hat man ein paar Tools gekauft und einer handvoll Mitarbeitern in der IT gesagt, dass sie diese Tools bedienen sollen. Heute muss Security rund um die Uhr fehlerfrei, effektiv und effizient liefern, um den eigenen Unternehmensnamen bestmöglich aus den Negativschlagzeilen halten zu können. Ich habe zudem das Gefühl, dass die Beratungsbedarfe sehr schnell in Richtung Validierung und Konsolidierung vorhandener Security Infrastrukturen kippen werden. Nicht nur, weil das aktuelle Weltgeschehen die Unternehmen zwingt gut zu haushalten, sondern weil in der Vergangenheit teure Fehler eingekauft wurden, die nicht mehr wirksam oder schlichtweg obsolet sind.
Welche Ratschläge haben Sie für kleine und mittelständische Unternehmen insbesondere ohne klassischen IT-Hintergrund, um Ihre IT-Sicherheit kurzfristig zu erhöhen?
Da habe ich viele, wo soll ich Anfangen?
1. Assets!
Kenne deine Geräte, deine Leute und deine Landschaft. Wenn du nicht weißt, was und wer unter deiner Kontrolle sein sollte, dann hast du die Kontrolle schon verloren. Dafür gibt es einfache Methoden, gute Frameworks und günstige Tools. Man muss sie nur kennen und fortlaufend richtig Anwenden.
2. Tools!
Bevor du dir ein neues Security Tool kaufst, frag jemanden der es einsetzt. Es gibt mittlerweile eine unfassbar große Menge an Security-Tools die alle das Blaue vom Himmel versprechen, getrieben von Verkaufsdruck und Größenwahn einiger Hersteller, die sich für nichts zu schade sind. Ich werfe dabei Security Start-Ups in den selben Topf wie “Gartner rechts oben”.
3. Plan!
Wenn du keinen Plan hast, wie du dir einen Plan machst, dann hol dir jemanden der das kann. Nichts ist schlimmer, als ein verkorkstes Security Projekt oder ein völlig falsches Budget dafür. Diese Aussage ist proportional auf jede Unternehmensgröße zutreffend. Wir sehen ganz oft blinden Aktionismus mit überstürzten Kaufentscheidungen für Security-Tools. Zuerst muss die Geschäftsleitung entscheiden, wo es hingehen soll. Diese Entscheidung wird in eine Policy gegossen und ab Tag 1 ihres Inkrafttretens kommuniziert und gelebt. Zur Erstellung einer solchen Policy kann man sich Hilfe holen. Für die Umsetzung auch.
4. Cloud!
Die Cloud ist sowohl technisch sicherer als auch organisatorisch effizienter als deine OnPrem-Infrastruktur. Jeder der etwas anderes sagt hat die Cloud nicht verstanden, oder hat noch nie eine gut konfigurierte Hyperscaler-Landschaft gesehen. Ausnahmen bestehen für Geheimdienste, Militär und einige Gesundheitsbereiche. Wenn du also nicht gezwungen bist, Hardware in einem RZ zu betreiben dann geh in die Cloud. Und nein, du kommst dafür nicht in die Datenschutz-Hölle. Man kann alles rechtlich, organisatorisch und technisch absichern.
5. Insurance!
Lagere dein Restrisiko aus, hol dir eine Cyber-Versicherung. Egal was du von Versicherungen hältst, diese Finanzprodukte können und werden im Ernstfall den Fortbestand deines Unternehmens sichern. Solange du keine solche Versicherung hast, trägst du das Restrisiko alleine. Die Gerüchte um nicht zahlende Versicherungen sind zwar alle wahr, jedoch mussten die Versicherer in den letzten Jahren eine Entscheidung treffen. Verlassen sie den Markt oder bieten sie weiterhin ihre Leistungen unter härteren Auflagen an. Zweiteres ist passiert. Die Leistungen differieren dabei ebenso stark wie die Prämien. Daher empfehle ich, dir einen guten Makler zu suchen der sein Geschäft beherrscht und gute Ausschreibungen und Vergleiche durchzuführen.