#Sichtbar im Dialog – HiSolutions AG

Mit dem Format #sichtbar im Dialog sprechen wir mit Mitgliedern des Cyber Security Clusters Bonn über Ihr Unternehmen, Ihre Geschäftsbereiche und verknüpfen diese mit aktuellen Themen, die Sie und uns bewegen. Lernen Sie auf diese Art und Weise auch die dahinterstehenden Menschen und Ihre ganz persönliche Motivation kennen.

#sichtbar im Dialog mit Manuel Atug, Head of Business Development, von HiSolutions.

Herr Atug, in welchen Geschäftsfeldern engagiert sich HiSolutions?

Im ersten Bereich, dem IT-Management Consulting, entwickeln wir gemeinsame mit unseren Kunden eine auf sein Geschäftsmodell angepasste IT-Strategie und -Organisation. Hier-bei wird die dafür benötigte Architektur bzw. Services angepasst, optimiert und gemanaged. Beispielsweise ergeben sich oft überraschend große Einsparungspotenziale bereits dadurch, dass Kunden ihre Software-Nutzungsrechte voll ausschöpfen.

Der zweite Bereich, das Security Consulting, befasst sich schwerpunktmäßig mit der vorbeugenden Abwehr von Cyberangriffen. Und darüber hinaus insbesondere auch mit dem Aufbau sowie der Umsetzung von Informationssicherheitsmanagementsystemen (ISMS) und dem Business Continuity Management (BCM). Zusätzlich helfen wir im Schadensfall Vorfälle in unserer Incident-Response-Hotline aufzunehmen, zu analysieren, die richtigen Sofortmaß-nahmen für die Weiterführung des Betriebes einzuleiten, Angriffswege zu rekonstruieren und Beweise zu sichern. Gerade im Bereich der kritischen Infrastrukturen (KRITIS) sichern wir mit unserer Beratung im Business Continuity & Krisenmanagement nachhaltig die Funktionsfähigkeit der Produktions- und Versorgungsleistungen. Dabei denken wir mit unseren Kunden proaktiv, d.h. wir beziehen Sicherheitsaspekte direkt in die Geschäftsentscheidungen mit ein und schaffen eine kontinuierliche Sensibilisierung z.B. durch Schulung der Mitarbeiter*innen.

In Ihrem ersten Geschäftsfeld geht es um den Bereich IT-Management Consulting. Welches aktuelle, vielleicht auch gesellschaftlich bezogene, Thema lässt sich da besonders hervorheben? 

Spontan fällt mir dazu unser Projekt Digitale!Schule ein. Gerade im Verlauf der Corona-Pandemie ist dieses Thema medial sehr stark in den Fokus gerückt. Aber auch schon weit davor lag unser Engagement darin, den jeweiligen Bildungsministerien, IT-Dienstleistern der Länder als auch den Schulen selbst mit Beratung, Workshops und Impulsen zur Seite zu stehen. Wir sind davon überzeugt, dass die Schulen in einer guten Ausgangslage sind, wenn es darum geht, die gesellschaftlichen Entwicklungen wie Digitalisierung, Automatisierung, Vernetzung und Globalisierung frühzeitig zu erkennen und aufzunehmen. Damit dies gelingt, nehmen wir die unterschiedlichen Bedürfnisse, Ansätze und die Anforderungen der einzelnen Schulen auf und sorgen gemeinsam dafür, dass der DigitialPakt Schule weiter auf die Straße kommt.

Wechseln wir nun in den Bereich Security Consulting. Gerade in der Corona-Pandemie haben bekanntermaßen die Cyberangriffe stark zugenommen, insbesondere auch in Bezug auf das Thema Ransomware (Erpressungstrojaner). Wer ist in besonderem Maße im Fokus der Angreifer und welche Maßnahmen empfehlen Sie den Betroffenen? 

Neben den kritischen Infrastrukturen, welche in der Vergangenheit schon oft als Angriffsziel gewählt wurden, zählen dazu grundsätzlich alle Unternehmen und Institutionen bei denen sich ein Angriff potenziell lohnen könnte – gerade auch der Mittelstand. Die Überlegung aus Sicht der Angreifer ist relativ einfach: Wie aufwändig ist eine Infiltration im Vergleich zu dem zu erwartenden Lösegeld? Hier wird von der organisierten Kriminalität oftmals als erste Orientierungsgröße der Jahresumsatz herangezogen, um die potenzielle Zahlungsfähigkeit und -bereitschaft abzuleiten. Die beste Reaktion ist bekanntermaßen die Aktion – also es gar nicht zu einem solchen Vorfall kommen zu lassen. Dies gelingt mit einer zuvor gemachten klaren Risikoanalyse, regelmäßigen Pentests und technischen Audits im Rahmen des bereits erwähnten ISMS. Aber auch im Schadensfall begleiten wir unsere Kunden mit unserer Expertise in Sachen Cyber-Response / Forensik und helfen verdächtige Vorgänge und erfolgte Angriffe zu analysieren sowie umgehende Gegenmaßnahmen einzuleiten.

Geht es beim Security Consulting ausschließlich um Themen der IT-Sicherheit? 

Nein, Security Consulting geht weiter über die reinen IT-Sicherheitsthemen hinaus. Wirtschaftsspionage, Sabotage und Konkurrenzausspähung finden auch im 21. Jahrhundert nicht ausschließlich unter Ausnutzung von Lücken in der IT-Infrastruktur statt. Ein umfassender Schutz muss neben informationstechnischen Maßnahmen auch physische, personelle, prozessuale und organisatorische Aspekte der Sicherheit adressieren. Der vom BfV, BSI und ASW Bundesverband herausgegebene Wirtschaftsgrundschutz, der aus einem von HiSolutions geleiteten Forschungsprojekt hervorging, überträgt den modularen Ansatz des IT-Grundschutzes auf sicherheitsrelevante Themen jenseits der Informationstechnologie. Damit stellt er einen strukturierten Ansatz zur Auswahl non-IT-spezifischer Sicherheitsmaßnahmen dar. Der umfangreiche und kostenlos verfügbare Katalog liefert die jeweils relevanten Bausteine für das entsprechende Anwendungsgebiet. Diese sind auch Gegenstand unserer Beratung, um gemeinsam mit dem Kunden den Schutz der Mitarbeiter*innen und Werte sowie das Erreichen eines definierten und einheitlichen Sicherheitsniveaus zu gewährleisten.

Sie haben eben die Zusammenarbeit mit dem BSI erwähnt. Gab oder gibt neben dem Wirtschaftsgrundschutz noch weitere derartige Kooperationen/Projekte? 

Kürzlich wurde die umfangreiche Modernisierung des BSI-Standard 200-4 Business Continuity Management fertiggestellt. Dieser steht bis zum 30.06.2021 als Community Draft zur Kommentierung bereit und wird danach verabschiedet. Sowohl an dieser Neuauflage als auch an der vorangegangenen Version 100-4 haben wir als Co-Autoren erfolgreich mitarbeiten dürfen. Damit stellen wir eine Menge an Knowhow, Erfahrung und Best Practice zur Verfügung, welche im Anschluss über das BSI kostenlos als Standards in der IT-Sicherheit zugänglich wird. Wie auch schon bei der Mitarbeit an der Modernisierung des IT-Grundschutzes war es unser gesellschaftliches Anliegen, gemeinsam mit dem BSI, auch kleinen und mittelständischen Unternehmen einen einfachen Einstieg in ein eigenes Sicherheitsmanagement zu ermöglichen.

An der Zusammenarbeit mit dem BSI wurde deutlich, dass Sie bereit sind, auch eine Menge an Expertise und Inhalten für andere frei zur Verfügung zu stellen. Schadet das nicht dem eigenen Geschäftsmodell? 

Nein, in keiner Art und Weise. Der Gesamtmarkt für IT-Sicherheit ist weit größer als dass er aktuell vollständig bedient werden könnte. Vielmehr möchten wir durch das Bereitstellen von Expertise und frei verfügbaren Inhalten auf einer breiten Ebene einen aktiven Beitrag zur Bekämpfung von Cyberangriffen leisten, um damit insgesamt die Informationssicherheit zu erhöhen. So haben wir im Zuge des Hafnium Exchange-Server-Hacks bereits am 10.03.21 für alle Betroffenen einen kostenlosen Leitfaden „Hilfe zur Selbsthilfe“ zur Verfügung gestellt und kontinuierlich mit den neuesten Erkenntnissen überarbeitet, da der Bedarf so groß war, dass nicht allen durch den Einsatz eines Beratungsteams Betroffenen geholfen werden konnte. In der Medizin spricht man in so einer Situation von einer Triage, die wir damit versucht haben abzuwenden oder zumindest die Auswirkungen dieser Cyber-Triage zu reduzieren. Aber auch bei weniger kritischen Anlässen teile ich persönlich sehr gerne mein Wissen in Interviews, Podcasts, Vorträgen, Podiumsdiskussionen oder auch Artikeln. Betrachtet man die immer dynamischere und komplexere Entwicklung von zukünftigen Themenfeldern und dem damit verbundenen Wissenszuwachs, ergeben sich daraus schon fortwährend Inhalte. Bei komplexer und maßgeschneiderter Beratung für unsere Kunden finden wir uns dann in Ergänzung dazu natürlich in unserem kostenpflichtigen Leistungsangebot wieder.

HiSolutions hat ihren Hauptsitz in Berlin. Wie wurden Sie auf den Standort Bonn und das Cyber Security Cluster aufmerksam? 

Seit ca. 4,5 Jahren befinden wir uns nun schon am Standort Bonn und haben dort inzwischen ca. 10 % unserer Belegschaft im Einsatz. Die direkte Nähe zu Behörden, Partnern und Kunden sowie ein innovatives Umfeld im Bereich der Cyber-Security haben unser Interesse geweckt. Gerade auch die Anbindung an die Hochschulen und die daraus resultierende Nähe zur Wissenschaft waren für uns entscheidende Auswahlkriterien. Zudem nehmen wir selbst Lehraufträge an vielen verschiedensten Hochschulen wahr und fördern so junge Nachwuchskräfte. In diesem Zusammenhang bietet der Standort Bonn einen sehr guten Zugang zu exzellenten IT- bzw. IT-Security-Fachkräften, welche für einen solchen Wachstumsmarkt unerlässlich sind. Wir wurden in der Tat über die Cyber Security Tech Summit Europe auf das Cluster aufmerksam und konnten auf Anhieb gemeinsame Interessen feststellen. Im Zuge dessen war es uns möglich, den Bekanntheitsgrad zu erhöhen, ein starkes Netzwerk aufzubauen, Inhalte zu erhalten und diese aber auch an die Community zurückzugeben. So freuen wir uns über Kundenanfragen, die über das Cluster hereinkommen genauso, wie über die Mitwirkung bei Vorträgen und Veranstaltungen. Daher engagiere ich mich in diesem Zusammenhang inzwischen auch als Vorstandsmitglied im Cyber Security Cluster Bonn e.V., um hier aktiv mitzugestalten.

Welche ganz persönliche Motivation geben Sie „noch nicht Cluster Mitgliedern“, gerade auch außerhalb der IT- bzw. Cybersicherheitsbranche, mit auf den Weg? 

Das Thema Digitalisierung wird uns in Zukunft weiter herausfordern. Und es wird kaum eine Möglichkeit geben, daran vorbei zu kommen. Dies trifft ebenso auf die Frage der Cybersicherheit zu, die mit der Digitalisierung einhergeht. Genauso wie man sich um seine Steuererklärung Gedanken machen muss, so steht es auch mit der IT-Sicherheit. Denn die Tatsache, dass ein Risiko nicht sichtbar ist, heißt noch lange nicht, dass keines vorhanden ist. Vergleichen Sie diesen Gedanken gerne mit dem Corona-Virus. Eine vernetzte, globalisierte Welt sorgt, wenn auch über Umwege, dafür, dass man dennoch betroffen ist – unabhängig vom Geschäftsmodell oder der Größe. Um dieser Herausforderung zu begegnen, bedarf es Sensibilität, Erfahrung, Aktualität sowie den Kontakt und Austausch mit ausgewiesenen Experten. Diesen Zugang kann man sich sicherlich ausschließlich extern zukaufen oder über das Expertennetzwerk des Cyber Security Clusters Bonn erhalten und sich gleichzeitig an der Weiterentwicklung der Cyber-Sicherheit für Gesellschaft und Wirtschaft beteiligen. Aus Sicherheit resultiert Vertrauen und das funktioniert nur, wenn wir gemeinsam daran wirken.