Auf rund 220 Milliarden Euro beziffert der Branchenverband Bitkom die Schäden, die die deutsche Wirtschaft durch Cyber-Vorfälle 2020 erlitten hat. Betroffen waren neun von zehn Unternehmen und damit fast doppelt so viele wie 2017. Neben Informationssicherheit bildet Datenschutz eine Achillesferse deutscher Firmen: Von der Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 umzusetzen war, wurde die deutsche Wirtschaft auf kaltem Fuß erwischt. Noch immer gibt es bei Wirtschaft und Verbänden, aber auch bei Vereinen und gemeinnützigen Organisationen viel Unsicherheit, insbesondere bei neuen Online-Angeboten, etwa der Einrichtung eines Online-Shops.
Unabhängige Prüfung
Hier setzen die Dienstleistungen der Schwesterfirmen tacticx Consulting GmbH und Pentest Factory GmbH ein. tacticx aus Geldern wurde von Ingo Wolff als IT-Dienstleister 1996/1997 gegründet und hat sich seit 2004 auf Datenschutz und IT-Sicherheit spezialisiert. 2018 kam die Schwesterfirma Pentest Factory hinzu. tacticx bietet eine Komplettbetreuung im Bereich Datenschutz und Informationssicherheit einschließlich Audits, Beratung und der Stellung von externen Datenschutz- bzw. IT-Sicherheitsbeauftragten. Kerngeschäft der Pentest Factory ist der sogenannte Pentest („Penetrationstest“). Dabei werden kontrollierte Angriffsversuche durchgeführt mit dem Ziel, Schwachstellen in IT-Systemen zu identifizieren, bevor es ein Angreifer macht – ähnlich wie die Kontrolle eines Wohnhauses auf Einbruchsicherheit. Ganz bewusst hat man sich dafür entschieden, sich auf die Rolle des unabhängigen Prüfers zu beschränken. „In vielen Fällen sind IT-Abteilungen oder -dienstleister für die IT-Sicherheit zuständig. Oft fehlt es hierbei allerdings an einer objektiven Sichtweise hinsichtlich der Arbeitsprozesse. Hier kommt die Pentest Factory als unabhängiger Dienstleister ins Spiel. Sie überprüft die IT-Sicherheit und gibt eine unabhängige Einschätzung ab“, erläutert Ingo Wolff, Geschäftsführer der Pentest Factory.
Ransomware-Erpressung
Bei der derzeit gängigsten Methode der Cyberkriminalität (Ransomware) werden Unternehmensdaten verschlüsselt, gestohlen und die Firmen anschließend erpresst; erst nach einer Lösegeldzahlung werden die Daten wieder entschlüsselt. Eine Garantie hat man trotz Zahlung nie. „Jedes Unternehmen muss unabhängig von der Größe damit rechnen, zum Angriffsziel zu werden“, meint Wolff. „Unser erster Prüfbericht ist in aller Regel blutrot, zumindest wenn ein Unternehmen sich noch nicht mit dem Thema beschäftigt hat.“ Das Gute: Anhand der Prüfberichte können Schwachstellen Stück für Stück abgearbeitet werden. Viele Empfehlungen im Prüfbericht sind einfach abzustellen: Denn darin wird nicht nur das Problem detailliert beschrieben, sondern es werden umsetzbare Empfehlungen zur Behebung der Schwachstellen gegeben. Oftmals sind dafür keine hohen Investitionen notwendig und die Schwachstelle kann über eine angepasste Konfiguration behoben werden. Dies ist beispielsweise der Fall, wenn bei Anwendungen die Standardeinstellungen unverändert bleiben, Beschäftigte nicht zwangsweise ein eigenes Passwort vergeben müssen, alle Beschäftigten die Administrator-Berechtigung erhalten oder im System automatische Software-Updates deaktiviert sind.
Kundennähe
Außer am Hauptsitz Geldern sind beide Schwesterunternehmen mit ihren insgesamt 20 Beschäftigten auch in den Wirtschaftszentren Frankfurt am Main (seit 2013) und Berlin (seit 2018) ansässig. Kundennähe bleibt wichtig, obwohl die meisten Dienstleistungen remote erbracht werden können und Corona den persönlichen Kontakt zwischen Kunden und Dienstleistern erschwert. „Viele Kunden haben uns mitgeteilt, dass sie einen Partner suchen, der nicht quer durch die Republik zu einem Termin reisen muss, dem man zumindest zum Anfang der Geschäftsbeziehung einmal persönlich begegnen kann. Tatsächlich haben wir einige Kunden nur durch die Kundennähe gewinnen können“, berichtet Markus Strauss, Geschäftsführer der tacticx Consulting.
Regelmäßige Anwesenheit sei auch bei der Wahrnehmung der Beauftragtenfunktion sowohl beim Thema Informationssicherheit als auch beim Datenschutz wichtig, damit die Situation und Abläufe vor Ort in Augenschein genommen werden können, so Geschäftsführer Markus Strauss. „Es ist etwas ganz anderes, wenn man vor Ort ist. Werde ich einfach ins Gebäude hereingelassen und kann mich frei bewegen oder begleitet mich jemand? Wird vielleicht der Papierkorb als Türsteher genutzt, sodass jeder den Serverraum betreten könnte? Werden PCs beim Verlassen des Arbeitsplatzes gesperrt?“ In ähnlicher Weise werden z.B. die Prozesse bei der Ausgabe von IT-Endgeräten geprüft.
Transparenz & Qualität
Kunden profitieren von einer transparenten Abrechnung, bei der nicht mit Pauschalen gearbeitet wird, sondern grundsätzlich der tatsächliche Aufwand ausgewiesen wird. „Wenn in unserem Angebot fünf Tage stehen, wir aber nur drei Tage benötigen, stehen auf der Rechnung auch nur drei Tage.“ Beide Unternehmen stellen nur Topleute ein – neben Mitarbeitern mit einer abgeschlossenen IT-Ausbildung oder einem Studium sind es im Datenschutz vor allem Fachkräfte mit juristischem Abschluss, die in der Beratung die rechtlichen Fragestellungen bewerten. Beide Unternehmen haben aktuell Stellen ausgeschrieben und freuen sich auf Bewerbungen. Dabei sind den beiden Unternehmen neben flexiblen Regelungen zum mobilen Arbeiten vor allem die persönliche Entwicklung und kontinuierliche Weiterbildung der Beschäftigten wichtig.
Neben der Beratung führt die tacticx Consulting auch Seminare und Ausbildungen insbesondere zum Datenschutzrecht durch. Aufgrund der Corona-Einschränkungen werden diese Seminare im Moment online durchgeführt und erfreuen sich wachsender Beliebtheit. Viel Arbeit wartet auf tacticx/Pentest vor allem im klassischen Mittelstand. „Das BSI, also das Bundesamt für Sicherheit in der Informationstechnik, sieht Deutschland bei der IT-Sicherheit etwa in der Mitte der Skala aufgestellt“, meint Ingo Wolff. Große internationale Konzerne heben oft das Bild, da sie häufig aufgrund regulatorischer Vorgaben geprüft werden. Ein Problem seien eher manche Familienunternehmen mit gewachsenen IT-Strukturen. Ein Pentest oder ein Audit ist der erste Schritt, sich mit den möglichen Schwachstellen zu beschäftigen und diese zu beheben. Schwachstellen in der IT-Sicherheit entstehen nicht erst dadurch, dass sie dem Unternehmen bekannt sind, denn die schlimmsten Sicherheitslücken sind die, die man nicht kennt.Claas Syrt Möller
| redaktion@regiomanager.de
tacticx Gruppe
Walbecker Str. 53
47608 Geldern
Ein Porträt des Unternehmens und weitere Informationen zu tacticx Gruppe finden Sie HIER
Teilen: