Wenn sich am 31. März die Pforten des Bochumer Vonovia-Stadions öffnen und die „IT-Trends 2020 DIGITAL & SICHER“ beginnt, ist das zweifellos eine wertvolle Chance für mittelständische Unternehmer aus der Region. Nicht nur IT-Dienstleister mit verschiedensten Kernkompetenzen werden hier versammelt sein, sondern auch Experten, die ganz individuell beleuchten können, welches Sicherheits-Szenario in welchem Unternehmen gefordert ist. „Ganz bewusst haben wir für dieses Jahr den Titel unseres schon seit 15 Jahren stattfindenden Kongresses geschärft“, erläutert Daniel Brans, Geschäftsführer des ausrichtenden Vereins networker NRW. „Die ‚IT-Trends – DIGITAL & SICHER‘ richtet sich gezielt an die Unternehmer der Region, sie ist kein Fachkongress unserer Branche. Sie sensibilisiert und vermittelt einen Überblick darüber, welche Facetten grundsätzlich zu einem Sicherheitskonzept gehören, aber jeder Unternehmer findet hier auch Rat, wenn es darum geht, ganz spezifische Geschäftsrisiken zu ermitteln.“ Themen wie Digitale Zusammenarbeit, Internet of Things und Künstliche Intelligenz stehen neben Datenschutz- und Informationssicherheitsmanagement im Mittelpunkt. Hinzu kommen die beiden diesjährigen Schwerpunkte Digital Mobility und Smart Health. Außerdem sehen die networker den Kongress als Plattform für Kontakte untereinander. Gerade die vielfältige Ausrichtung macht dieses Treffen so interessant. Wer noch am Anfang der Digitalisierung seiner Firma steht, bekommt einen Überblick, wer schon ein paar Schritte weiter ist, kann hier herausfinden, welches Puzzleteil in seinem Sicherheitskonzept noch fehlt.
Jährlicher Schaden der deutschen Wirtschaft aktuell: 102,9 Milliarden Euro
Fast verdoppelt hat sich der Schaden durch Datendiebstahl, Sabotage oder Spionage allein in den letzten zwei Jahren. Der Kongress will für eine ganzheitliche Sichtweise auf das Thema Sicherheit sensibilisieren. Vera Haake, Sprecherin für Event- und Standortkommunikation der mitveranstaltenden G Data CyberDefense, sagt dazu: „Jedes Unternehmen wird heutzutage angegriffen. Unternehmer müssen sich klar darüber werden, dass IT-Sicherheit ein fortlaufender Prozess ist. Mit dem Installieren bestimmter Software-Komponenten ist es nicht getan. Der Faktor Mensch spielt hier eine entscheidende Rolle. Security Awareness-Trainings für die Mitarbeiter komplettieren erst den technischen Schutz eines Systems.“ War früher die größtmögliche Gefahr, dass jemand eine Tasse Kaffee umschüttet und damit eine Tastatur ruiniert, so kann digitales Fehlverhalten eines Einzelnen heute Millionenschäden verursachen. Wenn Maschinenparks stillstehen, weil das System down ist, kostet jeder verstrichene Tag viel Geld. Die unternehmerischen Risiken haben sich massiv gewandelt, auch Fragen zu Rückversicherungen sind heute viel komplexer als noch vor einigen Jahren. „Sicherheit ist Chefsache!“, so networker NRW-Vorstandsvorsitzender Hermann Banse. „Auch wenn der Chef ein hervorragender Maschinenbauer ist und die IT seinem Mitarbeiter überlassen will: Er sollte den gesamten Komplex Informationssicherheit im Auge behalten. Und bei IT hört die Sicherheit nicht auf. Beispiel Zutrittskontrolle: Es gibt Firmen, in denen sich jeder, der einen Blaumann trägt und überzeugend auftritt, Zugang zum Serverraum verschaffen kann. Auch diese Aspekte muss man berücksichtigen.“
Unternehmen wie die Essener carmasec haben sich auf gerade diese umfassende Beratung von Firmen spezialisiert. Geschäftsführer Carsten Marmulla: „Wenn der Wettbewerb zur Digitalisierung auffordert, ist Security der ,Enabler’. Datenschutz und Sicherheit müssen frühzeitig berücksichtigt werden, um sich erfolgreich digitalisieren zu können.“
Wettrüsten zwischen Angreifern und Verteidigern: intelligente Systeme gefordert
Weil immer noch viel zu häufig hochprofessionelle Angreifer auf schlecht vorbereitete Systeme zugreifen und hier großen Schaden anrichten, setzt die Firma carmasec auf einen methodischen Ansatz, bei dem – vereinfacht ausgedrückt – das Sicherheitssystem ständig lernt und sich selbst verbessert. Carsten Marmulla: „CARTA ist die Abkürzung für den englischen Begriff der kontinuierlichen und adaptiven Risiko- und Vertrauensbewertung. Dabei geht es zum einen darum, Sicherheitsmechanismen von notwendigen Transaktionen kontinuierlich zu optimieren, zum anderen aber auch darum, ein identifiziertes und genau kalkuliertes Rest-Risiko in Kauf zu nehmen. Das erfordert Vertrauen. Dieses erst 2017 entwickelte Prinzip hat den großen Vorteil, dass es im Gegensatz zu bisherigen Systemen nicht nur reagiert, sondern auch prognostizieren kann. Das Blacklisting wird hier durch das Whitelisting ersetzt oder ergänzt.“
In den letzten 15 Jahren hat sich vieles verändert. Waren es früher einzelne Hacker, die mehr oder weniger als Hobby und aus Neugier in Computersysteme eindrangen, so steht heute zu 99 Prozent Wirtschaftskriminalität dahinter; carmasec ist eine Beratungsboutique für Cybersicherheit und dem Schwerpunkt Mittelstand. Nach über 30 Jahren Beratungserfahrung überwiegend in großen Unternehmen hat das Expertenteam sich auf den Mittelstand spezialisiert. Allerdings stellt man immer wieder fest, dass das Bewusstsein für die Gefahren noch nicht an den richtigen Stellen angekommen ist.
Risikomanagement ist Chefsache
„Wir sehen uns mehr als Unternehmens- statt nur als IT-Beratung“, so Geschäftsführer Carsten Marmulla. „Sonst wäre das Thema schon von vornherein eingeschränkt. Dann würde bei einem Administrator landen, was als Risikomanagement in die Geschäftsführung gehört. Der angestellte IT-Mitarbeiter hat ja nicht zwingend einen Überblick, welche Daten geschäftskritisch sind. Das ist ein klassisches Top-down-Konstrukt. Hinzu kommt noch, dass sich die Gesetzeslage im vergangenen Jahr geändert hat. Geschäftsgeheimnisse müssen jetzt proaktiv geschützt werden. Ein einfaches Einstufen als ‚geheim‘ genügt nicht mehr. Nur so können Unternehmer sicherstellen, dass schließlich der gesetzlich vorgesehene Schutz greift und der Geheimnisinhaber rechtliche Schritte einleiten kann, wenn etwas passiert ist.“
Das Geschäftsgeheimnisgesetz stellt die Cybersicherheit der Unternehmen vor eine neue Herausforderung, die weit über juristische und IT-technische Belange hinausgeht. Und auch bei der Einhaltung der Datenschutz-Grundverordnung kann die carmasec geeignete Partner ins Boot holen. „Auch hier gibt es immer wieder Beispiele dafür, dass ein Bewusstsein für den Schutz von Kundendaten fehlt. Erst kürzlich spielte sich bei einer Fluggesellschaft Merkwürdiges ab: Wer auf der Webseite buchte, bekam plötzlich die persönlichen Daten anderer Kunden zu sehen. Einen Button, um so etwas zu melden, gab es nicht, aber einige Kunden riefen dann bei der Hotline an und berichteten davon. Man riet ihnen daraufhin, sich doch einfach auszuloggen. Eine große Bekleidungskette fiel neulich damit auf, dass sie Gesundheitsdaten ihrer Mitarbeiter gespeichert hatte. Die erwartet jetzt voraussichtlich ein hohes Bußgeld. Derartige Beispiele gibt es aber viele.“ carmasec betreut von seinem Hauptsitz in Essen und dem weiteren Büro in Köln mit einem Team von sechs Mitarbeitern aus den Bereichen Cybersecurity, Informatik und BWL Unternehmer in ganz Nordrhein-Westfalen. Wie wichtig ein Bewusstseinswandel in den Köpfen ist, erleben auch die IT-Spezialisten des Bochumer Unternehmens G Data CyberDefense immer wieder in ihrer Praxis.
Auch in den Köpfen der Mitarbeiter muss es eine Firewall geben
Gestartet war die G Data, als sie 1987 die weltweit erste Antiviren-Software entwickelte. Mittlerweile beschäftigt das Unternehmen 500 Mitarbeiter und sorgt mit Expertisen und Innovationen für die Sicherheit kleiner, großer und mittelständischer Betriebe. Dabei geht es schon lange nicht mehr nur darum, Netzwerke und Systeme abzusichern. Auch die Mitarbeiter müssen geschult werden. Nikolas Schran, zuständig für International Business Development bei G Data: „In 90 Prozent aller Fälle von Cyberkriminalität gelingt ein Angriff von außen nur deshalb, weil ein Mitarbeiter unfreiwillig mithilft. Zwei Säulen sind erforderlich, um ein Unternehmen abzusichern: Das sind zum einen technische Maßnahmen zum Schutz des Endpoints mit Antivirus, Firewall und Exploit-Schutz. Die zweite Säule ist der aufmerksame und sicherheitsbewusste Mitarbeiter. Denn er selbst ist das letzte Bollwerk gegen den digitalen Eindringling.“
Kriminelle werden immer raffinierter, längst ist eine Phishing-Mail nicht mehr an schlechtem Englisch oder einer merkwürdigen Absender-Adresse zu erkennen. „Natürlich unterstützen wir Unternehmen auch im Schadensfall und versuchen beim Incident Response zu retten, was zu retten ist. Idealerweise beauftragen uns Unternehmen bereits im Vorfeld mit einem Security Assessment und vermeiden so teure Aufräumarbeiten“, erklärt Nikolas Schran. „Aber wir bieten auch seit einem Jahr Security Awareness-Trainings an. Die kann jedes Unternehmen buchen. Das Angebot richtet sich nicht nur an die Käufer unserer Endpoint Protection. Ganz bewusst verfolgen wir damit einen ganzheitlichen Ansatz, denn so komplex, wie die Bedrohung ist, muss auch der Kampf dagegen geführt werden.“ Lösungen aus dem breiten Portfolio von G Data werden in 90 Ländern vertrieben und wurden vielfach ausgezeichnet. Die Schulungen für Mitarbeiter runden den Schutz sinnvoll ab.
Umdenken gefordert: Sicherheit kostet und spart Geld zugleich
Dass gerade der Mittelstand ein besonders beliebtes Ziel für Cyberkriminelle ist, hat verschiedene Gründe. Wesentlich ist aber, dass es immer noch eine große Kluft gibt zwischen dem Empfinden, gesichert zu sein, und der tatsächlichen Absicherung eines Unternehmens gibt. Da wird vielleicht eine computergesteuerte CNC-Maschine gekauft, die sehr teuer ist, anschließend spart man aber, wenn es um die Sicherheit dieses so wichtigen Systems dahinter geht. „Etwa zehn Prozent der Investitionen in einen vernetzten Maschinenpark eines Unternehmens sollten für die Cybersicherheit kalkuliert werden“, so die Erfahrungswerte von Nikolas Schran. „Hier ist gute Beratung so wichtig wie nie zuvor. Immer wieder erleben wird z.B., dass ein Unternehmer Vorbehalte hat, wenn es um die Nutzung einer Cloud geht. Tatsächlich wären dort seine Daten häufig sicherer als auf dem eigenen Server, weil dieser ganz anders betreut werden kann. Leider machen sich manche Firmeninhaber aber erst derartige Gedanken, wenn schon etwas passiert ist.“
Beispiele für solche Havarien kennen die Experten viele: Da ist die Stadtverwaltung, die mehrere Tage handlungsunfähig war, ein Automobil-Haus, bei dem nicht nur die Buchhaltungssoftware, sondern auch weite Teile der Werkstatt, die IT-gestützt arbeiten, lahmgelegt wurde, oder eine Arztpraxis, von der aus Dritte unbemerkt Patientendaten ins Netz gestellt haben. „Oft stellen wir vor Ort fest, dass die Unternehmen zwar einiges für ihre Sicherheit getan hatten, die einzelnen Komponenten aber gar nicht optimal aufeinander abgestimmt waren. Das Thema ist vielen immer noch lästig. Wir hoffen aber, auch mit dem jetzt anstehenden Kongress ein echtes Umdenken in den Köpfen anzuregen“, so Nikolas Schran.
networker NRW sind Wegbereiter eines neuen IT-Sicherheitsbewusstseins
Der networker NRW e.V. versteht sich als das Netzwerk der persönlichen Kontakte rund um Unternehmens-IT. Diesem Motto folgend vollzieht sich seine Mitgliederarbeit eher analog. Durch den persönlichen Austausch im Rahmen gemeinsamer Aktivitäten entstehen Vertrauensstrukturen, die die Grundlage künftiger Kooperationen bilden können. Diese kommen letztlich auch dem Endkunden zugute. „Auch wenn wir vom Ursprung ein IT-Branchenverband sind“, erklärt Geschäftsführer Daniel Brans, „so sind heute alle Unternehmen mit eigenem IT-Bereich, die den Austausch mit Experten aus der Branche suchen, bei uns herzlich willkommen. Wir sind gleichermaßen Plattform für den Austausch unserer Mitglieder wie auch die erste Adresse für Unternehmer, die Dienstleister aus der Region z.B. für eine neue Webseite oder eine ganze Sicherheitsinfrastruktur suchen. Derartige Anfragen platzieren im gesamten Kreis unserer Mitglieder, um eine geeignete Auswahl regionaler Dienstleister rückmelden zu können. Unser Schwerpunkt ist bewusst auf die Region begrenzt, weil gerade im Bereich der IT-Dienstleistungen eine räumliche Nähe zum Kunden von Vorteil sein kann, wenn es um individuelle Unterstützung geht.“ Im Fokus der vom networker NRW organisierten Veranstaltungen steht daher der B2B-Austausch zwischen IT-Dienstleistern und Nutzern sowie zwischen jungen und etablierten Unternehmern in NRW. Die Formate reichen von der bilateralen IT-Sprechstunde über Themenabende und Talk-Veranstaltungen bis zu „IT-Trends”. Die meisten Veranstaltungen werden in Kooperation mit regionalen Wirtschaftsförderungen, Kammern, Hochschulen und Partnerverbänden organisiert und von ihnen unterstützt. Bei Themen wie der Novelle des Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG) oder der Frage, ob IT in NRW-Schulen ein Pflichtfach sein sollte, bezieht der Verband zudem gerne auch öffentlich Position.
Gebündelte Kompetenz gegen den Teufel im Detail
Außerhalb der IT-Security – also in der Kompetenzgruppe Informationssicherheit und im Arbeitskreis ISIS12 – beschäftigen sich die networker NRW in den Mitgliedergruppen auch mit Themen wie Big Data/Cloud, CRM, Social Media und Individualsoftware (die softworker NRW). Im Unternehmerklub tauschen sich die Entscheider der Mitgliedsunternehmen zudem regelmäßig zu Unternehmerthemen aus. Weitere Aktivitäten gibt es räumlich in den fünf Regionalforen. Wie wichtig dabei immer wieder die Informationssicherheit ist, zeigt auch die Initiative „GEMEINSAM SCHÜTZEN“ mit dem nordrhein-westfälischen LKA und dem eco Verband der Internetwirtschaft e.V., die u.a. regelmäßig gut besuchte Informationsveranstaltungen unter dem Titel Roadshow Cybercrime präsentiert. So flexibel wie Kriminelle agieren, so schnell muss auch die Branche reagieren.
Trotzdem gibt es immer wieder Vorfälle, die sich nicht verhindern lassen. Der Vorstandsvorsitzende der networker, Hermann Banse, hat im Rahmen seiner Tätigkeit als Sicherheitsberater erst vor wenigen Tagen mit so einem Fall zu tun gehabt. „Nach einem Sicherheitsvorfall im vergangenen Jahr haben wir in einem Unternehmen ein Awarenesstraining durchgeführt. Die Mitarbeitenden waren wachsam und vorsichtig bei fremden E-Mails. Vor einigen Tagen kam beim Geschäftsführer eine Rechnung an, die er nicht zuordnen konnte. Spontan leitete er diese an die Buchhaltung weiter, man solle dort die Berechtigung prüfen. Arglos – da die Mail ja vom Chef kam – öffnete die Buchhalterin den Anhang und die Firma war für acht Tage handlungsunfähig. Das sind genau solche Fälle, bei denen man niemandem einen Vorwurf machen kann. Totale Sicherheit ist einfach eine Illusion. Genau das macht dieses Thema andererseits so vielfältig und spannend“, so Hermann Banse. Risiken kennen, um Chancen nutzen zu können – das ist wohl das Rezept einer geglückten Digitalisierung in Kurzform. Unternehmen stehen aber nicht alleine vor dieser Herausforderung. Auf der „IT-Trends 2020 DIGITAL & SICHER“ finden sie Partner für alle Schritte auf dem Weg in ein sicheres digitales Zeitalter.
Informationen über den Kongress auch unter: www.it-trends.nrw
Leser des REVIER MANAGER können sich über den Code „RM_it-trends“ einen Nachlass von 10 Euro auf den Ticketpreis sichern. Daniela Prüter | redaktion@regiomanager.de
Teilen: