Existenzbedrohung – Unternehmens-IT

Viele Verantwortliche wissen, dass die Unternehmens-IT ein existenzbedrohendes Risiko darstellen kann. Die interne IT und externe Dienstleister sind in der Regel Teil des Problems. Hoßdorf & Weber bietet die Lösung.

Geschäftsführer Christian Hoßdorf, Head of VAK Management® Daniel Tripp, Geschäftsführer Alexander Hoßdorf (v. l.)  Gemälde: Künstler Lutz Bernsau
Geschäftsführer Christian Hoßdorf, Head of VAK Management® Daniel Tripp, Geschäftsführer Alexander Hoßdorf (v. l.) Gemälde: Künstler Lutz Bernsau
Die Firma Hoßdorf & Weber aus Altena ist seit über zehn Jahren spezialisiert auf den Betrieb von Unternehmens IT des deutschen Mittelstandes. „Hierbei ist besonders zu erwähnen, dass die vollverantwortliche Auslagerung der IT-Verantwortung und des IT-Betriebes, das ‚VAK Management®‘ von Hoßdorf & Weber, eine einzigartig vollumfängliche Lösung ist, die ihresgleichen sucht“, betont Alexander Hoßdorf, einer der Geschäftsführer des Unternehmens.  

Die Gefahr für Unternehmen war nie so groß wie heute. Dabei ist es erst der Anfang.

Kaum ein Unternehmer würde bestreiten, dass die Unternehmens-IT für die Existenz des Unternehmens essenziell ist. Ohne operative IT funktioniert das Unternehmen nicht und würde innerhalb kurzer Zeit Auswirkungen auf die Produktion spüren. Je digitalisierter und moderner das Unternehmen bereits ist, desto höher ist der Impact einer ausfallenden IT auf das operative Geschäft. Die aktuelle Situation der Cybersicherheitslage zeigt es deutlich: Ständig jagt eine große Sicherheitsbedrohung die nächste. Erst im Dezember 2021 zeigte die Sicherheitslücke in Log4j, wie gefährlich das Supply-Chain-Problem in der IT-Softwarebranche wirklich ist.

Kunden und Lieferanten fordern IT-Sicherheit

Mittlerweile wird es immer üblicher, dass Kunden und Lieferanten Wert auf die IT-Sicherheit ihrer Partner legen. „Wir bei Hoßdorf & Weber erleben Situationen, in denen Lieferanten oder Kunden auf die Einhaltung vertraglicher Pflichten zur Vermeidung von Schadenausübung gegenüber dem Kunden oder Lieferanten juristisch relevant hinweisen und das Unternehmen dazu auffordern, Maßnahmen zu ergreifen. Das Unternehmen befindet sich im Haftungsrisiko, wenn es den Pflichten nicht nachkommt“, erklärt Alexander Hoßdorf. „Dabei sind die Haftungsrisiken in solchen Fällen in der Regel nicht durch Cyberversicherungen abgedeckt, da hier bei Nichtbeachtung grobe Fahrlässigkeit des Unternehmens vorliegt. Der Schaden einer erfolgreichen Cyberattacke ist allein schon immens und existenzbedrohend. Zusätzlich keine Deckung seiner Versicherung zu erhalten wirkt wie ein Brandbeschleuniger.“

Das Supply-Chain-Problem der IT-Branche: Log4j – die Katastrophe als Beispiel für das, was immer wieder passieren wird

Ein kritisches Risiko ergibt sich seit Dezember 2021 für fast jedes Unternehmen. Der Umgang vieler IT-Abteilungen mit der Sicherheitslücke in Log4j zeigt, wie IT-Abteilungen und externe Dienstleister zumeist unwissentlich Unternehmen gefährden und ein Risiko darstellen. Wichtig zu verstehen für Verantwortliche ist, dass es sich hier um eine der Sicherheitslücken mit dem höchsten Risikopotenzial der bisherigen IT-Geschichte handelt. Auf diese Bedrohung nicht mit sofortigen und intensiven Untersuchungen zu beginnen ist grob fahrlässig und setzt das Unternehmen neben IT-Risiken auch Haftungsrisiken aus. Jedes Unternehmen, das den Anweisungen der Bundesbehörde BSI Folge geleistet hat, musste unmittelbar starke Ressourcen und Werkzeuge auf diesen Vorfall anwenden. „Unserer Beobachtung nach haben viele IT-Abteilungen in Unternehmen völlig falsch reagiert. Als auch den letzten IT-Abteilungen klar wurde, dass Maßnahmen ergriffen werden müssen, so waren diese Maßnahmen oft aufgrund mangelnden Wissens und fehlenden Horizontes nicht wirkungsvoll und verfehlten sogar die Identifizierung der betroffenen Software“, so Alexander Hoßdorf. „Aktuell können daher Unternehmen immer noch diesen Risiken ausgesetzt sein oder sind bereits infiltriert, ohne dass sie es merken.“ Fast jedes Unternehmen setzt wissentlich oder unwissentlich die betroffene Komponente ein. Jeder kennt die Hollywood-Filme, in denen Hacker Unternehmen mittels weniger Tastatureingaben kapern können. In diesem Fall war dies bittere Realität. Das Problem bestand hauptsächlich darin, dass IT-Abteilungen das Unternehmen sehr häufig aufgrund von Unwissenheit hohen Risiken ausgesetzt haben und die Situation völlig unterschätzten, da Fachwissen im Bereich der IT-Sicherheit fehlt. Die Hoßdorf & Weber GmbH hat mit ihrer Fachabteilung „Cyber Security Operations“ über 1.000 (eintausend) Arbeitsstunden innerhalb von zwei Wochen abgeleistet, um Kunden zu schützen, der jeweils zum akuten Zeitpunkt geltenden Sachlage gerecht zu werden und den Sicherheitsstatus der Kunden aufrechtzuerhalten. Es handelt sich bei Angabe der Arbeitsstunden um rein investigative, forensische und mitigierende Arbeiten ohne aktive Sicherheitsvorfälle, die eine Incident Response notwendig machten. Die Kunden von Hoßdorf & Weber profitierten besonders davon, dass alle Maßnahmen der Spezialabteilung umgehend wirken konnten und Schwachstellen im Großteil schneller geschlossen wurden, als Patches der Hersteller verfügbar waren. „Selbstverständlich war zu jedem Zeitpunkt die Management- und Entscheiderebene unserer Kunden informiert über den Risikostatus für das Unternehmen und den Arbeitsstatus unserer Cyber Security Operations-Spezialabteilung“, erzählt Alexander Hoßdorf. „Sollten Sie als Verantwortlicher sich diesem Ereignis gerade nicht bewusst sein, so ist es wahrscheinlich, dass die tatsächliche Bedrohung für das Unternehmen nicht vollständig an Sie kommuniziert wurde und die IT-Abteilung das Risiko unterschätzt hat.“ „Wir bekommen mittlerweile in einer stark erhöhten Frequenz Anfragen von Unternehmen, die von Angreifern bereits kompromittiert wurden. Leider ist es da bereits zu spät und die Existenz des Unternehmens gefährdet. Viele aktuelle Fälle sind auf Angriffe aus der Vergangenheit zurückzuführen, da Angreifer selten sofort nach Infiltrierung des Unternehmens zuschlagen“, meint Alexander Hoßdorf. „Mittelständische IT-Abteilungen sind in der Regel nicht in der Lage festzustellen, ob eine akute Kompromittierung des Unternehmens mit einem unbemerkten Angriff in der Vergangenheit zusammenhängt.“

Interne IT-Abteilungen versagen und sind Teil des Problems

„Angesichts der Bedrohungen für Unternehmen in Bezug auf die IT-Sicherheit, aber auch in Bezug auf die strategisch wichtige Digitalisierung für Unternehmen versagen IT-Abteilungen oft und sind Teil des Problems“, führt Alexander Hoßdorf weiter aus. In vielen mittelständischen Unternehmen hat sich eine Unternehmens-IT etabliert, die wie folgt aussieht: zwei bis zehn IT-Mitarbeiter in der technischen IT-Abteilung, die für die operative Lauffähigkeit der IT zuständig sind, sowie zwei bis vier Mitarbeiter, die für das verwendete ERP-System Ansprechpartner sind. Was in dieser Konstellation zumeist zum Nachteil des Unternehmens nicht dediziert bedient wird, sind die Themen IT-Sicherheit und Projektmanagement. Jedes Unternehmen benötigt professionelle dedizierte IT-Sicherheit und ein IT-Projektmanagement, um in einer modernen Welt bestehen zu können. Oft wird auf Druck der IT-Abteilung die Quantität der IT-Mitarbeiter erhöht, ohne die eigentlich ursächlichen Probleme des Unternehmens zu lösen. Das führt zu einer Spirale des Personalaufbaus in der IT-Abteilung, aber nicht dazu, dass es die Probleme des Unternehmens löst. Es mangelt mittelständischen Unternehmen oft an der korrekten Priorisierung der IT-bezogenen Themen, die für das Unternehmen wirklich wichtig sind. IT-Abteilungen gehen im Tagesgeschäft unter und erfüllen diese essenziell wichtigen Priorisierungsansprüche des Unternehmens nicht. Direkt schadhafte Auswirkungen hat diese Erkenntnis im Bereich IT-Sicherheit. Falsche Priorisierung, mangelnde fachliche Qualifikation oder Führungsschwäche wirken sich früher oder später schadhaft auf das Unternehmen aus. Zu unterscheiden sind hierbei IT-Abteilungen, die grundsätzlich sowohl operatives IT-Geschäft, IT-Projekte und IT-Sicherheit für das Unternehmen nicht richtig priorisieren, sowie IT-Abteilungen, die lediglich das Thema IT-Sicherheit nicht ausreichend im Sinne des Unternehmens erfüllen. Für beide Szenarien bietet Hoßdorf & Weber die Lösung.

Externe IT-Dienstleister sind Teil eines sich selbst erhaltenden Systems

Viele IT-Abteilungen arbeiten mit externen Dienstleistern zusammen. In der Regel ist dies in gewissen Bereichen auch unabdingbar und sinnvoll. Gefährlich wird es für das Unternehmen dann, wenn die Wahl der externen Dienstleister durch die IT-Abteilung gar nicht die eigentlichen Bedürfnisse des Unternehmens bedient. Externe Dienstleister sind Partner der internen IT-Abteilung des Unternehmens. Genau darin kann ein Problem bestehen. Marktwirtschaftlich logisch ist der externe Dienstleister hauptsächlich daran interessiert, die Bedürfnisse der IT-Abteilung zu bedienen, um von ihr weiterhin beauftragt zu werden. Insbesondere wenn die interne IT-Abteilung nicht entscheidungsstark ist oder falsche Priorisierungen trifft, führt dies zu einer Blase der Bestätigung durch Externe, die sich selbst weiter beauftragt sehen wollen. Die Bedürfnisse des Unternehmens geraten dann ins Hintertreffen und das Ergebnis ist eine sich immer weiter aufblähende IT ohne Vorteile für das Unternehmen. Im Bereich der IT-Sicherheit ist das Problem noch viel schwerwiegender und hat unmittelbar Auswirkungen auf die existenzielle Sicherheit des Unternehmens. Externe Dienstleister haben sich als Managed-Service-Provider darauf spezialisiert, das von der IT-Abteilung erkannte Bedürfnis nach Expertise zu erfüllen. Das Problem dabei: Managed-Service-Provider und externe Dienstleister übernehmen in der Regel keine Verantwortung und tragen keine Konsequenzen, solange sie nicht grob fahrlässig handeln. Da die Gesamtverantwortung für die IT-Sicherheit bei normalen Managed-Service-Verträgen immer noch dem Unternehmen selbst obliegt und nur bestimmte Teilbereiche durch den Serviceprovider bedient werden, führt dies dazu, dass sich die IT-Abteilung in einer falschen Sicherheit wiegt – und glaubt, den Sicherheitsstatus des Unternehmens in guten Händen zu wissen, obwohl Bedrohungslagen anliegen. Das Beispiel Log4j zeigt deutlich, dass nur eine Gesamtverantwortung für IT-Sicherheit in professionellen Händen wirksam ist und Risiken vom Unternehmen abwendet. Die mangelnde Verpflichtung, Gesamtverantwortung für die IT-Sicherheit zu übernehmen, führt zu einem unzureichenden IT-Sicherheitsstatus des Unternehmens und somit zu akuten Bedrohungslagen.

Hoßdorf & Weber löst diese Probleme.

Folgende Probleme kann Hoßdorf & Weber bei vielen mittelständischen Unternehmen identifizieren und lösen:

• Die IT-Abteilung setzt nicht die richtigen Prioritäten für das Unternehmen, um strategischen Erfolg zu gewährleisten.

• Die IT-Abteilung hat mangelnde Fachkenntnisse bezüglich IT-Sicherheit und gefährdet so das Unternehmen.

• Die IT-Abteilung hat kein erfolgreiches Projektmanagement etabliert und verfehlt so die Digitalisierung.

• Externe Dienstleister sind spezialisiert auf die Unterstützung von internen IT-Abteilungen und legen selten den Finger in die Wunde, um wieder beauftragt zu werden.

• Externe Dienstleister werden bei internen IT-Abteilungen kaum angezweifelt und es existiert kein Kontrollgremium oder jemand, der es bewerten könnte.

• Externen Dienstleistern werden Aufgaben in gutem Glauben von der internen IT-Abteilung übertragen, dabei ist die Erfüllung im Sinne des Unternehmens oft unzureichend.

• Der IT-Sicherheitsstaus des Unternehmens ist gefährdet, obwohl interne IT-Abteilung und externe Dienstleister Teilaufgaben in der IT-Sicherheit übernehmen.

• Hoßdorf & Weber löst diese Probleme und hat zwei Lösungen für betroffene Unternehmen.

Der minimalinvasive Ansatz ist die Übernahme der Verantwortung für IT-Sicherheit durch Hoßdorf & Weber. Hierbei wird den typischen Problemen entgegengewirkt und ein konstruktiver Gegenpol im Unternehmen zur internen IT-Abteilung und externen Dienstleistern geschaffen, der IT-Sicherheit als ernstes Thema behandelt. Der Ansatz mit dem größten Wirkeffekt und den meisten Vorteilen ist der Ersatz der technischen internen IT-Abteilung durch Hoßdorf & Weber und die Übernahme der Verantwortung für die IT-Sicherheit durch Hoßdorf & Weber: VAK Management®. IT-Sicherheit ist in beiden Szenarien unabdingbar. Die Frage, welche Lösung für das Unternehmen die richtige ist, hängt von den Problemstellungen der internen IT-Abteilung des Unternehmens ab. Setzt die interne IT-Abteilung falsche Prioritäten oder ist die gesamte technische IT-Abteilung restrukturierungsbedürftig, so ist das VAK Management® die richtige Lösung. Werden die richtigen Prioritäten durch die interne IT-Abteilung gesetzt und es mangelt nur am Thema IT-Sicherheit, so kann die Übernahme der Verantwortung durch Hoßdorf & Weber eine Lösung sein.

Die IT-Zukunft ist düster: Cyberkrieg

Für welche Lösung Unternehmer sich auch entscheiden – VAK Management® oder Übernahme der Verantwortung für die IT-Sicherheit: IT-Sicherheit ist immer elementarer Bestandteil, da es unabdingbar ist für die Existenz des Unternehmens. Aktuell kann jeder, der aufmerksam die IT-Nachrichten verfolgt, feststellen, dass der Cyberuntergrund so aktiv ist wie noch nie. Hackergruppen hegen teilweise gewisse Sympathien für politische Konfliktparteien und stellen sich mitunter auf die Seite einer der Konfliktparteien. Andere Hackergruppen distanzieren sich wiederum vom politischen Geschehen und verweisen auf ihre Unabhängigkeit. Der Cyberkrieg ist bereits da und es ist nur eine Frage der Zeit, bis auch in Deutschland Kollateralschäden auftreten. Auch wer aufmerksam die Meldungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) verfolgt, weiß, dass die Bedrohungslage aktuell angespannt ist. Unternehmen können aus den verschiedensten Gründen zum Objekt der Begierde für Hackergruppen werden. Fest steht, dass fast jeder Unternehmer im Bekanntenkreis andere Unternehmer kennt, dessen Unternehmen Opfer eines erfolgreichen Cyberangriffs wurden. Die Methoden der Angreifer, die wunden Punkte der Unternehmen zu identifizieren, werden fortlaufend besser und eine Professionalisierung der Hackergruppen macht professionelles Handeln der Unternehmen notwendig. Ein wichtiger Hinweis an dieser Stelle für Unternehmer und Verantwortliche: Eine normale interne IT-Abteilung eines mittelständischen Unternehmens ist weder in der Lage, professionelle Hacker am Eindringen zu hindern, noch diese aufzuspüren, bevor der Schaden entstanden ist. Hier werden professionelle Werkzeuge und professionelles Personal benötigt. Beides ist teuer und für mittelständische Unternehmen nicht wirtschaftlich intern zu betreiben. „Unternehmen, die keine professionelle IT-Sicherheit betreiben, aber wissen, dass sie selbst diese nicht wirtschaftlich intern herstellen können, kann geholfen werden. Schlimmer ist es, wenn die IT-Abteilung den Verantwortlichen und Geschäftsführern vermittelt, dass das Unternehmen ausreichend geschützt ist, obwohl dies nicht der Fall ist“, sagt Alexander Hoßdorf. „Oft ist hier die Unwissenheit der eigenen IT-Abteilung das Hauptproblem. In beiden Fällen bietet sich das VAK Management® an, um dem Unternehmen zu helfen.“ Cyberversicherungen ersetzen keinesfalls IT-Sicherheit Eine gute Cyberversicherung sollte jedes Unternehmen abschließen, da auch mit professionellsten Werkzeugen und Personal ein Restrisiko bleibt. Unternehmer sollten allerdings nicht dem Trugschluss unterliegen, dass Cyberversicherungen aktiv zur Sicherheit des Unternehmens beitragen. Diese helfen lediglich, wenn das Unglück bereits passiert ist. Die Auswirkungen für das Unternehmen bedeuten trotzdem meistens Betriebsstillstand für mehrere Wochen oder Monate, wenn IT-Forensiker der Versicherung alle Systeme genau analysieren und abschalten müssen, um alle betroffenen Geräte zu identifizieren. Anschließend wird meistens von der Pike auf neu aufgebaut. Die Kosten für das Unternehmen und die Auswirkungen können trotz Versicherung existenzbedrohend sein. „Wir nehmen Beratungstermine mit Cyberversicherern mit unseren Kunden gemeinsam wahr und senken erfolgreich mit unseren IT-Sicherheitsmaßnahmen die erforderlichen Versicherungsbeiträge. Hierbei empfehlen wir gerne Partner, mit denen wir gute Erfahrungen gesammelt haben“, erklärt Alexander Hoßdorf. „Wichtig ist auch zu wissen, gerade bezüglich der aktuellen weltpolitischen Situation, dass viele Versicherer explizit Cyberkrieg als Schadensereignis nicht versichern. Die Bedrohung für Unternehmen, von einem Cyberkrieg Schaden zu erleiden, war noch nie so hoch. Allein deshalb benötigen Unternehmen professionelle IT-Sicherheitskräfte.“

Eine klare Botschaft an Entscheider und Verantwort­liche von Unternehmen

„Besonders wichtig ist es mir, im Rahmen dieses Formates eine Botschaft gerade an die Verantwortlichen und Entscheider zu senden, die aktuell noch glauben, dass ein Unternehmen keine professionelle IT-Sicherheit benötigt, oder glauben, dass eine normale mittelständische IT-Abteilung mit zwei bis zehn Administratoren diese Professionalitätsansprüche erfüllt. Liebe Verantwortliche und Entscheider: Eine normale mittelständische IT-Abteilung kann diese Anforderung in der Regel nicht erfüllen. Ein zu gering geschätztes Risiko kann die Existenz des Unternehmens bedrohen. Die Unternehmen, die das jetzt erkennen, werden die Gewinner der Digitalisierung sein“, so Alexander Hoßdorf. „Wir laden herzlich Interessenten ein, mit unseren Mitarbeitern Gespräche zu führen. Dies ist deshalb so interessant, da wir viele Mitarbeiter aus ehemaligen technischen IT-Abteilungen unserer Kunden generieren. Es öffnet einem die Augen, wenn man einmal den Unterschied gesehen hat.“

VAK Management® ist die Lösung

Sowohl VAK Management® als auch die Übernahme der Verantwortung der IT-Sicherheit sind so ausgerichtet, dass ein zielführendes Verhältnis von Geldeinsatz zu Wirkung besteht. „Eine 100-prozentige IT-Sicherheit oder eine Bereitstellung von Überkapazitäten würde unnötig unsere Lösungen verteuern. Der Kunde erhält bei uns die Leistung, die wirklich benötigt wird, zum fairen Preis. Gegenüber anderen Modellen, wie interner IT-Abteilung oder interner IT-Sicherheitsabteilung, sind die Lösungen von Hoßdorf & Weber wirtschaftlicher“, betont Alexander Hoßdorf. Das VAK Management® von Hoßdorf & Weber ist genau die richtige Lösung für Ihr Unternehmen, wenn Sie wissen, dass Ihr Unternehmen ein strukturelles Problem in der technischen IT-Abteilung hat und einen starken Verantwortlichen benötigt, der die richtigen Priorisierungen im Sinne des Unternehmens trifft und dabei IT-Sicherheit ernst nimmt und verantwortet. Die Übernahme der Verantwortung von IT-Sicherheit durch Hoßdorf & Weber ist genau die richtige Lösung für Ihr Unternehmen, wenn Sie wissen, dass Sie die Verantwortung für Ihre IT-Sicherheit in professionelle Hände legen möchten und Ihnen bewusst ist, dass IT-Sicherheit einen notwendigen, konstruktiven Gegenpol zur normalen internen IT-Abteilung und externen Dienstleistern bildet und weit über Managed Services oder den Einsatz von Sicherheitssoftware-/Hardware hinausgeht. „In jeder Konstellation der Verantwortungsübernahme durch Hoßdorf & Weber besteht der große Vorteil darin, dass Hoßdorf & Weber als externes Unternehmen verantwortlich ist für das, was es tut. Die Verträge sind so gestaltet, dass die maximale Verantwortungsübernahme erfolgt“, resümiert Alexander Hoßdorf. „Das unterscheidet Hoßdorf & Weber stark von anderen externen Unternehmen, die nur für bestimmte Leistungen/Teillösungen verantwortlich sind, oder internen Abteilungen, die aus Unternehmersicht in der Regel gar nicht für ihr Handeln verantwortlich gemacht werden können. Das ist unsere Philosophie, die wir mit voller Überzeugung zum Kundenwohl einsetzen.“

Fotostrecke

Ausgabe 01/2022

Suche