Die Bundesdruckerei hat sich gewandelt, vom klassischen Produzenten von Ausweisdokumenten, hin zum Anbieter digitaler IT-Sicherheitslösungen und Dienstleistungen. Wie hat sich dadurch ihr Kundenangebot verändert?

Die Beratung nimmt jetzt einen wesentlichen Teil ein. Zum Beispiel beim „Informations- Sicherheits-Management“ (ISMS): Dort erklären wir dem Kunden, wie er Risiken für seine IT minimieren kann.

Mit TA Triumph-Adler sind wir stark im Gesundheitswesen vertreten. Aktuell führen wir beispielsweise für einen Kunden eine erste Sicherheitsüberprüfung durch. Im Anschluss erstellen wir einen individuellen Plan, bei dem wir festlegen, welche Maßnahmen wir umsetzen wollen, um eventuelle Sicherheitslücken zu schließen und das Sicherheitsniveau langfristig zu erhöhen. Anschließend beginnt die tägliche Arbeit am Projekt.

Wie gut sind Firmen auf IT-Sicherheitsrisiken vorbereitet? Wie groß ist der Beratungsbedarf?

Generell fehlt meist eine ganzheitliche Analyse auf Unternehmensseite: Es werden Einzelmaßnahmen umgesetzt, es wird dabei aber nicht systematisch vorgegangen und analysiert, wo Handlungsbedarf besteht.      

Wie ist die Situation in kleinen Unternehmen, haben die einen höheren Informationsbedarf als große Unternehmen?

Das IT-Personal kleiner Unternehmen ist oft Ansprechpartner für alle IT-Themen. Dadurch fehlt hier regelmäßig eine Spezialisierung auf IT-Sicherheitsthemen. Es bleibt kaum Zeit, den sich ständig ändernden Anforderungen nachzukommen. Die Beauftragung von externen Spezialisten ist deshalb der erste Schritt in die richtige Richtung. Kümmert sich ein externer Dienstleister um IT-Themen, sollte er auch für Sicherheitsthemen explizit beauftragt werden. Die Umsetzung gilt es dann auch zu kontrollieren. Das schließt auch die Schulung der eigenen Mitarbeiter ein. Denn Sicherheit lässt sich nur zu einem Teil auslagern.

Je größer ein Unternehmen ist, desto schwieriger wird es, den Überblick über die verwendeten Geräte zu behalten. Besonders, wenn Mitarbeiter auch private Smartphones oder Laptops nutzen. Wie schätzen Sie die Gefahr ein?

Als Berater würde ich nicht vom Kunden fordern, dass er nur einheitliche Hardware verwenden darf. Ich würde jedoch auf die Risiken hinweisen und gemeinsam mit dem Kunden eine Lösung finden. Bei größeren Unternehmen herrschen komplexere Strukturen und oft fällt es schwerer einzuschätzen, welche Gefahren in einzelnen Bereichen drohen. Dies müssen die IT-Verantwortlichen gemeinsam mit den Fachbereichen von Fall zu Fall analysieren. Man kann nicht sagen, nur weil die großen Firmen mehr Mitarbeiter hätten, wären sie besser aufgestellt.

Wie groß ist das Problem fehlender Updates und mangelnder Kompatibilität für ältere Geräte? Wie sollten Firmen in solchen Fällen vorgehen? 

Dieses Problem trifft unterschiedliche Sektoren verschieden stark. Im Energie-Sektor zum Beispiel sind Innovationszyklen viel länger als in der IT, und es kann vorkommen, dass in Umspannungsstationen alte Windows 98-Rechner eingesetzt werden. Meistens sind diese konkreten Schwachstellen den Firmen bekannt, sie tun sich aber schwer, Lösungen zu finden und umzusetzen. Ich bin deswegen der gesetzlichen Entwicklung ganz dankbar, da diese für einen Anschub bei den Firmen sorgt, aufzuräumen und bestehende IT- Sicherheitsprobleme tatsächlich anzugehen und zu beseitigen.

Spüren Unternehmen die Konsequenzen des IT-Sicherheitsgesetzes, das 2015 in Kraft getreten ist, oder der EU-DSGVO?

Die Regelungen aus dem IT-Sicherheitsgesetz treffen nur bestimmte Unternehmen, die aufgrund ihrer Größe und Bedeutung zu den Kritischen Infrastrukturen gehören.

In Branchenarbeitskreisen beschäftigt man sich intensiv mit den Umsetzungsstandards. Die Umsetzung wurde nach meiner Wahrnehmung in der Regel mit zeitlich ausreichendem Vorlauf angegangen.

Die EU-DSGVO hingegen trifft eine weit größere Zahl an Unternehmen. Die Anforderungen sind jedoch nicht minder komplex.

Als konkretes Beispiel möchte ich Betroffenen-Rechte nennen: Firmen-Kunden und Bürger können Einsicht in gespeicherte Unterlagen verlangen, und sie müssen informiert werden, wenn es zu Sicherheitsvorfällen kommt.

In der Umsetzung benötigen viele Firmen Hilfe – auch weil es noch an etablierten Standards fehlt. Generell ist im Markt eine gewisse Unsicherheit zu spüren, welche Maßnahmen durch die zuständigen Stellen als ausreichend bewertet werden.

Wie gut sind Unternehmen aus dem Bereich der Kritischen Infrastruktur (KRITIS) auf die gesetzlichen Anforderungen zur IT-Sicherheit vorbereitet?

Grundsätzlich sind es neue Anforderungen, so dass die weitaus größte Zahl an KRITIS- Unternehmen noch Handlungsbedarf hat.

Die konkrete Ausgangsbasis ist jedoch von Branche zu Branche und von Unternehmen zu Unternehmen unterschiedlich.

Beispielsweise haben die Energieunternehmen meist andere Zertifizierungen als Unternehmen aus dem Gesundheitssektor. Die gewonnenen Erfahrungen helfen den einzelnen Unternehmen, die neu hinzugekommenen Anforderungen aufzunehmen und umzusetzen. Unternehmen, die vorher keine Zertifizierungen abgelegt haben – oder Systeme nicht gut implementierten – müssen jetzt deutlich mehr nachlegen.

Im Übrigen dürfte es den KRITIS-Unternehmen, die bereits ein ISMS installiert haben, leichter fallen, die nächsten Schritte beim Datenschutz umzusetzen. Es gibt Überschneidungen, wenn man sich die technischen Maßnahmen anschaut: Der durchschnittliche Mittelständler muss kein ISMS aufbauen, da er keine kritische Infrastruktur betreibt, aber er wird sich über die kommende EU-DSGVO Datenschutzgrundverordnung Gedanken machen müssen. Hier können Ansätze aus der Informationssicherheit helfen, die EU-DSGVO umzusetzen.

Zusammen mit TA Triumph-Adler bieten Sie Workshops zu den Themen IT- Sicherheit und ISMS an. Für wen sind diese interessant?

Unsere Workshops sind für unterschiedliche Zielgruppen konzipiert. So haben wir beispielsweise in einer Klinik einen Workshop nur für das Management durchgeführt. Die Führungskräfte erhielten eine Einführung in Themen wie IT-Sicherheit und ISMS. Danach konnten sie entscheiden, wie diese Themen in ihrem Unternehmen umgesetzt werden können. Andere Workshops sind projektabhängig und auf die Informationsbedarfe spezieller Gruppen wie IT-Administratoren oder Anwender ausgerichtet. Managementworkshops sind üblicherweise der Einstieg, um das Top-Management zu informieren und vom Projekt zu überzeugen. Workshops für Nutzergruppen finden dagegen eher zur Projektmitte und –ende statt, wenn wir die Vorhaben entwickelt haben und wissen, was für das Unternehmen relevant ist.

Haben Sie zum Schluss noch einen konkreten Rat, wie ein Mittelständler seine IT- Sicherheit erhöhen kann?

Zwei Evergreens sind das Thema Mitarbeiterschulungen und Passwörter. Dass unsichere Passwörter eine Sicherheitslücke sind, ist mittlerweile weitläufig bekannt – und auch Passwortzettel am Bildschirm finden wir nicht mehr so häufig wie früher. Jedoch haben immer noch erstaunlich viele Unternehmen keine gute Lösung, wie sich Mitarbeiter sichere Passwörter erstellen und merken können. Insbesondere, wenn sie alle drei Monate geändert werden müssen.

Passwort-Safes sind hier eine Möglichkeit. Eine andere, aus meiner Sicht sehr charmante Lösung haben wir in der Bundesdruckerei entwickelt.

Mit der „GoID Card“ lässt sich die Anmeldung am PC per Fingerabdruck erledigen. Sobald der Mitarbeiter seine Karte entfernt, wird der Rechner wieder gesperrt – ungesperrte Rechner sind somit auch kein Problem mehr. Als innovativer Mitarbeiterausweis eingesetzt, lassen sich mit der „GoID Card“ auch der physische Zutritt zu Gebäuden und Räumen sowie die Verschlüsselung und Signatur von Emails mit einem System lösen. Das ist aus meiner Sicht eine runde Sache.