Das Magazin der IHK Berlin

Schwer­punkt

„Der Mensch ist das größte Sicherheitsproblem“

Technologie ist für IT-Security-Experte Carsten Vossel nicht der wichtigste Schlüssel für Informationssicherheit. Entscheidender sind die technisch-organisatorischen Maßnahmen, meint er.
von Michael Gneuss Ausgabe 11/2020

Carsten Vossel ist Gründer und Geschäftsführer
Carsten Vossel ist Gründer und Geschäftsführer. Sein Unternehmen CCVossel hat er 1996 gegründet. Es betreut Kunden aus den unterschiedlichsten Branchen. Das Angebot reicht von Softwareentwicklung und IT-Consulting über Support bis hin zur Rundumlösung. Foto: Amin Akhtar
Lesenswert

Warum Sie diesen Artikel lesen sollten

  • Die Anforderungen für IT-Experten sind in KMUs völlig andere als in Konzernen.
  • Fachkräftenachwuchs im Bereich IT-Sicherheit ist sehr schwer zu finden.

Cars­ten Vos­sel bie­tet mit der CCVos­sel GmbH gro­ßen Unter­neh­men Dienst­leis­tun­gen für IT-Sicher­heit an. Mit den glei­chen Struk­tu­ren auch für klei­ne Fir­men zu arbei­ten, hat sich nicht bewährt. Daher hat er jetzt eine wei­te­re Fir­ma gegrün­det, die sich um KMU küm­mern wird.

Fra­gen?

Kon­tak­tie­ren Sie unse­re IHK-Exper­ten

BS
Bee­ke Schmidt
Jetzt kon­tak­tie­ren

Ber­li­ner Wirt­schaft: Wie steht es um die IT-Sicher­heit in Ber­li­ner Unter­neh­men?

Cars­ten Vos­sel: Das ist sehr unter­schied­lich. Aber sehr oft wer­den vie­le Feh­ler gemacht. Das geht schon bei der Auf­stel­lung der Ser­ver los, die mit­un­ter an unge­eig­ne­ten Plät­zen ste­hen. Da ver­lau­fen dann zum Bei­spiel Was­ser­roh­re über den Ser­ver­schrän­ken, oder die Ser­ver ste­hen völ­lig unge­schützt, sodass jeder exter­ne Besu­cher rela­tiv ein­fach her­an­kom­men kann. Es kön­nen also auch ohne Cyber-Kri­mi­na­li­tät schwe­re Schä­den ent­ste­hen – zum Bei­spiel durch Ein­bre­cher oder Feu­er. Ser­ver kön­nen auch geklaut wer­den. Ohne Back-up kann das fata­le Fol­gen haben.

Sind feh­len­de Back-ups das schwers­te Ver­säum­nis?

Ich wür­de nicht sagen, dass dar­in gene­rell das größ­te Pro­blem liegt. Aber wir sehen bei vie­len klei­nen Fir­men, dass die Back-ups nicht pro­fes­sio­nell gemacht wer­den. Es gibt viel­leicht eine exter­ne Fest­plat­te, auf die Daten kopiert wer­den. Das kann funk­tio­nie­ren. Aber ohne einen fes­ten Pro­zess ist das Risi­ko zu groß, dass im ent­schei­den­den Moment doch kein aktu­el­les Back-up vor­liegt. Da oft der kom­plet­te Unter­neh­mens­wert in den Daten steckt, ist der fahr­läs­si­ge Umgang mit den Daten unver­ant­wort­lich. Gera­de jetzt, wo das Risi­ko durch Ver­schlüs­se­lungs­tro­ja­ner steigt.

Hel­fen Back-ups gegen die­se Tro­ja­ner?

Die Ver­schlüs­se­lungs­tro­ja­ner kön­nen Back-ups auch ver­schlüs­seln und somit wir­kungs­vol­ler erpres­sen. Des­halb hilft nur ein regel­mä­ßi­ger Pro­zess, sodass ein mög­lichst aktu­el­ler Daten­be­stand aus noch unver­schlüs­sel­ten Back-ups im Erpres­sungs­fall wie­der in die Sys­te­me ein­ge­spielt wer­den kann. Auch das regel­mä­ßi­ge Tes­ten der Daten­wie­der­her­stel­lung gehört hier­bei zum Pro­zess, um böse Über­ra­schun­gen aus­zu­schlie­ßen.

Dann haben Sie also vor allem bei klei­nen Fir­men viel zu tun?

CCVos­sel kon­zen­triert sich auf gro­ße Unter­neh­men und Kon­zer­ne. Wir haben auch schon ver­sucht, mit unse­ren Teams ver­stärkt für klei­ne und mit­tel­stän­di­sche Fir­men tätig zu wer­den. Aber gera­de im Umgang mit der IT ist die Kul­tur zwi­schen gro­ßen und klei­nen Unter­neh­men sehr unter­schied­lich. Wir brau­chen daher ande­re Struk­tu­ren, um die KMU betreu­en zu kön­nen, und haben des­halb eine wei­te­re Fir­ma gegrün­det, mit der wir als Fran­chise-Part­ner der Eins­nul­leins in Ber­lin am Markt sind. Das Fran­chise-Sys­tem der Eins­nul­leins hat Stan­dards zum Fest­preis defi­niert, die wir bei KMU-Kun­den bes­tens anwen­den kön­nen.

„Wie know IT“, lautet der selbstbewusste Slogan von CCVossel
„Wie know IT“, lau­tet der selbst­be­wuss­te Slo­gan von CCVos­sel. Foto: Amin Akhtar

Wor­in sehen Sie als Secu­ri­ty-Exper­te den Unter­schied zwi­schen gro­ßen und klei­nen Fir­men?

Ein Groß­un­ter­neh­men kann die Ent­wick­lung eige­ner Sicher­heits­stan­dards bezah­len, eine klei­ne Fir­ma nicht. Des­halb benö­ti­gen wir dort bereits ent­wi­ckel­te und erprob­te Stan­dards. Klei­ne Fir­men müs­sen so kei­ne Ent­wick­lungs­pha­se für indi­vi­du­el­le Stan­dards bezah­len. Außer­dem gehen die Auf­ga­ben­stel­lun­gen in Groß­un­ter­neh­men sehr viel tie­fer. Wir haben dort mehr Spe­zi­al­the­men, die für IT-Exper­ten sehr her­aus­for­dernd und daher auch beliebt sind. In klei­nen Fir­men wer­den statt­des­sen IT-All­roun­der gebraucht, die sich nicht zu scha­de sind, auch den Papier­stau im Dru­cker zu besei­ti­gen.

Wenn feh­len­de Back-ups nicht das größ­te Pro­blem in der IT-Sicher­heit sind, was ist es dann?

Der Mensch ist das größ­te Sicher­heits­pro­blem. Auch wenn ich glau­be, dass das Bewusst­sein der Mit­ar­bei­ter für IT-Secu­ri­ty schon bes­ser gewor­den ist – gera­de weil das The­ma sehr stark in den Medi­en ver­tre­ten ist. Den­noch sind PC-Anwen­der tech­nisch oft nicht so ver­siert und kön­nen leicht hin­ters Licht geführt wer­den. Um die Risi­ken allen noch stär­ker vor die Augen zu füh­ren, machen wir bei unse­ren Kun­den nach Abspra­che mit der Geschäfts­füh­rung Phis­hing-Kam­pa­gnen. Das ist eine tol­le Sache, denn es tut nie­man­dem weh, und wir kom­men auf die­se Wei­se von der Theo­rie in die Pra­xis.

Bei vie­len klei­nen Fir­men wer­den Back-ups nicht pro­fes­sio­nell gemacht.
Cars­ten Vos­sel

Was genau machen Sie bei sol­chen Phis­hing-Kam­pa­gnen?

Wir gehen in der Regel drei­stu­fig vor. Die ers­te Stu­fe ist so sim­pel, dass meist alle E-Mails rich­tig ein­ge­stuft und gelöscht wer­den – zum Bei­spiel, wenn Via­gra in der Mail ange­bo­ten wird. Die zwei­te Stu­fe ist schon schwie­ri­ger: Zum Bei­spiel tun wir so, als wenn das exter­ne Lohn­bü­ro ver­se­hent­lich eine Gehalts­lis­te an die jewei­li­ge Adres­se geschickt hat. Dann den­ken eini­ge: Ich woll­te schon immer ein­mal wis­sen, was der Kol­le­ge ver­dient. Sie wis­sen zwar, dass es ver­kehrt ist – aber sie kli­cken trotz­dem.

Carsten Vossel an seinem Schreibtisch am Standort Marienfelde
Cars­ten Vos­sel an sei­nem Schreib­tisch am Stand­ort Mari­en­fel­de. Foto: Amin Akhtar

Und die drit­te Stu­fe?

Mit die­ser Stu­fe machen wir es allen Anwen­dern sehr schwer. Wir fäl­schen bei­spiels­wei­se News­let­ter mit The­men, von denen wir wis­sen, dass sie inter­es­sant für die jewei­li­gen Mit­ar­bei­ter sind. So kom­men Men­schen, die in einem Theo­rie-Work­shop sagen wür­den, dass sie auf Phis­hing-Mails nicht her­ein­fal­len, kräf­tig ins Grü­beln. Tat­säch­lich soll­te sich nie­mand zu sicher sein. Die Phis­hing-Kam­pa­gnen, die von Hackern kom­men, wer­den lei­der immer bes­ser. Daher ist es wich­tig, die Mit­ar­bei­ter dafür immer wie­der zu sen­si­bi­li­sie­ren.

Was machen Men­schen außer­dem falsch?

Das geht schon bei den Kenn­wör­tern los. In eini­gen Unter­neh­men ken­nen alle Kol­le­gen unter­ein­an­der alle Pass­wör­ter. Wir schu­len daher bei unse­ren Kun­den die Mit­ar­bei­ter ent­spre­chend und schaf­fen ein Bewusst­sein für die Bedeu­tung der tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men. Ein Unter­neh­men kann zwar viel in Tech­nik inves­tie­ren, aber das hilft nicht, wenn sie nicht rich­tig ange­wen­det wird. Eine schwe­re Stahl­tür nützt ja auch nichts, wenn sie nicht abge­schlos­sen wird.

Wie groß ist die Bereit­schaft der Mit­ar­bei­ter, an IT-Sicher­heit zu den­ken?

Die Bereit­schaft ist da, aber jeder steht täg­lich im Kon­flikt zwi­schen Bequem­lich­keit und Sicher­heit. Der USB-Stick ist bei­spiels­wei­se ein beque­mes Mit­tel, um Daten zu trans­por­tie­ren. Auf der ande­ren Sei­te ist es ein extrem risi­ko­be­haf­te­tes Instru­ment, weil damit Viren von Rech­ner zu Rech­ner geschleppt wer­den. Ich muss daher eine Alter­na­ti­ve anbie­ten, die eben­falls kom­for­ta­bel ist und gut kom­mu­ni­ziert wird. Es hat auch etwas mit Füh­rung und Unter­neh­mens­kul­tur zu tun. Wenn sehr viel Druck erzeugt wird und alles schnell gehen muss, neh­me ich viel­leicht doch den Stick. Genau­so ist es bei E-Mails.

Also ist der Druck in Fir­men oft zu hoch?

Ja, und außer­dem brau­chen wir ein hohes Selbst­be­wusst­sein in der Beleg­schaft. Wenn ein Mit­ar­bei­ter eine E-Mail vom Chef – der im Urlaub ist – bekommt und dar­in auf­ge­for­dert wird, einen bestimm­ten Betrag auf ein bestimm­tes Kon­to zu über­wei­sen, dann zeigt sich, wie kri­tisch star­ke Hier­ar­chi­en sein kön­nen. Wenn die E-Mail eini­ger­ma­ßen glaub­wür­dig wirkt, über­wei­sen vie­le. Sie haben Angst, dass sie Pro­ble­me bekom­men, wenn sie es nicht machen, und sie wis­sen nicht, dass der Chef ein sol­ches Anlie­gen nie­mals per E-Mail vor­tra­gen wür­de, weil die Distanz zu ihm zu groß ist.

PC-Anwen­­der sind tech­nisch oft nicht so ver­siert und kön­nen leicht hin­ters Licht geführt wer­den.
Cars­ten Vos­sel

Muss ein Unter­neh­men einen zen­tra­len Ansprech­part­ner für IT-Secu­ri­ty haben, um best­mög­lich für Sicher­heit sor­gen zu kön­nen? 

Das Pro­blem ist, dass ich sehr viel Know-how brau­che, um alle Auf­ga­ben der IT-Sicher­heit zu erfül­len. Es geht weit über das Anti-Virus-Manage­ment und das Patch-Manage­ment hin­aus. Ent­we­der ist mein Unter­neh­men so groß, dass ich meh­re­re Mit­ar­bei­ter dafür habe. Oder aber das ist nicht der Fall, und ich neh­me mir lie­ber einen exter­nen Part­ner, der das kom­plet­te Know-how abde­cken kann.

Ist es schwer, IT-Secu­ri­ty-Exper­ten zu fin­den?

Sehr schwer. Wir set­zen seit Jah­ren auf Aus­bil­dung. Eine klas­si­sche Aus­bil­dung ist der Fach­in­for­ma­ti­ker für Sys­tem­in­te­gra­ti­on. In die­sem Berufs­feld fin­det eine inten­si­ve Aus­ein­an­der­set­zung mit IT-Infra­struk­tur statt. Wir haben gute Erfah­run­gen damit gemacht, Leu­te dar­in aus- und spä­ter wei­ter­zu­bil­den. Inzwi­schen gibt es an eini­gen Uni­ver­si­tä­ten die Mög­lich­keit, gezielt Infor­ma­ti­ons­si­cher­heit zu stu­die­ren. Mit dem regio­na­len Netz­werk it’s.BB – in dem sich Fir­men aus Ber­lin und Bran­den­burg zu The­men der IT-Sicher­heit aus­tau­schen – set­zen wir uns dafür ein, dass es künf­tig noch mehr sol­cher Stu­di­en­gän­ge gibt.

Wie ist die Nach­fra­ge von Digi­tal-Start-ups?

Nicht sehr groß. In der Regel geht es zunächst dar­um, coo­le Pro­duk­te auf den Markt zu brin­gen. Wenn ich in die­ser ers­ten Pha­se das The­ma Sicher­heit schon voll ein­baue, ist das Voll­gas mit ange­zo­ge­ner Hand­brem­se. Wenn sich der Erfolg ein­stellt, rüs­ten die jun­gen Fir­men in punc­to IT-Sicher­heit nach.

Das könnte Sie auch interessieren – weitere Artikel dieser Kategorie


Newsletter

Jetzt unseren Newsletter abonnieren und informiert bleiben!