KONTAKT

Experteninterview

Start-up-Interview: Ein Zebrastreifen für die IT-Sicherheit

EM-Power-Newsletter abonnieren

 

Die Sicherheit im Internet of Things (IoT) ist das Spezialgebiet der Connecting Media, die 2017 an den Start ging. Im Start-up-Interview erklärt Geschäftsführer Andreas Kunz, warum zuhören und miteinander reden in der IT-Security mehr Erfolg bringen kann, als teure Techniklösungen. Und warum er und seine Kollegen manchmal Honigtöpfe aufstellen.

 

Herr Kunz, ihr Unternehmen Connecting Media beschäftigt sich intensiv mit IT-Security und Datenschutz. Das sind Themen, mit denen sich viele, vor allem kleinere Unternehmen und Institutionen schwertun, weil sie nicht das Knowhow dazu haben. Was sind die größten Probleme und Sicherheitslücken, die Sie bisher beobachtet haben?

Das größte Problem ist aus meiner Sicht die Wahrnehmung im Unternehmen selbst. Viele Unternehmer denken, sie kaufen sich eine Firewall und damit sind sie geschützt. Oder sie übertragen die Aufgabe an einen internen oder extern IT-ler mit der Einstellung, der macht das schon. IT-Sicherheit lässt sich aber nicht mit dem einmaligen Kauf einer Software erledigen, sie ist ein stetiger, sich wandelnder Prozess, der immer wieder angepasst werden muss. Dass man als Chef das Thema Sicherheit vorleben und seine Mitarbeiter dabei mitnehmen muss, das vergessen die meisten.

 

Wie können Sie betroffenen Unternehmen helfen?

Wir unterstützen die Unternehmen mit unserer Beratungsexpertise. Wir sind kein klassisches Systemhaus, das Produkt A, B oder C verkauft, sondern unser Anliegen ist es, in die Unternehmen Struktur reinzubringen. Das heißt IT-Security nicht nur als technisches Mittel zu sehen, sondern als Unternehmensprozess zu verankern.

 

Wer gehört zu Ihren Kunden?

Unser Kundenspektrum ist weit gefächert. Das sind Kleinstbetriebe, wie Autohäuser, Friseursalons, Getränkeläden bis hin zu Arztpraxen oder Maklerbüros. Wir haben aber auch Großkunden wie Krankenhäuser, Automobilzulieferer und Energieunternehmen.

 

Eine ihrer aktuellen Referenzen ist eine Energie- und Klimaschutzagentur. Mit welchen Problemen kam diese auf Connecting Media zu?

Wir haben dort den Auftrag bekommen, wegen des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO) das Thema Datenschutz unter die Lupe zu nehmen und ein IT-Security-Konzept zu schreiben. Die Agentur arbeitet mit Smart Metern und Smart Grids, da fallen überall personenbezogene Daten an. Zudem sind die Messstationen oft in Privathäusern. Die Agentur verarbeitet diese Daten und gibt sie an entsprechende Behörden weiter. Es werden Energieausweise und Förderanträge erstellt. In puncto Datensicherheit ist das ein ganz heißes Pflaster.

Dazu kommt, dass die Mitarbeiter der Agentur viel unterwegs sind, so dass Laptops oder andere mobile Geräte entsprechend geschützt sein müssen. Unser Credo ist dabei, die Verhältnismäßigkeit zu beachten. Man sollte den Mitarbeiter nicht zu sehr gängeln, in dem man alles bis ins kleinste Bit und Byte abschottet, denn er muss ja noch vernünftig arbeiten können. Darum suchen wir bei unseren Kunden immer die Balance zwischen Technik und Organisation. Wenn ich den Mitarbeiter rechtzeitig sensibilisiere, auf was er achten muss, wo er vorsichtig sein muss, und das in regelmäßigen Abständen wiederhole – also nicht nur einmal im Jahr – dann komme ich mit einem überschaubaren Invest in die Technik aus.

 

Die regelmäßige Schulung der Mitarbeiter ist also ein wichtiger Schlüssel zum Datenschutz?

Genau! Ein Vortrag allein reicht da aber nicht. Ideal ist zum Beispiel eine halbe Stunde Training zu einem bestimmten Thema. Danach haben die Mitarbeiter ebenso lang die Möglichkeit, Fragen zu stellen. Wichtig ist außerdem, das Wissen im Nachgang nochmal abzurufen. Dazu verschicken wir zum Beispiel zwei Tage später ein Survey und nach ein paar Wochen zusätzlich Fakemails – beispielsweise im Bereich Phishing –, um zu testen, wer darauf reinfällt und wer aufgepasst hat. Und wir legen, in Absprache mit der Personalabteilung und dem Management, entsprechende Fallen aus, sogenannte Honeypots. Das geschieht nicht, um die Mitarbeiter womöglich zu bestrafen, sondern ihnen zu helfen. Und alles läuft natürlich anonymisiert.

 

Wie gehen sie genau vor, wenn Sie in ein Unternehmen gerufen werden?

Für gewöhnlich arbeiten wir nach einem Vier-Stufen-Plan. In Stufe eins führen wir ein Erstgespräch, in dem wir klären, wie der Kunde vorgehen möchte, was er schon gemacht hat und was nicht. Welche langfristige Strategie das Unternehmen hat und wer die Ansprechpartner sind. Im zweiten Schritt setzen wir uns mit dem Management und dem IT-Leiter zusammen und machen ein sogenanntes Security-Audit. Dabei nehmen wir anhand eines Fragenkatalogs die organisatorische Komponente des Unternehmens ebenso unter die Lupe wie die informationstechnischen Prozesse. Mithilfe einer Software führen wir ein entsprechendes Schwachstellen-Scanning durch, um technische Schwachstellen aufzudecken.

Die Ergebnisse fassen wir in einem Bericht zusammen und zwar so, dass ihn das Management auch versteht. Das ist die Stufe drei. Die Dringlichkeit der einzelnen Punkte stellen wir mit einem Ampelsystem dar. Als viertes folgt ein Follow-up-Gespräch mit der IT und der Geschäftsführung, in dem wir unseren Bericht präsentieren. Unsere Aufgabe ist es dann, den Finger in die Wunde zu legen. Wir schauen uns die roten Punkte an und sagen: „Da musst du ansetzen und Gas geben.“ Zugleich geben wir den Unternehmen Empfehlungen und schlagen Lösungen vor, wie aus einer roten eine grüne Ampel wird.

 

Gerade bei IT-Themen verstehen viele Laien nur Bahnhof. Wie machen Sie Ihrem Gegenüber fachlich schwierige Themen verständlich?

Ich versuche immer, nicht in technischen Kauderwelsch abzudriften. Dazu gehört ein bisschen Begabung, aber auch viel Übung. Ich habe das schon früh gelernt, durch verschiedene Methoden und von richtigen Profis. Während meiner Ausbildung durfte ich in Großkundenfirmen arbeiten, dort habe ich ganz viel mitgenommen. Dabei wurde mir eingebläut: Die einzige Chance, die du hast, ist nicht, durch Fachwissen zu glänzen, sondern du musst die Menschen abholen. Du musst ihre Sprache sprechen und Sachverhalte mit Beispielen aus dem täglichen Leben reflektieren, so dass jeder dir folgen kann und du die Leute nicht schon nach fünf Minuten deiner Präsentation verlierst.

 

Womit hebt sich Connecting Media von der Konkurrenz ab?

Wir sind keine klassischen Produktverkäufer, die sich auf die Fahne schreiben, nur spezielle Marken zu verkaufen. Sondern wir arbeiten lösungsorientiert, das heißt, wir schauen uns im Rahmen eines Audits an, was hat der Kunde und was braucht er. Mein Lieblingsbeispiel ist dafür, dass der Kunde uns anruft und sagt: „Lieber Herr Kunz, ich möchte heute von A nach B. Können Sie mir helfen?“ Andere Reseller sagen dann: „O.k., ich verkaufe dir jetzt den neuesten Mercedes AMG mit 650 PS, 8-fach bereift usw.“ Wir gehen stattdessen mit einem Audit zum Kunden und fragen erst einmal: „Lieber Kunde, wo ist denn von A nach B?“ „Ja, von A nach B ist von der einen Straßenseite zur anderen.“ „O.k., dann verkaufen wir dir einfach einen Zebrastreifen, vielleicht noch mit einer Ampelschaltung. So kommst du sicher von A nach B.“ Das ist natürlich um einiges günstiger als der AMG mit 650 PS. Das heißt, der Kunde würde im Zweifelsfall beim nächsten Mal eher wieder uns anrufen, als den, der ihm ohne Not versucht hat, einen Mercedes zu verkaufen.

 

Sie haben auch ein Service-Cockpit entwickelt. Was ist das?

Auch damit heben wir uns von der Masse ab. Viele Menschen meinen, sie müssen alles von einem Hersteller kaufen, weil man dann administrativ alles in einer Oberfläche hat. Wir schätzen dagegen die Lösungsvielfalt. Denn wenn einer mal ausfällt, kann der andere übernehmen. Hat man alles von einem Anbieter, wird das schwierig. Deswegen haben wir teilweise bis zu zehn verschiedene Lösungen bei unseren Kunden im Einsatz. Administrativ ist das natürlich immer eine Gratwanderung. Mehr als zwei Oberflächen kann der Mensch auf dem Monitor nicht gleichzeitig betrachten. Bei zehn wird es richtig schwierig. Deshalb haben wir von Connecting Media ein eigenes Produkt entwickelt. Das Service Cockpit zapft diese zehn Oberflächen an und aggregiert die Meldungen. Wir lesen also die Schnittstellen aus, um dann die Fehler in einer einzigen Übersicht darzustellen. Hat beispielsweise der Router einen Fehler, der Server und Sophos als Portal, werden die alle untereinander aufgelistet. Möchte ich den Fehler beheben, klicke ich auf die Fehlermeldung und lande automatisch im entsprechenden Portal, um den Fehler zu beseitigen. Auch Reports kann man damit erstellen.

 

Welche Ziele haben Sie für Ihr Unternehmen in den nächsten Jahren?

Wir wollen weiterhin wachsen und jungen Menschen ermöglichen, in die Materie reinzuwachsen, mit uns zu wachsen, über sich hinaus zu wachsen. Und natürlich wollen wir so viele Unternehmen wie möglich für das Thema IT-Security begeistern. Denn Security ist keine staubige Angelegenheit, man kann sie wunderbar erlebbar machen. Deshalb arbeiten wir weiter hart daran, damit wir uns deutschlandweit einen Namen machen. Und natürlich wollen wir weiterhin so viele Kunden wie möglich betreuen.

 

Eine letzte Frage: Benutzen Sie privat eine Sprachsteuerung?

Privat benutze ich keine Sprachsteuerung, weil ich damit ein Datenschutzproblem habe. Wenn man Alexa, Cortana & Co oder Siri anschaut, ist das ja ganz nett. Aber ich persönlich habe die Erfahrung gemacht, dass ich eigentlich nicht schneller bin, als wenn ich eine App öffne oder kurz selbst ein Lied aus meiner Playlist auswähle. Ich habe für mich persönlich diesen Vorteil noch nicht so ganz gesehen.

Das Interview führte Simone Pabst.

 

Weitere Informationen: Connecting Media

 

Start-ups@The smarter E Europe 2020

Ist Ihr Unternehmen auch ein Start-up? Sie würden Ihre Ideen und Produkte für eine effiziente, saubere und sichere Energieversorgung gern einem großen, internationalen Publikum präsentieren, aber der Aufwand dafür darf nicht zu groß sein? Die Start-up Bühne auf The smarter E Europe vom 17.–19. Juni 2020 in München bietet Ihnen dafür die perfekte Lösung – mit verschiedenen Paketen und zahlreichen kostenlosen Networking-Möglichkeiten.

Jetzt informieren