IT-Sicherheit einfach und richtig outsourcen. Erfahrungsberichte aus dem Mittelstand.
Das Thema unseres Mittelstandstalks war „IT-Sicherheit einfach und richtig outsourcen.“
Warum wir dieses Thema gewählt haben? Wir hatten in den vergangenen Monaten viele Kundengespräche, durch die klar wurde, dass hoher Handlungsbedarf bzgl. IT-Sicherheit besteht. Auf Grund fehlender Ressourcen wurde das Thema jedoch meist nicht im notwendigen Umfang angegangen. Zudem ist der Dienstleistermarkt vielschichtig und es bedarf eines strukturierten Prozesses zur Umsetzung.
Vor diesem Hintergrund war es unser Ziel, das Thema aus unterschiedlichen Perspektiven beleuchten: Wir reflektierten die aktuelle Bedrohungslage für den Mittelstand, sprachen über die rechtliche Situation und hörten zwei Erfahrungsberichte - einen aus der Perspektive eines etablierten klassischen Mittelständlers und den anderen aus Sicht eines schnell wachsenden internationalen Start-ups.
Unsere Speaker waren:
- Manuel Bach, Bundesamt für Sicherheit in der Informationstechnik (BSI), Leiter des Referates "Cyber-Sicherheit für Kleine und Mittlere Unternehmen (KMU)
- Anne Leßner, Rechtsanwältin bei Osborne Clarke Deutschland
- Manfred Tröder, Head of IT-Governance, IT-Risk, IT-Compliance (CISO), Schüco International KG
- Jan Schmidt, Global Director IT & IT Security bei Gorillas
Mitschnitt unseres Mittelstandstalks
Sie konnten leider nicht teilnehmen? Kein Problem - wir haben den Talk für Sie aufgezeichnet:
Das war der Mittelstandstalk:
Den Beginn machte unser Kollege Christoph Adamitz – verantwortlich für die Fachdomäne IT-Sourcing bei der Cassini – mit einem kurzen Einstieg in das Thema.
Um die eigene Organisation optimal zu schützen, gilt es, äußere Rahmenbedingungen sowie innere Einflussfaktoren zu bewerten und in die gewählte Strategie einzubinden. So bilden die rechtlichen Anforderungen an Ihr Unternehmen (z. B. KRITIS-Anforderungen), der Arbeitsmarkt für IT-Fachkräfte sowie die täglich steigende Bedrohungslage in Bezug auf Cyberkriminalität klare Leitplanken für den potenziellen Lösungsraum der IT-Sicherheit. Dementsprechend ist das Outsourcing von IT-Sicherheitsleistungen eine ernsthafte Option, denn Sie schafft Zugang zu Fachkräften und Erfahrungswissen, bietet einen wirtschaftlichen Einstieg aufgrund geringer Investitionskosten und ermöglicht eine weitere Fokussierung der eigenen Mitarbeiter auf das Kerngeschäft. Der Anbietermarkt wird auf Basis diverser Ausschreibungen seitens Cassini als facettenreich, kompetent und selbstbewusst eingeschätzt. Um mit den Anbietern auf Augenhöhe zu agieren, sollten Sie einen unabhängigen und erfahrenen IT-Sourcing Advisor mit ins Boot holen.
"Jeder wird früher oder später angegriffen." - Ein Weckruf vom BSI
Herr Bach vom BSI machte den Teilnehmerinnen und Teilnehmern im Anschluss klar, „dass jeder angegriffen wird, ohne Ausnahme, denn früher oder später werden Schutzmaßnahmen versagen“. Die Bedrohungslage, so zeigt der Bericht zur Lage der IT-Sicherheit in Deutschland 2020, wächst stetig. Dabei lässt sich auch durch kleine, einfache Maßnahmen die IT-Sicherheit in Unternehmen erhöhen. Klare Zuständigkeiten, Notfallübungen, die Deaktivierung von Makros, Multifaktor-Authentisierung sowie regelmäßige Updates und Patches sind hier nur einige Beispiele mit geringem Aufwand und hohem Nutzen.
Üben Sie den Ernstfall. Das gehört dazu. Entweder schulen Sie Ihre eigenen Mitarbeiter in Bezug auf IT-Sicherheit oder beauftragen Sie jemanden, der Ihnen im Notfall hilft – wir tun das auch regelmäßig. Das ist völlig normal!
Es gibt kein IT-Sicherheitsgesetz - was also tun?
Frau Leßner, Rechtsanwältin bei Osborne Clarke Deutschland, betonte noch einmal die unterschiedlichen Rechtsquellen der IT-Sicherheit. Da es kein zentrales „IT-Sicherheitsgesetz“ gibt, ist eine strukturierte und Unternehmens-individuelle Analyse der rechtlichen Anforderungen erforderlich. Während die Paragrafen 8a-10 des BISG den Schutz von Infrastrukturen von besonderer Bedeutung anstreben, dient die Datenschutzgrundverordnung (DSGVO) dem Schutz der Privatsphäre eines jeden Einzelnen. Weiterhin sieht das Gesetz die Verantwortlichkeit für eine angemessene IT-Sicherheit auf oberster Ebene der Unternehmensleitung. Die Nichteinhaltung kann zu erheblichen Strafzahlungen (bis zu 20 Mio. Euro Strafe) und/oder Strafmaßnahmen führen.
Die risikoreichste Datenverarbeitung ist digital. Bei bestimmten Datenpannen müssen Unternehmen 72 Stunden nach Kenntnis einer Meldepflicht nachkommen. Üben Sie den Ernstfall. Dem kann ich mich nur anschließen
Das SOC-Sourcing von Schüco
Herr Tröder gab Einblicke in das abgeschlossene SOC Sourcing-Projekt der Schüco. Die Schüco ist Systemanbieter für Fenster, Türen, Fassaden und hat weltweit 5.650 Mitarbeiterinnen und Mitarbeiter mit Standorten in 46 Ländern und 12.000 Partnern weltweit und erwirtschaftete 2020 einen Umsatz von 1,695 Mrd. Euro. Nach Analyse der äußeren Rahmenbedingungen entschied sich die Schüco für ein Sourcing eines erforderlichen Security Operations Centers. In einem gemeinsam mit Cassini durchgeführten Request for Information (RFI) wurden zu Beginn die eigenen Anforderungen in Bezug auf den Leistungsumfang, den Geltungsbereich sowie des Cultural Fits des potenziellen Partners analysiert. Anschließend wurden rund 27 Anbieter kontaktiert, davon 12 Anbieter gesichtet und bewertet und abschließend 3 potenzielle Dienstleister für einen anschließenden Ausschreibungsprozess ausgewählt. Ein wichtiges und erfolgreiches Projekt, so Tröder.
Make or Buy? Ich muss mich fragen, ob ich die richtigen Leute rekrutieren kann oder ob ich selbst das Know-how für IT Security habe. Cyber Crime entwickelt sich ständig weiter. Darum haben wir uns dazu entschieden, einen externen Dienstleister zu suchen!
IT Sicherheit als Treiber
Zum Abschluss gab Jan Schmidt, Global Director IT & IT Security bei Gorillas, in einem Interview Einblicke in die aktuelle Ausschreibung des Security Operations Center des Unternehmens. Die Gorillas sind eines der dynamischsten Start-ups in Europa und Spezialist für die Lebensmittellieferung in Großstädten innerhalb von maximal 10min. IT Sicherheit wird bei Gorillas nicht als Hemmnis für die digitalen Geschäftsmodelle verstanden, sondern ganz klar als Treiber. Dafür muss diese jedoch auch entsprechend in die interne IT und die Abläufe integriert werden. Die Ausschreibung wurde mit hohem Tempo vorangetrieben, unterstützt und abgesichert durch die Sourcing und Security Experten der Cassini. Trotz des positiven Verlaufs der Ausschreibung zeigt sich bereits jetzt, dass eine angemessene Vorbereitungszeit die Ausschreibungsergebnisse verbessert und der Zeitplan robuster geplant werden kann.
Download der Präsentationsunterlagen
Unser Fazit
Zusammenfassend zeigt sich, dass Unternehmen an der Erhöhung der eigenen Schutzmaßnahmen gegen Cyberangriffe nicht herumkommen. Die Kernfrage ist, woher die „Abwehrkräfte“ in Zukunft kommen. Aufgrund geltender, sich in Teilen verschärfender äußerer Rahmenbedingungen ist Sourcing eine ernsthafte Option. Die Praxisbeispiele zeigten, dass Unternehmen auf diese Weise verlässliche Partner finden können. Hilfreich ist hierfür die Einbeziehung eines unabhängigen und erfahrenen IT Sourcing Advisors.
Ihre Ansprechpartner zum Thema Outsourcing
Sie möchten regelmäßig die neuesten Informationen zum Thema Digitalisierung und digitale Transformation erhalten und über spannende neue Jobangebote informiert werden?
Melden Sie sich kostenlos für unseren Newsletter an.
Ja, ich möchte den regelmäßigen Newsletter von Cassini erhalten. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
*Pflichtangaben