Das war unser Mittelstandstalk

IT-Sicherheit einfach und richtig outsourcen. Erfahrungsberichte aus dem Mittelstand.

Das Thema unseres Mittelstandstalks war „IT-Sicherheit einfach und richtig outsourcen.“
Warum wir dieses Thema gewählt haben? Wir hatten in den vergangenen Monaten viele Kundengespräche, durch die klar wurde, dass hoher Handlungsbedarf bzgl. IT-Sicherheit besteht. Auf Grund fehlender Ressourcen wurde das Thema jedoch meist nicht im notwendigen Umfang angegangen. Zudem ist der Dienstleistermarkt vielschichtig und es bedarf eines strukturierten Prozesses zur Umsetzung.
Vor diesem Hintergrund war es unser Ziel, das Thema aus unterschiedlichen Perspektiven beleuchten: Wir reflektierten die aktuelle Bedrohungslage für den Mittelstand, sprachen über die rechtliche Situation und hörten zwei Erfahrungsberichte - einen aus der Perspektive eines etablierten klassischen Mittelständlers und den anderen aus Sicht eines schnell wachsenden internationalen Start-ups. 

Unsere Speaker waren:

  • Manuel Bach, Bundesamt für Sicherheit in der Informationstechnik (BSI), Leiter des Referates "Cyber-Sicherheit für Kleine und Mittlere Unternehmen (KMU)
  • Anne Leßner, Rechtsanwältin bei Osborne Clarke Deutschland
  • Manfred Tröder, Head of IT-Governance, IT-Risk, IT-Compliance (CISO), Schüco International KG
  • Jan Schmidt, Global Director IT & IT Security bei Gorillas
1von8

Mitschnitt unseres Mittelstandstalks

Sie konnten leider nicht teilnehmen? Kein Problem - wir haben den Talk für Sie aufgezeichnet:

Externer redaktioneller Inhalt

An dieser Stelle finden Sie einen externen Inhalt von der Videoplattform YouTube oder Vimeo. Dieser ergänzt unser redaktionelles Angebot und kann mit wenigen Klicks eingeblendet werden. Stimmen Sie hierfür bitte der Cookie-Kategorie „Marketing“ zu.

2von8

Das war der Mittelstandstalk:

Den Beginn machte unser Kollege Christoph Adamitz – verantwortlich für die Fachdomäne IT-Sourcing bei der Cassini – mit einem kurzen Einstieg in das Thema.  

Um die eigene Organisation optimal zu schützen, gilt es, äußere Rahmenbedingungen sowie innere Einflussfaktoren zu bewerten und in die gewählte Strategie einzubinden. So bilden die rechtlichen Anforderungen an Ihr Unternehmen (z. B. KRITIS-Anforderungen), der Arbeitsmarkt für IT-Fachkräfte sowie die täglich steigende Bedrohungslage in Bezug auf Cyberkriminalität klare Leitplanken für den potenziellen Lösungsraum der IT-Sicherheit. Dementsprechend ist das Outsourcing von IT-Sicherheitsleistungen eine ernsthafte Option, denn Sie schafft Zugang zu Fachkräften und Erfahrungswissen, bietet einen wirtschaftlichen Einstieg aufgrund geringer Investitionskosten und ermöglicht eine weitere Fokussierung der eigenen Mitarbeiter auf das Kerngeschäft. Der Anbietermarkt wird auf Basis diverser Ausschreibungen seitens Cassini als facettenreich, kompetent und selbstbewusst eingeschätzt. Um mit den Anbietern auf Augenhöhe zu agieren, sollten Sie einen unabhängigen und erfahrenen IT-Sourcing Advisor mit ins Boot holen. 

3von8

"Jeder wird früher oder später angegriffen." - Ein Weckruf vom BSI

 Herr Bach vom BSI machte den Teilnehmerinnen und Teilnehmern im Anschluss klar, „dass jeder angegriffen wird, ohne Ausnahme, denn früher oder später werden Schutzmaßnahmen versagen“. Die Bedrohungslage, so zeigt der Bericht zur Lage der IT-Sicherheit in Deutschland 2020, wächst stetig. Dabei lässt sich auch durch kleine, einfache Maßnahmen die IT-Sicherheit in Unternehmen erhöhen. Klare Zuständigkeiten, Notfallübungen, die Deaktivierung von Makros, Multifaktor-Authentisierung sowie regelmäßige Updates und Patches sind hier nur einige Beispiele mit geringem Aufwand und hohem Nutzen. 

Üben Sie den Ernstfall. Das gehört dazu. Entweder schulen Sie Ihre eigenen Mitarbeiter in Bezug auf IT-Sicherheit oder beauftragen Sie jemanden, der Ihnen im Notfall hilft – wir tun das auch regelmäßig. Das ist völlig normal!

Manuel Bach, BSI
4von8

Es gibt kein IT-Sicherheitsgesetz - was also tun?

Frau Leßner, Rechtsanwältin bei Osborne Clarke Deutschland, betonte noch einmal die unterschiedlichen Rechtsquellen der IT-Sicherheit. Da es kein zentrales „IT-Sicherheitsgesetz“ gibt, ist eine strukturierte und Unternehmens-individuelle Analyse der rechtlichen Anforderungen erforderlich. Während die Paragrafen 8a-10 des BISG den Schutz von Infrastrukturen von besonderer Bedeutung anstreben, dient die Datenschutzgrundverordnung (DSGVO) dem Schutz der Privatsphäre eines jeden Einzelnen. Weiterhin sieht das Gesetz die Verantwortlichkeit für eine angemessene IT-Sicherheit auf oberster Ebene der Unternehmensleitung. Die Nichteinhaltung kann zu erheblichen Strafzahlungen (bis zu 20 Mio. Euro Strafe) und/oder Strafmaßnahmen führen.

Die risikoreichste Datenverarbeitung ist digital. Bei bestimmten Datenpannen müssen Unternehmen 72 Stunden nach Kenntnis einer Meldepflicht nachkommen. Üben Sie den Ernstfall. Dem kann ich mich nur anschließen

Anne Leßner, Rechtsanwältin
5von8

Das SOC-Sourcing von Schüco

Herr Tröder gab Einblicke in das abgeschlossene SOC Sourcing-Projekt der Schüco. Die Schüco ist Systemanbieter für Fenster, Türen, Fassaden und hat weltweit 5.650 Mitarbeiterinnen und Mitarbeiter mit Standorten in 46 Ländern und 12.000 Partnern weltweit und erwirtschaftete 2020 einen Umsatz von 1,695 Mrd. Euro. Nach Analyse der äußeren Rahmenbedingungen entschied sich die Schüco für ein Sourcing eines erforderlichen Security Operations Centers. In einem gemeinsam mit Cassini durchgeführten Request for Information (RFI) wurden zu Beginn die eigenen Anforderungen in Bezug auf den Leistungsumfang, den Geltungsbereich sowie des Cultural Fits des potenziellen Partners analysiert. Anschließend wurden rund 27 Anbieter kontaktiert, davon 12 Anbieter gesichtet und bewertet und abschließend 3 potenzielle Dienstleister für einen anschließenden Ausschreibungsprozess ausgewählt. Ein wichtiges und erfolgreiches Projekt, so Tröder.

Make or Buy? Ich muss mich fragen, ob ich die richtigen Leute rekrutieren kann oder ob ich selbst das Know-how für IT Security habe. Cyber Crime entwickelt sich ständig weiter. Darum haben wir uns dazu entschieden, einen externen Dienstleister zu suchen!

Manfred Tröder, Schüco
6von8

IT Sicherheit als Treiber

Zum Abschluss gab Jan Schmidt, Global Director IT & IT Security bei Gorillas, in einem Interview Einblicke in die aktuelle Ausschreibung des Security Operations Center des Unternehmens. Die Gorillas sind eines der dynamischsten Start-ups in Europa und Spezialist für die Lebensmittellieferung in Großstädten innerhalb von maximal 10min. IT Sicherheit wird bei Gorillas nicht als Hemmnis für die digitalen Geschäftsmodelle verstanden, sondern ganz klar als Treiber. Dafür muss diese jedoch auch entsprechend in die interne IT und die Abläufe integriert werden. Die Ausschreibung wurde mit hohem Tempo vorangetrieben, unterstützt und abgesichert durch die Sourcing und Security Experten der Cassini. Trotz des positiven Verlaufs der Ausschreibung zeigt sich bereits jetzt, dass eine angemessene Vorbereitungszeit die Ausschreibungsergebnisse verbessert und der Zeitplan robuster geplant werden kann. 

7von8

Unser Fazit

Zusammenfassend zeigt sich, dass Unternehmen an der Erhöhung der eigenen Schutzmaßnahmen gegen Cyberangriffe nicht herumkommen. Die Kernfrage ist, woher die „Abwehrkräfte“ in Zukunft kommen. Aufgrund geltender, sich in Teilen verschärfender äußerer Rahmenbedingungen ist Sourcing eine ernsthafte Option. Die Praxisbeispiele zeigten, dass Unternehmen auf diese Weise verlässliche Partner finden können. Hilfreich ist hierfür die Einbeziehung eines unabhängigen und erfahrenen IT Sourcing Advisors.

Ihre Ansprechpartner zum Thema Outsourcing

Christoph Adamitz, Cassini Consulting

Christoph Adamitz

Senior Consultant, Domain Lead IT-Sourcing

christoph.adamitz@cassini.de
Wilko Reinhardt, Senior Management Consultant, Cassini Consulting AG

Dr. Wilko Reinhardt

Senior Management Consultant, Business Lead

wilko.reinhardt@cassini.de
+49 211 - 65 85 41 33
Seite teilen
Newsletter Cassini

Newsletteranmeldung

Sie möchten regelmäßig die neuesten Informationen zum Thema Digitalisierung und digitale Transformation erhalten und über spannende neue Jobangebote informiert werden?
Melden Sie sich kostenlos für unseren Newsletter an.


Ja, ich möchte den regelmäßigen Newsletter von Cassini erhalten. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.

*Pflichtangaben