IT-Sicherheit einfach und richtig outsourcen. Erfahrungsberichte aus dem Mittelstand.

Sie konnten leider nicht teilnehmen? Kein Problem - wir haben den Talk für Sie aufgezeichnet:

Den Beginn machte unser Kollege Christoph Adamitz – verantwortlich für die Fachdomäne IT-Sourcing bei der Cassini – mit einem kurzen Einstieg in das Thema.  

Um die eigene Organisation optimal zu schützen, gilt es, äußere Rahmenbedingungen sowie innere Einflussfaktoren zu bewerten und in die gewählte Strategie einzubinden. So bilden die rechtlichen Anforderungen an Ihr Unternehmen (z. B. KRITIS-Anforderungen), der Arbeitsmarkt für IT-Fachkräfte sowie die täglich steigende Bedrohungslage in Bezug auf Cyberkriminalität klare Leitplanken für den potenziellen Lösungsraum der IT-Sicherheit. Dementsprechend ist das Outsourcing von IT-Sicherheitsleistungen eine ernsthafte Option, denn Sie schafft Zugang zu Fachkräften und Erfahrungswissen, bietet einen wirtschaftlichen Einstieg aufgrund geringer Investitionskosten und ermöglicht eine weitere Fokussierung der eigenen Mitarbeiter auf das Kerngeschäft. Der Anbietermarkt wird auf Basis diverser Ausschreibungen seitens Cassini als facettenreich, kompetent und selbstbewusst eingeschätzt. Um mit den Anbietern auf Augenhöhe zu agieren, sollten Sie einen unabhängigen und erfahrenen IT-Sourcing Advisor mit ins Boot holen. 

 Herr Bach vom BSI machte den Teilnehmerinnen und Teilnehmern im Anschluss klar, „dass jeder angegriffen wird, ohne Ausnahme, denn früher oder später werden Schutzmaßnahmen versagen“. Die Bedrohungslage, so zeigt der Bericht zur Lage der IT-Sicherheit in Deutschland 2020, wächst stetig. Dabei lässt sich auch durch kleine, einfache Maßnahmen die IT-Sicherheit in Unternehmen erhöhen. Klare Zuständigkeiten, Notfallübungen, die Deaktivierung von Makros, Multifaktor-Authentisierung sowie regelmäßige Updates und Patches sind hier nur einige Beispiele mit geringem Aufwand und hohem Nutzen. 

Frau Leßner, Rechtsanwältin bei Osborne Clarke Deutschland, betonte noch einmal die unterschiedlichen Rechtsquellen der IT-Sicherheit. Da es kein zentrales „IT-Sicherheitsgesetz“ gibt, ist eine strukturierte und Unternehmens-individuelle Analyse der rechtlichen Anforderungen erforderlich. Während die Paragrafen 8a-10 des BISG den Schutz von Infrastrukturen von besonderer Bedeutung anstreben, dient die Datenschutzgrundverordnung (DSGVO) dem Schutz der Privatsphäre eines jeden Einzelnen. Weiterhin sieht das Gesetz die Verantwortlichkeit für eine angemessene IT-Sicherheit auf oberster Ebene der Unternehmensleitung. Die Nichteinhaltung kann zu erheblichen Strafzahlungen (bis zu 20 Mio. Euro Strafe) und/oder Strafmaßnahmen führen.

Herr Tröder gab Einblicke in das abgeschlossene SOC Sourcing-Projekt der Schüco. Die Schüco ist Systemanbieter für Fenster, Türen, Fassaden und hat weltweit 5.650 Mitarbeiterinnen und Mitarbeiter mit Standorten in 46 Ländern und 12.000 Partnern weltweit und erwirtschaftete 2020 einen Umsatz von 1,695 Mrd. Euro. Nach Analyse der äußeren Rahmenbedingungen entschied sich die Schüco für ein Sourcing eines erforderlichen Security Operations Centers. In einem gemeinsam mit Cassini durchgeführten Request for Information (RFI) wurden zu Beginn die eigenen Anforderungen in Bezug auf den Leistungsumfang, den Geltungsbereich sowie des Cultural Fits des potenziellen Partners analysiert. Anschließend wurden rund 27 Anbieter kontaktiert, davon 12 Anbieter gesichtet und bewertet und abschließend 3 potenzielle Dienstleister für einen anschließenden Ausschreibungsprozess ausgewählt. Ein wichtiges und erfolgreiches Projekt, so Tröder.

Zum Abschluss gab Jan Schmidt, Global Director IT & IT Security bei Gorillas, in einem Interview Einblicke in die aktuelle Ausschreibung des Security Operations Center des Unternehmens. Die Gorillas sind eines der dynamischsten Start-ups in Europa und Spezialist für die Lebensmittellieferung in Großstädten innerhalb von maximal 10min. IT Sicherheit wird bei Gorillas nicht als Hemmnis für die digitalen Geschäftsmodelle verstanden, sondern ganz klar als Treiber. Dafür muss diese jedoch auch entsprechend in die interne IT und die Abläufe integriert werden. Die Ausschreibung wurde mit hohem Tempo vorangetrieben, unterstützt und abgesichert durch die Sourcing und Security Experten der Cassini. Trotz des positiven Verlaufs der Ausschreibung zeigt sich bereits jetzt, dass eine angemessene Vorbereitungszeit die Ausschreibungsergebnisse verbessert und der Zeitplan robuster geplant werden kann. 

Zusammenfassend zeigt sich, dass Unternehmen an der Erhöhung der eigenen Schutzmaßnahmen gegen Cyberangriffe nicht herumkommen. Die Kernfrage ist, woher die „Abwehrkräfte“ in Zukunft kommen. Aufgrund geltender, sich in Teilen verschärfender äußerer Rahmenbedingungen ist Sourcing eine ernsthafte Option. Die Praxisbeispiele zeigten, dass Unternehmen auf diese Weise verlässliche Partner finden können. Hilfreich ist hierfür die Einbeziehung eines unabhängigen und erfahrenen IT Sourcing Advisors.