Ein Interview mit unserem CEO Jens Wübker Manager und dem Manager
der ConSecur Academy Matthias Rammes
Seit 1999 steht ConSecur für umfassende, maßgeschneiderte IT Security Consulting-Dienstleistungen. CEO und Sales ManagerJens Wübker und Management Consultantund Manager ConSecur Academy Matthias Rammes sprechen im Interview über IT-Sicherheit, Managed Services und die richtigen Mitarbeiter.
Herr Wübker, Herr Rammes, wie verändert sich derHandlungsdruck für KMU durch gesetzliche Vorgaben?
Matthias Rammes: Aus vielen Gesprächen mit Geschäftsführerenden und leitenden Angestellten weiß ich, dass der Handlungsdruck enorm steigt. Gesetze und Vorgaben, wie z.B. NIS2, die DSGVO oder aber auch branchenspezifische Vorgaben, stellen jeden Tag Herausforderungen dar, mit den Gesetzen und Regelungen konform zu bleiben.
Jens Wübker: Darüber hinaus zwingen zunehmend reale Bedrohungsszenarien und Bedrohungslagen die Unternehmen dazu, Cyber-Gefahren ernst zu nehmen und Gegenmaßnahmen zu implementieren. Insbesondere istfestzustellen, dass nicht nur die »großen« Konzernstrukturen hier im Fokus stehen, sondern dass immer mehr auch mittelständische Unternehmen verstärkte Aufmerksamkeit »genießen«. Und um hier einen »reaktiven Ansatz«entgegenstellen zu können, bedarf es nicht unerheblicher personeller Ressourcen, die zu den regulatorischen Herausforderungen zusätzlichen Handlungsdruck erzeugen.
Warum sind viele Unternehmen beim Spagat zwischenSicherheitsanforderungen und begrenzten Budgets überfordert?
MR: Meiner Meinung nach ist hier die Vielzahl der unterschiedlichen Regularien die besondere Herausforderung. Gerade kleinere Unternehmen stehen vor einem riesigen Berg an Gesetzen und wissen oft nicht, wo sie anfangen sollen. Auch die oft sehr wage formulierten Anforderungenin den Gesetzen nehmen sie als besondere Herausforderungwahr. Wie viel ist genug und wieviel ist ggf. zu viel?
JW: Vor allem sollte man berücksichtigen, dass es nichtreicht, mit dem zur Verfügung stehenden Budget technischeMaßnahmen umzusetzen. Trotz aller Technologie und KI müssen personelle Kapazitäten aufgebaut werden, die mit derTechnik zielgerichtet den Bedrohungen begegnen können.
Sind sich die Unternehmen der verschiedenen Bereiche,die Sicherheitslücken aufweisen oder gegen Regularien verstoßen, immer voll bewusst?
MR: In den meisten der mir bekannten Fällen nicht. Undvoll bewusst schon gar nicht. In einer kleinen und übersichtlichenIT-Infrastruktur mag ein volles Bewusstseinüber die aktuelle Konfiguration und über die aktuellen Systemenoch möglich sein, aber je größer eine IT-Infrastrukturwird, desto schwieriger wird es auch, eine Übersichtüber mögliche Schwachstellen, Sicherheitslücken odergar etwaige Verstößen gegenRegularien zu behalten.
JW: Ich würde behaupten, dass es schlicht nicht möglichist, sich zu jedem Zeitpunkt jeder Sicherheitslückebewusst zu sein. Gemäß BSI-Lagebericht wurden 2023täglich über 70 neue Schwachstellen in Softwareproduktengemeldet. Im Rahmen einer im Auftrag des Bitkom durchgeführtenStudie in 2024 waren in den letzten 12 Monaten81 % der deutschen Unternehmen Opfer eines Angriffsund 10 % haben es vermutet. Hierbei wurden 66 % derAngriffe durch die Analyse von Log-Daten und 33 % durchinterne Untersuchungen aufgedeckt. Das zeigt klar, dassUnternehmen sowohl auf technologischer Ebene wie auchauf organisatorischer und personeller Ebene ausreichendKapazitäten benötigen, um sich diesen Gefahren stellenzu können. Unsere Erfahrungen zeigen jedoch, dass beiden organisatorischen und personellen Ressourcen häufignoch Luft nach oben ist.
Welche Rolle spielen Managed Security Services, um IT-Sicherheit effizient, skalierbar und Compliance-konformumzusetzen?
MR: Managed Security Services bieten, ähnlich wie andereDienstleistungen, die Möglichkeit, sich die Profis für einen bestimmten Bedarf ins Unternehmen zu holen.
JW: In den meisten Fällen ist das Problem für fehlende personelle Kapazitäten nicht die mangelnde Bereitschaft, überhaupt Personal einzustellen, sondern das richtig qualifiziertePersonal zu finden und entsprechend ans Unternehmen zu binden. Und genau hier setzen Security Service Provider wie wir an. Insbesondere wenn man an Bereiche wie Cyber Defense Center im 24/7-Schichtdienst denkt, die viel Knowhow und Ressourcen erfordern.
Wie wichtig ist es, dass Unternehmen die einzelnen IT Prozesse zum Schutz ihrer Arbeit verstehen und aktiv unterschützen?
MR: Essenziell. Die Digitalisierung schreitet voran und diemeisten Unternehmen können ohne ihre digitale Infrastruktur
kaum noch den Betrieb aufrechterhalten. Solltendann Regeln und Prozesse zum Schutz dieser Infrastrukturfehlen, gefährde ich die Existenz meines Unternehmens.
JW: Welches genau der zweite Ansatzpunkt für uns ist,unsere Kunden bei der Bewältigung von Cyber-Risiken zuunterstützen. Alle Managed Services helfen nicht, wensichAuftraggeberanschließend voll und alleinig auf den ServiceProvider verlassen. Wir können dabei helfen, mit unserenServices die personellen Herausforderungen zu minimierenoder zu verringern. Nichtsdestotrotz ist auch auf Auftraggeberseitedas notwendige Knowhow zur Abwehr von Cyber-Risiken notwendig, da dieses eine Gemeinschaftsaufgabevon Auftraggeber und Provider ist. Über unsere Akademie bieten wir hierzu Crash-Kurse oder aber auch umfangreiche Recruiting- und Ausbildungsprogramme an, um unsere Kunden zu unterstützen, Personal und Knowhow im notwendigen Umfang aufzubauen. Sei es, um eine eigenesCyber Defense Center zu betreiben oder sich gemeinsammit einem Service Provider den Herausforderungen von Compliance-Anforderungenoder Cyber-Bedrohungen zu stellen. Unser Recruiting- undAusbildungskonzept setzt zudemdarauf, bei der Suche nach neuenMitarbeitern nicht nur auf IT- und IT-Security-Kompetenzenzu schauen, sondern eher andere Qualitäten wie Problemlösungskompetenzenoder den Willen, auch mal neue Wegezu gehen, zu berücksichtigen und qualifizierte Quereinsteiger zu finden.
MR: Eine gewisse Technik- bzw. Informatikaffinität sollteschon vorhanden sein, aber viel wichtiger ist die persönliche Einstellung, Hintergründe verstehen zu wollen, sich eigenständig Informationen beschaffen zu können und hartnäckigProbleme lösen zu wollen. Sobald diese Grundeinstellungvorhanden ist, schließen sich etwaige Wissenslücken vonganz allein.
Ihre Cyber Threat Intelligence beschäftigt sich mit den Cyber-Angriffen von morgen. Wie funktioniert sie?
JW: Um eine Früherkennung von spezifischen Bedrohungen zu ermöglichen, welche entweder zu neu sind, um in den gängigen Sicherheitstools bereits erkannt zu werden, oder aber spezifisch gegen ein bestimmtes Unternehmen odereine Branche gerichtet sind, haben wir im Rahmen unseresManaged Cyber Threat Intelligence Services folgendeFunktionen etabliert: CTI–IoC Feed: Anbindung unserer CIT–IoC-Plattforman eine bestehende Analyseplattform (z. B. SIEM, EDR,IDS, etc.). Die IoC können dann durch die jeweiligeAnalyse-Plattformen in den Regelwerken genutzt werden. Die IoC werden von uns über verschiedenenQuellen gesammelt, analysiert und bewertet und dann,auf den jeweiligen Kunden optimiert, ausgespielt.CTI–Newsletter: Tagesaktuelle, auf den Auftraggeberbezogene Security News, basierend auf den IoC undweiteren Quellen per E-Mail.External Attack Surface Management: Monitoring imClear-, Deep- und Dark-Web auf mögliche Hinweisezu bevorstehenden (bspw. Erwähnungen in Chats vonAngreifergruppen) oder eingetretenen Kompromittierungen(bspw. Ransom-Note, leaked credentials) sowie weitere mögliche Bedrohungen wie Typo-Squatting-Domains(Detektion ähnlich lautender Domains wie bspw.»consecur.de <> comsecur.de«) inkl. Alarmierung undoptionalem Schwachstellen-Scanning.
MR: Im Prinzip nutzen wir die Angriffe oder Angriffsversucheauf unsere eigenen Systeme oder die unserer Kunden,um die Techniken und Taktiken der Angreifer zu verstehen.Dieses Wissen teilen wir dann über ein standardisiertesVorgehen mit unseren Kunden.Diese Informationen, z.B.sogenannte »Indicators of Compromise«, können dann zurErkennung weiterer Angriffe aber auch zum Blockieren von Angriffsversuchen genutzt werden.