In 48 Stunden ein verlässlicher Management-Bericht zur Sicherheitslage ihrer IT-Infrastruktur - im Interview mit Lukas Baumann, Geschäftsführer der LocateRisk mit Sitz in Darmstadt
LocateRisk sorgt mit automatisierten, KPI-basierten IT-Risikoanalysen für mehr Effizienz, Transparenz und Vergleichbarkeit in der IT-Sicherheit. EntscheiderInnen aus Management und IT erhalten in nur 48 Stunden einen verständlich aufbereiteten Bericht zur Sicherheitslage ihrer unternehmensweiten IT-Infrastruktur. Anhand des Scorewertes, der auf öffentlich zugänglichen Daten aus hunderten Quellen basiert, lässt sich der aktuelle Sicherheitsstatus ablesen und durch regelmäßige Prüfungen die Wirkung eingeleiteter Schutzmaßnahmen nachweisen. Die konfigurationsfreie, nicht invasive Prüfung der Netzwerke und Systeme deckt Mängel in der Sicherheitslage der IT-Infrastruktur gezielt auf. Im Interview mit Lukas Baumann, Geschäftsführer der LocateRisk sprechen wir heute über Infektionen, angreifbare Softwarelösungen, Schwachstellen in der Fire-wall-Konfiguration, Fehler in Verschlüsselungen, Konfigurationsfehler sowie Datenpannen und was das alles auch mit Home Office zu tun hat.
DIGITAL FUTUREmag: Ihre Software ist nicht nur Made in Germany, sondern sogar Made in Darmstadt, einen der deutschlandweit bekanntesten Sicherheits-Softwarehochburgen überhaupt. Welchen Input oder Einfluss hatten die hier in Darmstadt vorhandenen Partner und welche waren das?
Lukas Baumann: Die Unterstützung durch das lokale Ökosystem wie den Digital Hub und die vom Bundesforschungsministerium geförderte Gründungsinitiative StartupSecure war für uns sehr hilfreich. Auch der Austausch mit den anderen hier ansässigen Security Start-ups brachte uns viele gute zusätzliche Ideen.
DIGITAL FUTUREmag: Herr Baumann, Software Tools für die Überprüfung der IT-Sicherheit gibt es viele. Was ist das Besondere an Ihrem Ansatz?
Lukas Baumann: Herkömmliche Tools liefern komplexe Informationen für Fachanwender. Wir schaffen es mit unserer Analyse, die komplexe Sicherheitssituation eines kompletten Unternehmens in verständlichen KPIs zusammenzufassen. Das ganze vollautomatisiert, ohne Konfiguration und mit nur einem Klick. Das Ganze wird dann noch mit Daten anderer Unternehmen verglichen. Hierdurch entsteht ein Benchmark. Ich denke, hier besteht eine gewisse Einzigartigkeit.
DIGITAL FUTUREmag: Sie sprechen hier von Vergleichbarkeit bzw. einem Benchmark. Welche Daten werden für den Vergleich herangezogen?
Lukas Baumann: Unsere Datenbank umfasst Analysen von über 30.000 Unternehmen und basiert auf messbaren Leistungsindikatoren zur Cybersicherheit. Das ermöglicht einen grundsätzlichen Vergleich. Besonders interessant ist allerdings, wie sich die IT-Sicherheit eines Unternehmens im Branchen-Benchmark darstellt. Da unser Analysesystem nicht invasiv ist, können Kunden ihre Sicherheitslage mit individuell definierbaren Wettbewerbern vergleichen. Ein gutes Ergebnis beweist, dass das bewertete Unternehmen IT-Sicherheit groß schreibt, was im Zuge der Digitalisierung ein klarer Wettbewerbsvorteil ist.
DIGITAL FUTUREmag: Auf der it-sa, einer der europaweit größten Kongressmessen zum Thema IT-Sicherheit, trifft man praktisch keine Geschäftsführer mehr. EntscheiderInnen überlassen das Thema IT-Sicherheit den Fachleuten und vertrauen darauf, dass diese schon alles richtig machen werden. Dabei wird oft vergessen, dass in letzter Konsequenz die Geschäftsführer für die Folgen haftbar zu machen sind. Inwiefern sind daher Ihre Berichte auch für GeschäftsführerInnen ohne Spezialkenntnisse im IT- Sicherheitsbereich verwertbar?
Lukas Baumann: Zunächst einmal ist Ihre Einschätzung vollkommen richtig. Geschäftsführer überlassen das Thema IT-Sicherheit den Fachanwendern - sofern sie welche haben. Häufig finden wir eine Verantwortungslücke, bei welcher einfach nur auf die externen Dienstleister verwiesen wird. Die KPI-basierten Analysen machen die abstrakte IT-Sicherheitssituation transparent, verständlich und zeitlich verfolgbar. Die Geschäftsführung erkennt auf einen Blick, wie die unternehmens- oder konzernweite Sicherheitslage aussieht. Frei nach dem Motto: If you can’t measure it, you can’t improve it. – Peter Drucker. Auf Basis der Erkenntnisse können fundierte Entscheidungen zu Maßnahmen und Budgets getroffen werden. Deren Erfolg lässt sich am Score-Verlauf verfolgen. Zusätzlich lässt sich die IT-Sicherheit von Lieferanten und Beteiligungen messen und bewerten.
DIGITAL FUTUREmag: Die Pandemie hat viele Unternehmen dazu gezwungen, ihre MitarbeiterInnen ins Home Office zu verlagern. Hier entstehen neue Sicherheitslücken. Über Schwachstellen in der IT-Infrastruktur können Netze infiziert werden und Softwarelösungen werden angreifbar. Welche Schwachstellen in der IT-Infrastruktur sind gerade jetzt durch die Anbindung der MitarbeiterInnen im Home Office besonders gefährdet?
Lukas Baumann: Das Home Office führt zu einer Verbindung der Unternehmensnetzwerke mit den Heimnetzwerken der Mitarbeiter. Diese befinden sich jedoch meist nicht auf dem gleichen Sicherheitsniveau. Wie oft installieren Mitarbeiter zu Hause Updates auf SmartTV, Drucker und Router? Sind Passwörter hierfür ausreichend sicher gewählt? Welche Geräte befinden sich noch in den Heimnetzwerken? Fällt es dem Unternehmen überhaupt auf, wenn Daten über den Internetanschluss von Mitarbeitern abfließen? All das sind Fragen, mit welchen sich Administratoren in der heutigen Zeit beschäftigen müssen - denn gut ausgebildetes IT-Sicherheitspersonal ist rar gesät. Unsere Lösung hilft hier ungemein, den Überblick zu bewahren und die Sicherheitslage gut zu beurteilen. All das führt schließlich zu einer guten Cyber-Hygiene.
DIGITAL FUTUREmag: Sie nutzen hier den Begriff der Cyber-Hygiene. Was ist damit gemeint? Können Sie das unseren LesernInnen etwas näher erläutern?
Lukas Baumann: Wir identifizieren bei Unternehmen immer wieder verwaiste Systeme. Finden Cyberkriminelle über diese alten Systeme – auf denen meist Updates fehlen – einen Weg in das Netzwerk, ist der Angriff ein leichtes Spiel. Ein kontinuierliches Asset-Management ist die Grundlage für eine gute Cyber-Hygiene. Cyber-Hygiene ist sozusagen die Basis jeder IT-Infrastruktur und der darauf basierenden Maßnahmen. Alles im Detail auszuführen würde sicher zu weit führen. Grundlegende Prinzipien von Cyber-Hygiene bestehen aus Passwortpolicen mit Mehrfaktor-Authentifizierung und fein granulierten Nutzerrechten, einem Asset-Management, das regelmäßige Softwareupdates erleichtert sowie einem IT-Sicherheitsmanagementsystem inklusive dessen kontinuierlicher Kontrolle. Auch Backups sowie deren Wiederherstellung sollten getestet sein.
DIGITAL FUTUREmag: Als IT-Spezialist haben Sie einen tieferen Einblick in die Bedrohungslage, insbesondere auch mittelständischer Unternehmen. Wie schätzen Sie persönlich die Entwicklung der IT-Sicherheitslage in den kommenden Monaten ein?
Lukas Baumann: Unverändert hoch - hoffentlich findet IT-Sicherheit aufgrund der steigenden Digitalisierung nun auch mehr Beachtung im Management. Uns begegnen immer wieder IT-Leiter, deren Budget komplett ausgeschöpft ist. Dem Management muss bewusst werden, dass man für eine gute IT-Sicherheitslage proaktive Investments benötigt. Reaktiv wird alles noch viel teurer - das ist fast wie bei Corona.
DIGITAL FUTUREmag: Bitte geben Sie uns zum Abschluss aus Ihrer Sicht die 3 wichtigsten Handlungsempfehlungen für das Top-Management, wenn es um IT-Sicherheit geht.
Lukas Baumann: 1. Verschaffen Sie sich einen messbaren und verständlichen Überblick über Ihre Sicherheitssituation, dies beinhaltet auch die Sicherheitssituation Ihrer Zulieferer.
2. Erstellen und kontrollieren Sie die IT-Sicherheitsmanagementprozesse in Ihrem Unternehmen.
3. Ziehen Sie das tagesaktuelle Geschehen in Betracht, wenn es um ihre IT-Sicherheit geht. Angreifer sind extrem dynamisch/disruptiv.
DIGITAL FUTUREmag: Allerbesten Dank für dieses aufschlussreiche und informative Gespräch. Wir wünschen Ihrem Unternehmen bei der Erreichung Ihrer Ziele weiterhin viel Erfolg.
Lukas Baumann: Vielen Dank auch von unserer Seite. Um die Sicherheitssituation zu verbessern, führen wir eine Studie zur IT-Sicherheit in Deutschland durch, bei der die Teilnehmer eine kostenfreie IT-Sicherheitsanalyse erhalten. Einfacher können Sie keinen Einblick in Ihre Sicherheitslage erhalten. Hier können Ihre Leser an der Studie teilnehmen:
