Interview

Secobit: „Gesamtfitness IT-Sicherheit ist ausbaufähig“

Wie fit ist der bayerisch-schwäbische Mittelstand beim Thema IT-Sicherheit? Und kann das Arbeiten von Zuhause überhaupt datenschutzkonform sein? Wir haben bei den Gründern des Augsburger IT-Startups Secobit, Thomas Schkoda und Harry Schäfle, nachgefragt.

B4B WIRTSCHAFTSLEBEN SCHWABEN: Wie aufwendig ist es, sein Unternehmen IT-sicher zu machen? Und was sind die wichtigsten Faktoren? 

Thomas Schkoda: Das Wichtigste ist, IT-Sicherheit wirklich ernst zu nehmen. Eine erste Grundsicherung kann in der Regel rasch und mit wenig Aufwand umgesetzt werden. Der Aufwand hängt aber natürlich erheblich davon ab, wieviel IT betrieben wird, wie viele Mitarbeiter IT nutzen, in welcher Branche man arbeitet, ob produziert, beraten oder entwickelt wird und vielem mehr.

Wie fit ist der bayerisch-schwäbische Mittelstand beim Thema IT-Sicherheit?  

Harry Schäfle: Das variiert von Unternehmen zu Unternehmen erheblich. Leider gibt es noch immer viel zu viele – meist kleinere –Unternehmen, die Informations- und auch Datensicherheit ignorieren, da „bislang noch nichts passiert ist”. Wir finden immer wieder Firewalls, die mit uralten Softwareständen betreiben werden und offen wie ein Scheunentor sind. Auf der anderen Seite gibt es Unternehmen mit einem zertifizierten Informations-Sicherheits-Management-System. Die Gesamtfitness ist insgesamt ausbaufähig. Viel wichtiger ist aber die Fitness des eigenen Unternehmens. Und eines ist auch klar, Fitness für morgen erhalte ich nur durch heutiges und dauerhaftes Trainieren.

Viele Sicherheitsvorfälle entstehen durch menschliches Fehlverhalten. Wie schaffe ich Security Awareness bei Mitarbeitern?  

Thomas Schkoda: Da sprechen Sie den zentralen Punkt für die IT-Sicherheit an. Der Anteil der Sicherheitsvorfälle durch Fehlverhalten liegt je nach Analyse zwischen 50 und über 80 Prozent, bei technisch gut geschützten Systemen teilweise über 90 Prozent. Der erste Schritt zur Verbesserung ist, dass bei allen Mitarbeitern das Bewusstsein geweckt wird, wie wichtig ihr Beitrag zur Unternehmenssicherheit ist. Grundlage ist eine klare Ansprache durch die Unternehmensleitung. Wir helfen dann mit Beispielen aus dem Alltag und Live-Hacking. Danach braucht es eine kontinuierliche Ausbildung aller Mitarbeiter. Oft sehen wir, dass einmalig trainiert wird – was leider fast gar nichts bringt. Nach ein paar Tagen sind 80 Prozent vergessen. Wir setzen hier auf kontinuierliche Ausbildung mit ganz unterschiedlichen Formaten. 

Heutzutage sind fast alle Geschäftsprozesse digital. Kann ich mich da überhaupt zu 100 Prozent gegen Cyberangriffe absichern? 

Harry Schäfle: Falls Ihnen ein Sicherheitsspezialist 100 Prozent verspricht, schicken Sie ihn nach Hause. Das ist unseriös, 100-prozentige Sicherheit gibt es leider nicht - außer, dass ich 100 Prozent Opfer werde, wenn ich nicht vorbeuge. Sicherheit gewinnt natürlich mit zunehmender Digitalisierung weiter an Bedeutung. Als Unternehmer sollte ich nicht nur meine Risken kennen, sondern meine Kernprozesse und “Kronjuwelen” an Information ausreichend schützen.   

Im Gebäude Weitblick 1.7 werden Sie Handvenenscanner als Zutrittslösung installieren. Warum ausgerechnet Handvenen und wie funktioniert die Technologie genau? 

Thomas Schkoda: Solch ein innovatives Gebäude braucht auch eine innovative Zutrittskontrolle. Mit den gängigen Systemen ersetze ich einen Schlüssel durch eine Schlüsselkarte. Damit ist nicht viel gewonnen. Im Gegenteil, die Karten gehen öfter kaputt und werden auch öfter verloren als robuste Schlüssel. Gut wäre doch, wenn man den Schlüssel immer bei sich hätte und nicht verlieren könnte, damit landen wir bei der Biometrie. Das hat aber einen großen Nachteil: Fingerabdruck, Gesichts- oder Iriserkennung, Stimme, Retina all diese Merkmale sind leicht sichtbar und einfach nachzumachen. Wir verwenden die Handvenen, da diese verborgen sind, kaum nachgemacht werden können. Und das Verfahren selbst gibt keine Biometrie-Information preis, sondern verwendet diese nur, um einen sehr sicheren, eindeutigen digitalen Schlüssel zu erzeugen. Super einfach, super sicher und völlig kontaktlos. Ihre Hand schwebt 5 Centimeter über dem Sensor und sofort öffnet sich die Tür, wenn Sie berechtigt sind. Das ist vor allem in Corona- oder Grippezeiten ein großer Vorteil.  

Durch das Corona-Virus sind Viele ins Home-Office gezogen. Kann das Arbeiten von Zuhause überhaupt datenschutzkonform sein?  

Harry Schäfle: Sie wollen eine kurze Antwort? Ja!   

Die etwas längere Version: Das Arbeiten von zuhause aus muss selbstredend datenschutzkonform sein. Die DSGVO ist ein europäisches Gesetz, das eingehalten werden muss. Aber Datenschutz ist kein Selbstläufer und oft “stört” er unsere natürliche Arbeitsweise. Geschäftsdokumente wandern in den Hausmüll, einen Schredder gibt es leider nicht, wichtige Dokumente liegen offen herum, die Web-Konferenzen können alle mithören. Es braucht hier klare, einhaltbare Spielregeln, zum Schutz des Geschäfts und zum Schutz auch der Mitarbeiter. Augenmaß ist gefragt und auch hier wieder die Schulung der Mitarbeiter.  

Die meisten Meetings finden durch Corona virtuell im Home-Office statt. Immer mehr nutzen die App „Zoom“ oder auch Microsoft Teams. Welche drei Tipps haben Sie, um solche Meetings abzusichern? 

Thomas Schkoda: Für die Administratoren: Prüfen Sie, welches Tool für Sie das Sicherste ist, wählen Sie europäische Rechenzentren, konfigurieren Sie die Sicherheitsfunktionen und prüfen Sie den Datenschutz. 

Für die Organisatoren: Nutzen Sie immer den Warteraum, kontrollieren Sie, wer wirklich im Meeting teilnimmt und sperren Sie die Meetings, wenn alle Teilnehmer anwesend sind.  

Für alle: Schützen Sie Ihren Account durch ein gutes Passwort und denken Sie daran, es gibt Informationen, die gehören nicht in eine Web-Konferenz.  

Artikel teilen
Interview

Secobit: „Gesamtfitness IT-Sicherheit ist ausbaufähig“

Wie fit ist der bayerisch-schwäbische Mittelstand beim Thema IT-Sicherheit? Und kann das Arbeiten von Zuhause überhaupt datenschutzkonform sein? Wir haben bei den Gründern des Augsburger IT-Startups Secobit, Thomas Schkoda und Harry Schäfle, nachgefragt.

B4B WIRTSCHAFTSLEBEN SCHWABEN: Wie aufwendig ist es, sein Unternehmen IT-sicher zu machen? Und was sind die wichtigsten Faktoren? 

Thomas Schkoda: Das Wichtigste ist, IT-Sicherheit wirklich ernst zu nehmen. Eine erste Grundsicherung kann in der Regel rasch und mit wenig Aufwand umgesetzt werden. Der Aufwand hängt aber natürlich erheblich davon ab, wieviel IT betrieben wird, wie viele Mitarbeiter IT nutzen, in welcher Branche man arbeitet, ob produziert, beraten oder entwickelt wird und vielem mehr.

Wie fit ist der bayerisch-schwäbische Mittelstand beim Thema IT-Sicherheit?  

Harry Schäfle: Das variiert von Unternehmen zu Unternehmen erheblich. Leider gibt es noch immer viel zu viele – meist kleinere –Unternehmen, die Informations- und auch Datensicherheit ignorieren, da „bislang noch nichts passiert ist”. Wir finden immer wieder Firewalls, die mit uralten Softwareständen betreiben werden und offen wie ein Scheunentor sind. Auf der anderen Seite gibt es Unternehmen mit einem zertifizierten Informations-Sicherheits-Management-System. Die Gesamtfitness ist insgesamt ausbaufähig. Viel wichtiger ist aber die Fitness des eigenen Unternehmens. Und eines ist auch klar, Fitness für morgen erhalte ich nur durch heutiges und dauerhaftes Trainieren.

Viele Sicherheitsvorfälle entstehen durch menschliches Fehlverhalten. Wie schaffe ich Security Awareness bei Mitarbeitern?  

Thomas Schkoda: Da sprechen Sie den zentralen Punkt für die IT-Sicherheit an. Der Anteil der Sicherheitsvorfälle durch Fehlverhalten liegt je nach Analyse zwischen 50 und über 80 Prozent, bei technisch gut geschützten Systemen teilweise über 90 Prozent. Der erste Schritt zur Verbesserung ist, dass bei allen Mitarbeitern das Bewusstsein geweckt wird, wie wichtig ihr Beitrag zur Unternehmenssicherheit ist. Grundlage ist eine klare Ansprache durch die Unternehmensleitung. Wir helfen dann mit Beispielen aus dem Alltag und Live-Hacking. Danach braucht es eine kontinuierliche Ausbildung aller Mitarbeiter. Oft sehen wir, dass einmalig trainiert wird – was leider fast gar nichts bringt. Nach ein paar Tagen sind 80 Prozent vergessen. Wir setzen hier auf kontinuierliche Ausbildung mit ganz unterschiedlichen Formaten. 

Heutzutage sind fast alle Geschäftsprozesse digital. Kann ich mich da überhaupt zu 100 Prozent gegen Cyberangriffe absichern? 

Harry Schäfle: Falls Ihnen ein Sicherheitsspezialist 100 Prozent verspricht, schicken Sie ihn nach Hause. Das ist unseriös, 100-prozentige Sicherheit gibt es leider nicht - außer, dass ich 100 Prozent Opfer werde, wenn ich nicht vorbeuge. Sicherheit gewinnt natürlich mit zunehmender Digitalisierung weiter an Bedeutung. Als Unternehmer sollte ich nicht nur meine Risken kennen, sondern meine Kernprozesse und “Kronjuwelen” an Information ausreichend schützen.   

Im Gebäude Weitblick 1.7 werden Sie Handvenenscanner als Zutrittslösung installieren. Warum ausgerechnet Handvenen und wie funktioniert die Technologie genau? 

Thomas Schkoda: Solch ein innovatives Gebäude braucht auch eine innovative Zutrittskontrolle. Mit den gängigen Systemen ersetze ich einen Schlüssel durch eine Schlüsselkarte. Damit ist nicht viel gewonnen. Im Gegenteil, die Karten gehen öfter kaputt und werden auch öfter verloren als robuste Schlüssel. Gut wäre doch, wenn man den Schlüssel immer bei sich hätte und nicht verlieren könnte, damit landen wir bei der Biometrie. Das hat aber einen großen Nachteil: Fingerabdruck, Gesichts- oder Iriserkennung, Stimme, Retina all diese Merkmale sind leicht sichtbar und einfach nachzumachen. Wir verwenden die Handvenen, da diese verborgen sind, kaum nachgemacht werden können. Und das Verfahren selbst gibt keine Biometrie-Information preis, sondern verwendet diese nur, um einen sehr sicheren, eindeutigen digitalen Schlüssel zu erzeugen. Super einfach, super sicher und völlig kontaktlos. Ihre Hand schwebt 5 Centimeter über dem Sensor und sofort öffnet sich die Tür, wenn Sie berechtigt sind. Das ist vor allem in Corona- oder Grippezeiten ein großer Vorteil.  

Durch das Corona-Virus sind Viele ins Home-Office gezogen. Kann das Arbeiten von Zuhause überhaupt datenschutzkonform sein?  

Harry Schäfle: Sie wollen eine kurze Antwort? Ja!   

Die etwas längere Version: Das Arbeiten von zuhause aus muss selbstredend datenschutzkonform sein. Die DSGVO ist ein europäisches Gesetz, das eingehalten werden muss. Aber Datenschutz ist kein Selbstläufer und oft “stört” er unsere natürliche Arbeitsweise. Geschäftsdokumente wandern in den Hausmüll, einen Schredder gibt es leider nicht, wichtige Dokumente liegen offen herum, die Web-Konferenzen können alle mithören. Es braucht hier klare, einhaltbare Spielregeln, zum Schutz des Geschäfts und zum Schutz auch der Mitarbeiter. Augenmaß ist gefragt und auch hier wieder die Schulung der Mitarbeiter.  

Die meisten Meetings finden durch Corona virtuell im Home-Office statt. Immer mehr nutzen die App „Zoom“ oder auch Microsoft Teams. Welche drei Tipps haben Sie, um solche Meetings abzusichern? 

Thomas Schkoda: Für die Administratoren: Prüfen Sie, welches Tool für Sie das Sicherste ist, wählen Sie europäische Rechenzentren, konfigurieren Sie die Sicherheitsfunktionen und prüfen Sie den Datenschutz. 

Für die Organisatoren: Nutzen Sie immer den Warteraum, kontrollieren Sie, wer wirklich im Meeting teilnimmt und sperren Sie die Meetings, wenn alle Teilnehmer anwesend sind.  

Für alle: Schützen Sie Ihren Account durch ein gutes Passwort und denken Sie daran, es gibt Informationen, die gehören nicht in eine Web-Konferenz.  

nach oben