20.02.2021
Was bringt zertifizierte IT-Sicherheit für KMU? Dieser Frage widmeten sich Markus Edel (VdS Schadenverhütung GmbH), Prof. Dr.-Ing. Karl-Heinz Niemann (Hochschule Hannover, Elektro- und Informationstechnik) und Frank Knischewski (DTS Systeme GmbH) bei einer Panel-Diskussion am 28.01.2021. Die Diskussion fand im Rahmen des Online-Workshops „Mit dem KMU ins Netz? Aber sicher!“ statt, der von niedersachsen.digital und der Hochschule Hannover organisiert wurde.
Zertifikate für IT-Sicherheit spielen für kleine und mittelständische Unternehmen (KMU) eine immer größere Rolle. Sie dienen einerseits dazu, die Sicherheit interner IT-Prozesse zu optimieren. Andererseits werden sie auch immer wichtiger bei der Vergabe von größeren Aufträgen. Denn Kund*innen verlangen oftmals diese Zertifikate.
Die Panel-Diskussion begann mit Eingangsstatements der Referenten. Herr Knischewski erklärte, dass sich Unternehmen gerne gegen Cyber-Angriffe versichern möchten. Oftmals sei dafür aber ein umfangreicher Fragenkatalog zu beantworten. Wenn IT-Standards nicht dokumentiert seien, dann schließen Versicherungen oft keine Verträge ab. Die Geschäftsführung müsse sich um die IT-Sicherheit kümmern und sich Gedanken über Zertifizierungen bzw. Auditierung machen. Obwohl der Aufwand gerade für KMU hoch sei, lohne es sich. Es gehe nämlich nicht nur darum, Lücken aufzudecken, sondern den gesamten IT-Prozess zu dokumentieren und abzusichern.
Ergänzend fügte Herr Edel hinzu, dass viele Versicherungsdienstleister versuchten, sich mit individuellen Angeboten abzuheben. Da sei es für Unternehmen schwierig, den Überblick zu behalten. Insbesondere kleine Unternehmen (bis 20 Mitarbeiter*innen) hätten es schwer. Für diese Unternehmen müsse es handhabbare Lösungen geben. Managementsysteme für die Informationssicherheit müssten zu den Ressourcen der Unternehmen passen. Die VDS GmbH berate Unternehmen in direkten Gesprächen, um die Mindestanforderungen zu analysieren und ein Angebot zu unterbreiten, das die Unternehmen nicht überfordere. Hier käme Remote-Unterstützung zu einem akzeptablen Preis ins Spiel.
Herr Prof. Niemann stellte in seinem Eingangsstatement kurz die Tätigkeiten im Zukunftslabor Produktion vor. Dort entwickelten die Wissenschaftler*innen eine sichere Grundarchitektur zum firmenübergreifenden Austausch von Produktionsdaten. Dabei stellten sie sich die Frage, wie mehrere Unternehmen ihre Daten sicher austauschen könnten. Dabei sei auch das Management einzubeziehen, dessen Commitment erforderlich sei. Hier kämen die ISO 27000 und die VDS 10000 ins Spiel. Für die Automatisierungstechnik sei die IEC 62443 relevant, die insbesondere IT-Sicherheitsaspekte von Produktionsanlagen abdecke. Auch wenn Zertifizierungen kostspielig seien, lohne sich der Aufwand, da die IT-Sicherheit nachhaltig verbessert werde.
Wettbewerbsvorteil durch Zertifizierungen?
Im Anschluss an die Eröffnungsstatements stellte Moderator Dr. Marian Köller (Digitalagentur Niedersachsen) die erste Frage zur Debatte: Bieten Zertifizierungen einen Wettbewerbsvorteil? Auf die Frage ging Herr Prof. Niemann zuerst ein. Große Hersteller in der Automatisierungstechnik achteten bereits auf Zertifizierungen. Wenn Unternehmen diese Technik einsetzten, erfüllten sie schon einen gewissen Standard. Zertifizierungen seien hier also als Enabling Technology zu sehen.
Herr Edel brachte einen weiteren Aspekt ein. Unternehmen hätten einerseits ein Interesse an Zertifizierungen, um sich intern abzusichern und die IT zu schützen. Andererseits dienten Zertifizierungen auch in der Außendarstellung um zu zeigen, dass das Unternehmen vertrauenswürdig sei. Zertifizierungen könnten also durchaus als Wettbewerbsvorteil genutzt werden.
Wofür macht man das?
Mit seiner zweiten Frage stellte Moderator Köller zur Diskussion, ob Zertifizierungen als Lösung für IT-Sicherheit angesehen werden könnten. Daraufhin erklärte Herr Knischewski, dass sich Unternehmen im Zuge von Zertifizierungen mit jedem Aspekt der IT-Sicherheit auseinandersetzen müssten. Das sei förderlich, um das IT-System sicher aufzustellen. Aber die Zertifizierungen an sich seien nicht die Lösung. Insbesondere KMU sollten mit niedrigschwelligen Schritten beginnen und sich weiter vorarbeiten, um langfristig Zertifizierungen anzustreben. Demnach seien Zertifizierungen ein Hilfsmittel.
Eine Teilnehmerin aus dem Publikum wandte sich mit einer weiteren Frage an die Referenten. Sie wollte wissen, was genau Informationssicherheitsmanagementsysteme sind. Solche Systeme organisierten im Unternehmen Prozesse der Informationssicherheit, so Herr Prof. Niemann. Sie definierten, wie Prozesse, Zuständigkeiten und Abläufe abzuwickeln seien. Hierbei gäbe es verschiedene Normen für verschiedene Prozesse. Herr Edel fügte ergänzend hinzu, dass solche Systeme dem kontinuierlichen Verbesserungsprozess dienten, da sie die Anforderungen an IT-Sicherheit immer wieder auf den Prüfstand stellten.
Insgesamt nahmen 90 Personen an der Veranstaltung teil. Ein Videomitschnitt der Panel-Diskussion ist auf dem YouTube-Kanal von niedersachsen.digital zu finden. Dort gibt es auch Videos zu den drei weiteren Vorträgen, die im Rahmen der Veranstaltung gehalten wurden:
Ansprechpartnerin für redaktionelle Rückfragen:
Kira Konrad B. A.
Marketing & Kommunikation
Zentrum für digitale Innovationen Niedersachsen (ZDIN)
Am OFFIS – Institut für Informatik, Escherweg 2, 26121 Oldenburg – Germany
Tel: 0441 9722-435
E-Mail: info@zdin.de
www.zdin.de
