Ein Interview mit Peter Meyer, Geschäftsführer bei DIGITAL.SICHER.NRW
Sandra:
Hallo Peter, schön, dass Du heute zu Gast bist in meinem Blog und Podcast. Bevor wir uns näher mit Dir und DIGITAL.SICHER.NRW beschäftigen, muss ich eine Frage loswerden: von kleinen, kleinsten und mittelgroßen Unternehmen hört man oft (wie ich finde nicht ganz zu Unrecht): “Cybersicherheit ist so kompliziert und teuer, ich lasse es mal drauf ankommen. Bisher ist es immer gut gegangen und so schlimm kann es ja nicht werden.”
Hörst Du das auch und falls ja, was sagst Du dazu?
Peter:
Ja, ich höre das sehr häufig, vor allem bei kleinen Unternehmen. Hier fehlt weiterhin das Bewusstsein für die Risiken. Natürlich lesen auch Unternehmer in den Medien über Cyberangriffe. Aber die Fälle dort betreffen meistens große Unternehmen. Wie z.B. letzte Woche bei dem Vorfall bei der Rheinischen Post. Wenn eine große Medienseite nicht erreichbar ist, dann bekommt das schon der eine oder andere mit! Oder wenn in Dänemark bei einer Supermarktkette die Kassen nach einem Cyberangriff ausfallen, dann bekommt so etwas schon die breite Öffentlichkeit mit. Wenn es den kleinen Handwerksbetrieb betrifft, bemerkt es kaum jemand, bloß ein paar Freunde, Bekannte, ein paar Nachbarn oder Kunden. Aber die große Aufmerksamkeit erreicht es nicht, um so andere Handwerksunternehmen zu sensibilisieren.
Was wir zudem regelmäßig hören, ist, dass es bei den jeweiligen Unternehmen nichts zu holen gibt: “Warum sollen die Kriminellen mich angreifen?” Und wie Du auch schon sagtest: Cybersicherheit ist bei Unternehmen nicht die Toppriorität, ähnlich verhält es sich übrigens mit dem Datenschutz.
Wenn man sich mal draußen umschaut: Wir haben steigende Energiekosten, eine Inflation, es herrscht Krieg in der Ukraine und kommen gerade aus einer mehrjährigen Pandemie. Cybersicherheit ist wichtig, aber bei Unternehmen steht es selten auf Platz 1 der Prioritäten. Was aber auch verständlich ist. Plump gesagt – wenn man als Unternehmen keinen Strom hat, dann ist das mit dem „Internet“ erstmal zweitrangig.
Sandra:
Ganz oft wird ja auch gesagt: “Das (Cybersicherheit) macht dann unser Dienstleister.” Aber auch IT-Dienstleister werden aktuell häufig und immer häufiger auch zum Ziel von solchen Angriffen. Und das heißt, man ist vielleicht nicht schuld, aber betroffen ist man trotzdem.
Peter:
Das stimmt, ja. Es häufen sich die Fälle, bei denen der Dienstleister angegriffen wurde, wie z.B. bei der Rheinischen Post. Die Folgen eines Angriffs ziehen sich immer häufiger entlang der Lieferkette. Im Rahmen der Digitalisierung und Vernetzung hängt alles irgendwie und irgendwo zusammen.
Sandra:
Dann wird es jetzt aber Zeit, dass wir Dich einmal vorstellen, Peter. Du bist Geschäftsführer bei DIGITAL.SICHER.NRW. Wer seid Ihr und was macht Ihr?
Peter:
Wir sind das Kompetenzzentrum für Cybersicherheit in der Wirtschaft Nordrhein-Westfalen. Wir sind vom Ministerium für Wirtschaft, Industrie, Klimaschutz, Energie des Landes Nordrhein Westfalen (Abkürzung: MWIKE NRW) beauftragt, das Thema digitale Sicherheit an kleine und mittlere Unternehmen im NRW heranzutragen. Wir haben zwei Standorte, ich selbst vertrete den Standort in Bonn. Unser Hauptsitz ist in Bochum. Wir haben zwei Trägervereine als Gesellschafter und sind als Rechtsform eine gGmbH. Das heißt, wir sind gemeinnützig unterwegs.
Wir schreiben uns auf die Fahne, dass bei uns alles herstellerneutral ist und wir auch sämtliche Angebote kostenlos anbieten.
Die beiden Trägervereine sind das Cyber Security Cluster Bonn und eurobits e.V. aus Bochum. Beides sind regionale Cybersicherheitsnetzwerke mit einem breiten Spektrum an Mitgliedern. In Bonn ist das zum Beispiel unter anderem die Deutsche Telekom, aber auch die Uni Bonn, Hochschule Bonn-Rhein-Sieg, die Industrie- und Handelskammer (IHK) Bonn/Rhein-Sieg, die Wirtschaftsförderung oder zahlreiche Anbieter- und Anwender-Unternehmen. Und in Bochum sieht es ähnlich aus, hier engagieren sich beispielsweise eine G Data oder Secunet oder das Horst Görtz Institut an der Ruhr-Universität Bochum. Die Wege sind kurz und wir haben als Kompetenzzentrum ein starkes Netzwerk hinter uns.
Aber es ist uns auch wichtig, dass wir als Team sehr breit aufgestellt sind. Wir sind nicht nur IT-Sicherheitsexperten, für uns das Thema Kommunikation ebenfalls sehr wichtig.
Es gibt über 700.000 kleine und mittlere Unternehmen in Nordrhein-Westfalen und es ist schon eine Herausforderung, diese alle zu erreichen. Insbesondere die kleinen Unternehmen. 2/3 aller Angestellten Nordrhein-Westfalen arbeiten in kleinen, mittleren Unternehmen (mit weniger als 250 Mitarbeitern).
Dabei ist der größten Arbeitgeber das Handwerk. Knapp jeder 6. Beschäftigte in Nordrhein-Westfalen arbeitet im Handwerk und 85 % aller Arbeitnehmer arbeiten sogar in einem Betrieb unter 10 Angestellten. Unter diesen zehn Angestellten ist selten eine einzige Person Vollzeit für die IT verantwortlich oder gar ein Sicherheitsexperte. Und genau hier möchten wir helfen und unterstützen: Unternehmen zu befähigen, sich im Bereich der digitalen Sicherheit so aufzustellen, dass man den Bedrohungen und Herausforderungen gegenübertreten kann.
Sandra:
Und wie erreicht ihr Unternehmen oder wie erreichen sie Euch? Also wenn ich jetzt Geschäftsführerin eines solchen Unternehmens bin und denke ”Ich wollte das eigentlich schon eigentlich letzte Jahr machen, jetzt müsste ich mich mal kurz vor den Sommerferien noch um IT-Sicherheit kümmern. Wie komme ich dann zu euch in Kontakt und was bekomme ich dann dort?
Peter:
Das Einfachste ist natürlich immer eine Suchmaschine zu nutzen und nach uns zu suchen. Aber natürlich haben wir auch viele Netzwerkpartner z.B. bei den Kammern und sind regelmäßig zwischen Rhein und Weser auf den unterschiedlichsten Veranstaltungen zu finden.
Wir bieten eine kostenlose Erstberatung für kleine Unternehmen an. Das heißt, wir setzen uns mit Unternehmen zusammen, gehen mit ihnen Fragen zur Digitalen Sicherheit durch, schauen gemeinsam, wie sie aufgestellt sind und geben dann auch Tipps, wie man den Schutz am besten angehen kann.
Zwar machen die meisten Unternehmen Backups, aber es gibt eben solche und solche Backups – sie sollten dem Stand der Technik entsprechen, die „digitalen Kronjuwelen“ enthalten, sicher und redundant gespeichert werden und auch wieder eingespielt werden können.
Aber wir sprechen natürlich auch über Grundlagenthemen wie Passwortsicherheit oder Notfallplanung. Hier geht es vor allem um Sensibilisierung der Geschäftsführenden oder IT-Leitenden.
Was wir nicht machen, sind unsere Empfehlungen an die Unternehmen dort vor Ort selbst umzusetzen. Stattdessen möchten wir die Unternehmen befähigen, einem Dienstleister die richtigen Fragen und dann auch idealerweise auf Augenhöhe zu stellen und eine Checkliste oder Fragenkatalog mit ins Gespräch zu nehmen. Beispielsweise zu Backups in der Cloud oder deren Verschlüsselung angehen. Oder warum es keine 2-Faktor-Authentifizierung gibt für die Server gibt. Sowas ist doch eigentlich heute nicht nur Standard, sondern ein Muss.
Wir bieten auch ein ganzes Set an Webinaren, die wir auch regelmäßig wiederholen. Dabei setzen wir gezielt auf die Mitarbeitenden aus kleinen Unternehmen: Mit unserem “Rundflug durch die Cybersicherheit” oder eine thematische Vertiefung wie zum Mobilen Arbeiten: „Wie schütze ich meinen Computer auf Reisen, wie sieht es mit der Nutzung von kostenlosem WLAN im Urlaubsort aus etc.“
Aktuell läuft eine spezielle Kampagne: “Tür zu im Netz”:
Unser Ziel ist es, das Thema Digitale Sicherheit an die Unternehmen heranzutragen. In unserem Team sind ja, wie schon erwähnt, nicht nur Sicherheitsexperten, sondern auch Kommunikationsexperten, Marketingexperten. Die unterstützen uns dabei, unsere Zielgruppe mit einer Nicht-IT-Sprache besser zu erreichen. Denn wer nicht tief im Thema ist, hat natürlich Schwierigkeiten, das „Cybersprech“ in unserer Branche zu verstehen.
Sandra:
Auf meine Frage von vorhin zurückgreifend: Wenn ich zum Beispiel bei einem Dienstleister bin und das Thema „Backup“ oder „Cloud“ nicht kenne und nicht verstehe, kann ich Euch fragen, was es damit auf sich hat und Ihr erklärt mir dann auch wie ich meinem Dienstleister die richtige Frage stellen kann? Zum Beispiel: Habt Ihr unsere Daten verschlüsselt? Wenn ja, was bedeutet das? Wie komme ich denn im Notfall dran? Wie würde denn dann so ein Backup-Szenario genau aussehen, wenn ich meine Daten wiederherstellen müsste?
Peter:
Wir sprechen nicht mit dem Dienstleister eines Unternehmens, wir setzen uns bloß in unseren Erstberatungen mit dem KMU zusammen und besprechen gemeinsam, welche Fragen aus unserer Sicht wichtig wären. Wir machen hier lediglich eine Art High-Level IST-Analyse zur Digitalen Sicherheit im Unternehmen. Im Endeffekt sind wir ein Kompetenzzentrum und kein IT-Dienstleister. Die Unternehmen sollten schon auf „Profis“ zugreifen, denn wir bieten z.B. keine Lösungen wie Backups oder Verschlüsselung an, noch setzen wir solche Maßnahmen selbst bei den jeweiligen Unternehmen um.
Sandra:
Auf Eurer Website findet sich unter “Zahlen und Fakten” die Information, dass nur etwa jedes vierte der kleinen Unternehmen (=unter 50 Beschäftigte) jemanden benannt hat, der oder die sich um die IT-Sicherheit im Unternehmen kümmert. Was bedeutet denn in diesem Zusammenhang “kümmern”? Geht es hier vor allem um technische, technologiebasierte Sicherheit oder decken diese Personen auch die organisatorischen Komponenten und Sensibilisierung (Awareness) ab?
Peter:
Ich hatte ja vorher erwähnt, dass die meisten Unternehmen eher klein als groß sind. Die durchschnittliche Mitarbeiterzahl in Unternehmen liegt im Schnitt bei etwa bei zehn Mitarbeitenden. Braucht jedes 10-Personen-Unternehmen wirklich einen Spezialisten für alles? Ein Handwerksbetrieb mit zwölf Angestellten beschäftigt auch nicht jeweils einen Automechaniker, einen Rechtsanwalt, einen Steuerberater. Das machen in der Regel externe Spezialisten oder Dienstleister. Und wir reden zu unserem Thema ja nicht nur über die Sicherheit, sondern über die IT-Administration als Ganzes, die meist nur über einen einzelne, für die IT zuständige Person gesteuert wird. Alle Unternehmen sind heute bis zu einem gewissen Grad digitalisiert, da gibt es Laptops/ Computer, Smartphones, vielleicht ein EC-Karten-Lesegerät, Industriemaschinen oder eine Alarmanlage für das Firmengelände – und alle diese Geräte sind heute irgendwie miteinander vernetzt. Und oft gibt es nicht die eine Ansprechperson für alles Technische. Manchmal ist es der Chef, manchmal ist es die Frau des Inhabers oder andersrum der Ehemann, der nebenbei der Geschäftsführerin bei Ihrer IT hilft. Manchmal ist es jemand, der nebenbei Computerspiele zockt und schon vor 20 Jahren bei LAN-Partys war und weiß, wie ein Netzwerk funktioniert.
Und uns geht es darum, Unternehmen dafür zu sensibilisieren, sich mit den Grundlagen der IT-Sicherheit auseinanderzusetzen und diese auch umzusetzen.
Sandra:
Ja, insbesondere beim kommunikativen Anteil von Cybersicherheit bietet es sich ja an, die Aktivitäten innerhalb des Unternehmens zu streuen. Damit es nicht immer die Person ist, die Computerspiele zockt und deswegen vielleicht zufällig sogar weiß, wie man den Drucker richtig konfiguriert. Sondern zusätzlich jemand, der oder die das erklären und kommunizieren kann.
Dann habe ich noch eine abschließende Frage. Wenn ich eine gute Fee bin und Du jetzt einen Wunsch frei hast, was würdest Du Dir wünschen? Welchen Fortschritt sollen wir für KMU in Sachen Cybersicherheit in den nächsten 10 (oder sagen wir doch lieber 4-5) Jahren erreichen. Und was braucht es dann noch Deiner Ansicht nach, um dorthin zu kommen?
Peter:
Ich glaube, dass alle Unternehmen in den nächsten zehn Jahren begreifen müssen, dass Cybersicherheit eine der Grundlagen für erfolgreiches Unternehmertum ist. Cybersicherheit ist ein Querschnittsthema, um das kaum ein Unternehmen schon heute vorbeikommt. Jedes Unternehmen, das heute sagt: „Cybersicherheit brauche ich nicht.“ wird dies vermutlich in den nächsten zehn Jahr anders sehen.
Also wichtig ist, glaube ich, dass das Bewusstsein bei Unternehmen für die digitale Sicherheit vor allem in der Geschäftsführung ankommt. Cybersicherheit ist Chefsache. Geschäftsführer oder Eigentümer haften für das Unternehmen. Und wenn man sich Studien der letzten Jahre anschaut, so sind Betriebsunterbrechungen durch Cybervorfälle DAS Topthema, wodurch Unternehmen richtig Probleme bekommen.
Ich hoffe, dass das Bewusstsein für digitale Sicherheit bei Unternehmen bald die Bedeutung der analogen Sicherheit erreicht. Unternehmen haben eine Alarmanlage mit Kamera, man schließt das Bürogebäude ab, man hat einen Zaun drum herum, beauftragt einen Wachdienst. Ins Digitale übertragen wären das eine Firewall als Analogie zum Zaun, starke Passwörter als Sicherheitsschlösser oder entsprechende Software als Alarmanlage oder Überwachungskamera. So wie nicht jeder Mitarbeitende einen Generalschlüssel hat, so ähnlich sollte auch das Zugangsmanagement im Netzwerk geregelt sein.
Cybersicherheit ist keine Raketenwissenschaft. Es sind die einfachen Dinge wie Backups, Updates, Starke Passwörter oder die Mitarbeitersensibilisierung. Themen, die schon vor zehn oder zwanzig Jahren wichtig waren und auch heute und in Zukunft weiter wichtig Basics sind.
Sandra:
Vielen Dank Peter, für das Gespräch.
Dieser Artikel als Podcast:
