Carolin Desirée Töpfer ist Gründerin und CEO der cdt digital GmbH sowie des estnischen Cyber-Security Training Startups Cyttraction. Im Interview sprechen wir mit ihr über IT-Sicherheitsstrategien mittelständischer Unternehmen und warum Mitarbeiter dabei eine Schlüsselrolle spielen.
Frau Töpfer, welche IT-Strategien sollten mittelständische Unternehmen einführen oder wie sollten sie bestehende Strategien verändern?
Töpfer: Eine gute IT-Strategie betrachtet immer alle Bereiche, jeden Arbeitsplatz und alle Mitarbeiter. Sie sollte Datenschutz, IT-Sicherheit, eventuell notwendige Zertifizierungen und natürlich die stetige Weiterbildung von Mitarbeitern umfassen. Natürlich ist nicht jede Abteilung gleich gefährdet und nicht jeder Mitarbeiter braucht das Wissensniveau eines IT-Experten. Was aber mittelständische Unternehmen insbesondere in der Krise lernen müssen ist, dass sie sich schon im Vorfeld darüber informieren müssen. IT-Infrastrukturen sind gerade in Cloud-Umgebungen eng miteinander verwoben und wie ein Ökosystem vernetzt. Veränderungen der IT-Sicherheit müssen zum Beispiel bei der Schnittstellen-Administration oder Weiterbildung der Mitarbeiter berücksichtigt werden. Diese digitale Transformation können Unternehmen nicht alle zehn Jahre machen, sondern es ist ein fortlaufender Prozess, der immer abgeglichen werden muss. Auch im IT-Sicherheitsbereich ist das ganz große Thema: Wann muss ich selber Mitarbeiter und Teams aufbauen? Wo kann ich mir gezielt externe Hilfe suchen und wo gibt es Kombinationen interner und externer Schulung? Nicht alle mittelständischen Unternehmen haben eine eigene IT-Abteilung oder können sich intern um IT-Sicherheit kümmern. Aber alle verfügen über ein potentiell hochwirksames natürliches Frühwarn- und Sicherheitssystem: die eigenen Mitarbeiter. Sie bilden eine „menschliche Firewall“.
Gibt es technische Lösungen, die die Security-Experten in Unternehmen besonders beachten sollten?
Töpfer: Die Bedeutung des Themas Sicherheit wird schon mit der Auswahl von Cloud-Diensten offensichtlich. Für viele kleinere Unternehmen ist die erste Öffnung zur digitalen Welt zum Beispiel die Einführung von Microsoft Office 365. Dabei sollten sie sich mit den entsprechenden Serviceanbietern auseinandersetzen. Die richtigen Fragen sind hier zum Beispiel: Könnt ihr das Thema IT-Sicherheit für uns vollkommen abdecken? Wie sieht euer Angebot im täglichen Betrieb aus? Haben wir in allen relevanten Situationen einen Ansprechpartner? Können unsere Mitarbeiter bei einer Hotline anrufen? Unternehmen beleuchten so oft schon die ersten Aspekte einer IT-Sicherheitsstrategie. Sie können diese Punkte auch gleich in ihrer Datenschutz-Dokumentation aufführen. Sprechen wir dann aber über tatsächliche Cyber-Angriffe, braucht es auch den Blick auf taktische Szenarios und Optionen. Mitarbeiter müssen real vorbereitet werden, damit das Unternehmen jederzeit effektiv reagieren kann. Insbesondere kleine Unternehmen brauchen dafür aufeinander abgestimmte IT-Sicherheitssoftware, aber vor allem auch geschultes Personal.
Sie sagen, auch die Mitarbeiter sind ein großer Teil der IT-Sicherheitsstrategie. Wie müssen sie sensibilisiert werden?
Töpfer: Viele Manager gehen davon aus, dass sie Mitarbeiter unkompliziert durch Standard-Kurse auf den aktuellen Stand der Dinge bringen können. Die Inhalte der Kurse zielen aber vor allem darauf ab, dass so schnell wie möglich Compliance-Richtlinien vermittelt werden. Im Anschluss gibt es dann zwar das Teilnahmezertifikat oder die obligatorische Unterschrift. Der Lerneffekt bei den Mitarbeitern ist aber oft gleich null. Die Kurse holen die Mitarbeiter in ihrer spezifischen Arbeitssituation bis heute vielfach nicht ab. Und wenn sie es tun, fehlen oft die technische Erklärung sowie Einordnung und Inspiration. Wir brauchen IT-Sicherheitsexperten und Trainings, die eine Brücke schlagen können zu allen Menschen im Unternehmen. Egal auf welcher Gehalts- oder Verantwortungsstufe sie arbeiten, ob es sich um Praktikanten oder Manager und Geschäftsführer handelt. Alle sind Teil einer umfassenden IT-Sicherheitsstrategie eines Unternehmens und müssen effektiv geschult werden. IT-Sicherheitsexperten sollten imstande sein, ihr Wissen an alle weiterzugeben, die nicht täglich damit arbeiten. Innerhalb der Unternehmen und in der IT-Sicherheitsbranche sollten Experten sich auch besser vernetzen und ihr Wissen austauschen. Zwischen Fachabteilungen und Endnutzern muss mehr dauerhafte Kommunikation zu IT-Sicherheitsfragen entstehen. Wir sollten bei den Trainings der Zukunft viel stärker aus der Perspektive der Endnutzer denken und ihre Aufnahmefähigkeit beachten.
Mit ihrem Start-up Cyttraction vermittelt Carolin Desirée Töpfer IT-Sicherheit von Akteuren in einer völlig neuen Weise. Auf den digitalen Internet Security Days 2020 spricht sie als Referentin in ihrem Vortrag über den „menschlichen Faktor“. Hier geht’s zur Veranstaltung.
Auf unseren Social Media Kanälen finden Sie die Internet Security Days unter #ISDDigital.