Security-Startups im Blickpunkt: IT-Transfusion

Frisches Wissen für die Informations­sicherheit!

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

IT-Transfusion berät in Unternehmen primär den CISO, CIO und CEO zur Informationssicherheit, um vom Management herab das die Security zu optimieren und zu verstärken.
IT-Transfusion berät in Unternehmen primär den CISO, CIO und CEO zur Informationssicherheit, um vom Management herab das die Security zu optimieren und zu verstärken. (© Ingo Bartussek - stock.adobe.com)

IT-Sicherheit wird von vielen Unternehmen nur als Checkliste gesehen, bei der die Sicherheit von Hard- und Software geprüft und abgehakt wird. Dabei lassen sich viele Sicherheitsrisiken oft schon dadurch beseitigen, dass man von außen einen neutralen Blick auf bestehende Abläufe wirft und dann Impulse für sicherere Prozesse gibt.

Informationssicherheit ist eine Weiterentwicklung der traditionellen IT-Sicherheit, also der Sicherheit von Hard- und Software-Komponenten. Aber wie steht es um die Leute hinter der Security? Diese sind oft in ihren Alltagsaufgaben so verwurzelt, dass es unmöglich scheint, alte Pfade zu verlassen und die IT Sicherheit besser zu implementieren. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen. Das Berliner Startup IT-Transfusion agiert im Spannungsfeld zwischen Security-Ansprüchen und betrieblicher Realität mit dem Ziel, Mitarbeiter möglichst gering mit dem Thema IT-Sicherheit zu belasten. Auf die Frage nach dem wie, hat IT-Transfusion klare Statements!

  • Rückkehr zu einfachen Standards!
  • Überzeugung der Mitarbeiter durch prüfbare Logik und nicht Einschüchterung.
  • Der "Schuh" Sicherheit muss den Unternehmen passen und nicht anders herum.
  • Stark in der Vorbereitung, einfach in der Anwendung.

IT-Transfusion arbeitet exklusiv für Unternehmen und supportet hier primär den CISO, CIO und CEO, um vom Management herab die Informationssicherheit zu optimieren und verstärken. Dies ist keine leichte Aufgabe, denn das Management ist gegenüber dem Shareholder und Aktionär verantwortlich und Entscheidung für Investitionen, technische Kurswechsel und neue Arbeitsabläufe sind immer mit Risiken verbunden.

Risikolandschaft

Ziel von IT-Transfusion ist es, die Informationssicherheit zu verbessen – mehr Sicherheit zu ermöglichen für das Unternehmen, das im stetigen Wettbewerb steht und die vorhandenen Ressourcen bestmöglich einzusetzen. Wie schnell ein Security-Management Fehlentscheidungen treffen kann, ist aus der Fach- und Boulevard-Presse hinlänglich bekannt.

Firmen, die Datendiebstähle verschweigen, sich von Cyberkriminellen erpressen lassen oder auf eine überalterte IT-Lösung vertrauen sind dabei die Spitze des Eisbergs. Unter der Wasserlinie verbergen sich zahlreiche andere Risiken, wie:

  • Eine sich verändernde (internationale) Gesetzgebung
  • Frustrierte Mitarbeiter, für die Informationssicherheit (überwiegend) ein Hindernis ist
  • Mangelndes Bewusstsein für den Wert der Unternehmensdaten und einer funktionierenden Informationssicherheit
  • Falsche Schwerpunkte in der Budget-Vergabe (Weiterbildung brauchen wir nicht, die Tools sind selbsterklärend)
  • Betrieb von IT Security analog zu anderen IT-Komponenten ohne spezifische Bevorzugung

Informationssicherheit war mal leicht, vor Jahrzehnten, als man Computerviren an zwei Händen abzählen konnte und Hacker sich per Debugger Infos verschafften. Heute ist es anders – komplizierter! Vermutlich auch deshalb, da man bei genauerem Betrachten feststellt, dass der erste Blick oft täuschte und ein Internet alles verbindet in der IT-Welt, im Guten wie im Schlechten.

IT-Transfusion setzt genau an diesem gordischen Knoten an und will zusammen mit dem Unternehmen den Knoten lösen oder zumindest um einige Schlingen, Schlaufen, Knoten und Verflechtungen reduzieren. Als externer Dienstleister können unternehmensinterne Befindlichkeiten, wie Abteilungsgrenzen respektiert werden ohne das Ziel zu gefährden. Denn mit einem „Fremden“ arbeite es sich mitunter viel einfacher zusammen als mit konkurrierenden Abteilungen. Viele kleine Ärgernisse, löst sich auch bei einem vertrauensvollen und offenen Gespräch mit einem neutralen Mediator.

Mitunter sind es kleine Fehler und Unachtsamkeiten, die ein großes Risiko darstellen, welches sich mit geringem Aufwand reduzieren lässt. Beispielsweise eine unglückliche Themenzuordnung von Mitarbeitern zu Security-Themen. Security-Admins sind oft fähige Allrounder, die ein breites Basiswissen haben, aber sie haben auch einen thematischen Schwerpunkt. Wer über Jahre SPAM- und Phishing-Themen bearbeitet hat, benötigt für das Firewall-Umfeld authentische Unterstützung um effektiv zu agieren, sonst könnte das unter Umständen neben negativen Folgen auch die persönliche Frustration aufbauen.

Ergänzendes zum Thema
 
Im Gespräch mit Matthias Schmidt, Gründer von IT-Transfusion

Optimierungsmaßnahmen

IT-Transfusion kennt die Problemstellungen im Security-Umfeld, durch die Aktivitäten bei Unternehmen verschiedener Größenordnung. Eines haben die Unternehmen aber alle Unternehmen gemeinsam. Eine (ungeschriebene) Kommunikationsordnung, wer mit wem, wie, über was sprechen darf. Der Security-Admin wird sehr selten dem CIO oder CISO sagen wo nach seiner Meinung ein Security-Missmanagement existiert. Aber er wird es einem Mitarbeiter von IT-Transfusion erzählen, der auf gleicher Ebene mit ihm spricht. Der die Problemstellungen bei einem Firewall-System kennt, der weiß was von Next-Gen-Tools zu halten ist und welche Mehrkosten durch neuen Security-Prozesse entstehen. Diese vertrauensvolle Kommunikation erfolgt nicht gegen den Mitarbeiter, sondern bewusst für das Unternehmen, denn Experten wissen viel – man hört sie nur zu selten. IT-Transfusion sammelt so wiederkehrende Themen, die unter Umständen im Unternehmen bereits bekannt sind, bündelt diese Anonym und gibt die Erkenntnisse als Handlungsempfehlungen, an das TOP-Management weiter. Man kann dies als ein positives, internes Whistleblowing für sicherheitskritische Entwicklungen betrachten.

Gemeinsam werden diese dann priorisiert und mit Lösungsempfehlungen adressiert. IT-Transfusion agiert hier nach dem Motto „Hilfe zur Selbsthilfe“, denn oft ist bereits viel Wissen im Unternehmen vorhanden, welches man „nur“ abrufen muß. IT-Transfusion arbeitet zwar für das Management, aber agiert im gesamten Unternehmen, denn nur wenn alle Abteilungen und Service-Partner gemeinsam handeln wird die Informationssicherheit funktionieren. Wobei IT-Transfusion offen die Rolle einnimmt und dies an den Mitarbeiter auch kommuniziert – denn Offenheit und Vertraulichkeit gehört auch zu Informationssicherheit.

Mitarbeiter wieder einzufangen und zu bestätigen, indem man ihnen Gehör gibt, Probleme beseitigt und bessere Lösungen implementiert, das ist ein Teil der Dienstleistung von IT-Transfusion. Aber auch, die komprimierte Informationsdarstellung gehört dazu. Ein CISO kann sicher einige Tage damit verbringen, sich anzulesen, ob das Thema Blockchain für das Unternehmen oder die Security ein Handlungsfeld ist – er kann aber auch stattdessen zusammen mit den Experten von IT-Transfusion das Thema in einer Stunde aufbereiten und adressieren. Die Mitarbeiter von IT-Transfusion sehen sich auch als Vermittler von Wissen und geben die neuesten Trends und Konzepte an die Unternehmen weiter, damit dem CISO mehr Alternativen bleiben als das altbekannte: „Das haben wir schon immer so gemacht!“

Transfusion

Bei dem Begriff „Transfusion“ denkt man meistens sofort an die mitunter lebensrettende „Blut-Transfusion“. Bei vorgestellten Startup wird zwar kein Blut übertragen, sondern Begeisterung für das Thema, Fachwissen und Methoden um die Wirksamkeit der unternehmenseigenen Informationssicherheit zu optimieren. Hr. Schmidt und seine Mitarbeiter wissen, dass der Spruch „Informationssicherheit ist Chefsache“ nicht nur eine Floskel ist, sondern die grundsätzliche Ausrichtung prägt. Die Zeiten, da IT Sicherheit und Informationssicherheit ein Schattendasein prägte sind glücklicherweise vorüber und über die letzten Jahre sind die Investitionen zu Security leicht angestiegen. Aber um eine stabile Sicherheit zu erzielen, muss auch das Security-Management die richtigen Knöpfe drücken. Wobei man sich bei IT-Transfusion nicht scheut, unübliche Wege zu gehen. Wer auf der letzten it-sa (IT Security Arena, Messe Nürnberg) war, dem ist vielleicht sogar Hr. Schmidt aufgefallen, der als „Doktor“, inkl. Arztkittel und Stethoskop auftrat um den Dialog zu forcieren. Auch ein Beispiel dafür, wie man Security an den Mitarbeiter bringt und dessen Aufmerksamkeit im Tagesgeschäft erhält.

Praxis

Parallel zur Kommunikation, Motivation und dem Wissenstransfer, betreibt IT-Transfusion aber auch klassische Security-Aktivitäten. So werden beispielsweise auf Kundenwunsch Penetrationstests durchgeführt, die auch offene Aufgabenstellungen abdecken, wie: „Was kann ein Angreifer aus dem Internet erreichen“. Auch hier steht wieder der „Mensch und Kunde im Mittelpunkt. Die Ergebnisse sollen nicht nur ein schwarzweißes Bild liefern, wie gut oder schlecht eine Absicherung ist, sondern nachhaltig und überprüfbar die Stärken und Schwächen aufzeigen. Während bei klassischen Pentests bevorzugt die Technik analysiert wird, untersucht und dokumentiert IT-Transfusion auch die Reaktion, Arbeiten und Möglichkeiten der Mitarbeiter. Alle Einzelheiten werden dabei plakativ dokumentiert und leicht nachvollziehbar mit Beispielen versehen. Erklärungen und Hintergründe werden mitgeliefert als Beleg des transparenten Tests und zur Weiterbildung für die internen Kräfte.

Gerade die Stärken des Systems werden betont, um so die internen Kräfte dokumentiert in Ihrem Handeln zu fördern und für andere Interne darzustellen, anstatt einer "Rosinenpickerei" nach Schwachstellen, die es sicherlich überall zu finden gibt. Denn Ziel ist es, die IT-Security und Informationssicherheit zu verbessern – dies gelingt besser, wenn die Mitarbeiter sich mit den Zielen identifizieren können und auch wissen, was bisher gut oder schlecht lief.

Ergänzendes zum Thema
 
Security-Startups gesucht!

Zusammenfassung

IT-Transfusion versucht die Belastungen und Aufwendungen für die Mitarbeiter und das Unternehmen zu minimieren und gleichzeitig das Sicherheitslevel zu maximieren. Zentrales Element ist dabei immer die Kommunikation und die Motivation. Matthias Schmidt und Kollegen wollen das Verständnis für die Anläufe, die sich daraus ergebenden Einschränkungen und den WIR-Gedanken fördern. Denn wenn im Unternehmen alle bzgl. Sicherheit an einem Strang ziehen, lässt sich mehr erreichen, als wenn die Teams aus Management, Security, Mitarbeiter und IT in unterschiedliche Richtungen streben.

IT-Transfusion auf einen Blick
Name IT-Transfusion
Webseite https://www.it-transfusion.de/
Geschäftsform Einzelunternehmen
Standort 13351 Berlin
Gründungszeitpunkt 2015
Geschäftsführer Matthias Schmidt
Anzahl Mitarbeiter 5
Security-Sparte Security-Beratung für das Management und Optimierung der unternehmenseigenen Informationssicherheit
Produkt ---
Innovation Beratung und Engagement für das TOP-Management bzgl. Informationssicherheit. Ermutigen von Mitarbeitern durch Bestätigung der Fähigkeiten und Ausbau der Potentiale. Kein Produktvertrieb um objektiv mit Kunden und Herstellern arbeiten zu können.
Unternehmens-Blog Nein
Investitionen möglich N/A
Startfinanzierung / Umsatz letztes Jahr N/A

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45362955 / Security-Startups)