:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Startups im Blickpunkt: IT-Transfusion Frisches Wissen für die Informationssicherheit!
IT-Sicherheit wird von vielen Unternehmen nur als Checkliste gesehen, bei der die Sicherheit von Hard- und Software geprüft und abgehakt wird. Dabei lassen sich viele Sicherheitsrisiken oft schon dadurch beseitigen, dass man von außen einen neutralen Blick auf bestehende Abläufe wirft und dann Impulse für sicherere Prozesse gibt.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Informationssicherheit ist eine Weiterentwicklung der traditionellen IT-Sicherheit, also der Sicherheit von Hard- und Software-Komponenten. Aber wie steht es um die Leute hinter der Security? Diese sind oft in ihren Alltagsaufgaben so verwurzelt, dass es unmöglich scheint, alte Pfade zu verlassen und die IT Sicherheit besser zu implementieren. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen. Das Berliner Startup IT-Transfusion agiert im Spannungsfeld zwischen Security-Ansprüchen und betrieblicher Realität mit dem Ziel, Mitarbeiter möglichst gering mit dem Thema IT-Sicherheit zu belasten. Auf die Frage nach dem wie, hat IT-Transfusion klare Statements!
- Rückkehr zu einfachen Standards!
- Überzeugung der Mitarbeiter durch prüfbare Logik und nicht Einschüchterung.
- Der "Schuh" Sicherheit muss den Unternehmen passen und nicht anders herum.
- Stark in der Vorbereitung, einfach in der Anwendung.
:quality(80)/images.vogel.de/vogelonline/bdb/1416400/1416493/original.jpg "Vortrag Matthias Schmidt auf der ITSA 2017.")
:quality(80)/images.vogel.de/vogelonline/bdb/1416400/1416494/original.jpg "Passwörter leicht ausgedacht; Spielerische Wissensvermittlung durch IT Transfusion.")
:quality(80)/images.vogel.de/vogelonline/bdb/1416400/1416495/original.jpg "Das „Matroschka-Prinzip“ der IT-Security (Probleme gliedern und Zusammenhänge betrachten).")
:quality(80)/images.vogel.de/vogelonline/bdb/1416400/1416496/original.jpg "Die diversen Aktivitäten, um einen Pentest auszuführen.")
IT-Transfusion arbeitet exklusiv für Unternehmen und supportet hier primär den CISO, CIO und CEO, um vom Management herab die Informationssicherheit zu optimieren und verstärken. Dies ist keine leichte Aufgabe, denn das Management ist gegenüber dem Shareholder und Aktionär verantwortlich und Entscheidung für Investitionen, technische Kurswechsel und neue Arbeitsabläufe sind immer mit Risiken verbunden.
Risikolandschaft
Ziel von IT-Transfusion ist es, die Informationssicherheit zu verbessen – mehr Sicherheit zu ermöglichen für das Unternehmen, das im stetigen Wettbewerb steht und die vorhandenen Ressourcen bestmöglich einzusetzen. Wie schnell ein Security-Management Fehlentscheidungen treffen kann, ist aus der Fach- und Boulevard-Presse hinlänglich bekannt.
Firmen, die Datendiebstähle verschweigen, sich von Cyberkriminellen erpressen lassen oder auf eine überalterte IT-Lösung vertrauen sind dabei die Spitze des Eisbergs. Unter der Wasserlinie verbergen sich zahlreiche andere Risiken, wie:
- Eine sich verändernde (internationale) Gesetzgebung
- Frustrierte Mitarbeiter, für die Informationssicherheit (überwiegend) ein Hindernis ist
- Mangelndes Bewusstsein für den Wert der Unternehmensdaten und einer funktionierenden Informationssicherheit
- Falsche Schwerpunkte in der Budget-Vergabe (Weiterbildung brauchen wir nicht, die Tools sind selbsterklärend)
- Betrieb von IT Security analog zu anderen IT-Komponenten ohne spezifische Bevorzugung
Informationssicherheit war mal leicht, vor Jahrzehnten, als man Computerviren an zwei Händen abzählen konnte und Hacker sich per Debugger Infos verschafften. Heute ist es anders – komplizierter! Vermutlich auch deshalb, da man bei genauerem Betrachten feststellt, dass der erste Blick oft täuschte und ein Internet alles verbindet in der IT-Welt, im Guten wie im Schlechten.
IT-Transfusion setzt genau an diesem gordischen Knoten an und will zusammen mit dem Unternehmen den Knoten lösen oder zumindest um einige Schlingen, Schlaufen, Knoten und Verflechtungen reduzieren. Als externer Dienstleister können unternehmensinterne Befindlichkeiten, wie Abteilungsgrenzen respektiert werden ohne das Ziel zu gefährden. Denn mit einem „Fremden“ arbeite es sich mitunter viel einfacher zusammen als mit konkurrierenden Abteilungen. Viele kleine Ärgernisse, löst sich auch bei einem vertrauensvollen und offenen Gespräch mit einem neutralen Mediator.
Mitunter sind es kleine Fehler und Unachtsamkeiten, die ein großes Risiko darstellen, welches sich mit geringem Aufwand reduzieren lässt. Beispielsweise eine unglückliche Themenzuordnung von Mitarbeitern zu Security-Themen. Security-Admins sind oft fähige Allrounder, die ein breites Basiswissen haben, aber sie haben auch einen thematischen Schwerpunkt. Wer über Jahre SPAM- und Phishing-Themen bearbeitet hat, benötigt für das Firewall-Umfeld authentische Unterstützung um effektiv zu agieren, sonst könnte das unter Umständen neben negativen Folgen auch die persönliche Frustration aufbauen.
Optimierungsmaßnahmen
IT-Transfusion kennt die Problemstellungen im Security-Umfeld, durch die Aktivitäten bei Unternehmen verschiedener Größenordnung. Eines haben die Unternehmen aber alle Unternehmen gemeinsam. Eine (ungeschriebene) Kommunikationsordnung, wer mit wem, wie, über was sprechen darf. Der Security-Admin wird sehr selten dem CIO oder CISO sagen wo nach seiner Meinung ein Security-Missmanagement existiert. Aber er wird es einem Mitarbeiter von IT-Transfusion erzählen, der auf gleicher Ebene mit ihm spricht. Der die Problemstellungen bei einem Firewall-System kennt, der weiß was von Next-Gen-Tools zu halten ist und welche Mehrkosten durch neuen Security-Prozesse entstehen. Diese vertrauensvolle Kommunikation erfolgt nicht gegen den Mitarbeiter, sondern bewusst für das Unternehmen, denn Experten wissen viel – man hört sie nur zu selten. IT-Transfusion sammelt so wiederkehrende Themen, die unter Umständen im Unternehmen bereits bekannt sind, bündelt diese Anonym und gibt die Erkenntnisse als Handlungsempfehlungen, an das TOP-Management weiter. Man kann dies als ein positives, internes Whistleblowing für sicherheitskritische Entwicklungen betrachten.
Gemeinsam werden diese dann priorisiert und mit Lösungsempfehlungen adressiert. IT-Transfusion agiert hier nach dem Motto „Hilfe zur Selbsthilfe“, denn oft ist bereits viel Wissen im Unternehmen vorhanden, welches man „nur“ abrufen muß. IT-Transfusion arbeitet zwar für das Management, aber agiert im gesamten Unternehmen, denn nur wenn alle Abteilungen und Service-Partner gemeinsam handeln wird die Informationssicherheit funktionieren. Wobei IT-Transfusion offen die Rolle einnimmt und dies an den Mitarbeiter auch kommuniziert – denn Offenheit und Vertraulichkeit gehört auch zu Informationssicherheit.
Mitarbeiter wieder einzufangen und zu bestätigen, indem man ihnen Gehör gibt, Probleme beseitigt und bessere Lösungen implementiert, das ist ein Teil der Dienstleistung von IT-Transfusion. Aber auch, die komprimierte Informationsdarstellung gehört dazu. Ein CISO kann sicher einige Tage damit verbringen, sich anzulesen, ob das Thema Blockchain für das Unternehmen oder die Security ein Handlungsfeld ist – er kann aber auch stattdessen zusammen mit den Experten von IT-Transfusion das Thema in einer Stunde aufbereiten und adressieren. Die Mitarbeiter von IT-Transfusion sehen sich auch als Vermittler von Wissen und geben die neuesten Trends und Konzepte an die Unternehmen weiter, damit dem CISO mehr Alternativen bleiben als das altbekannte: „Das haben wir schon immer so gemacht!“
Transfusion
Bei dem Begriff „Transfusion“ denkt man meistens sofort an die mitunter lebensrettende „Blut-Transfusion“. Bei vorgestellten Startup wird zwar kein Blut übertragen, sondern Begeisterung für das Thema, Fachwissen und Methoden um die Wirksamkeit der unternehmenseigenen Informationssicherheit zu optimieren. Hr. Schmidt und seine Mitarbeiter wissen, dass der Spruch „Informationssicherheit ist Chefsache“ nicht nur eine Floskel ist, sondern die grundsätzliche Ausrichtung prägt. Die Zeiten, da IT Sicherheit und Informationssicherheit ein Schattendasein prägte sind glücklicherweise vorüber und über die letzten Jahre sind die Investitionen zu Security leicht angestiegen. Aber um eine stabile Sicherheit zu erzielen, muss auch das Security-Management die richtigen Knöpfe drücken. Wobei man sich bei IT-Transfusion nicht scheut, unübliche Wege zu gehen. Wer auf der letzten it-sa (IT Security Arena, Messe Nürnberg) war, dem ist vielleicht sogar Hr. Schmidt aufgefallen, der als „Doktor“, inkl. Arztkittel und Stethoskop auftrat um den Dialog zu forcieren. Auch ein Beispiel dafür, wie man Security an den Mitarbeiter bringt und dessen Aufmerksamkeit im Tagesgeschäft erhält.
Praxis
Parallel zur Kommunikation, Motivation und dem Wissenstransfer, betreibt IT-Transfusion aber auch klassische Security-Aktivitäten. So werden beispielsweise auf Kundenwunsch Penetrationstests durchgeführt, die auch offene Aufgabenstellungen abdecken, wie: „Was kann ein Angreifer aus dem Internet erreichen“. Auch hier steht wieder der „Mensch und Kunde im Mittelpunkt. Die Ergebnisse sollen nicht nur ein schwarzweißes Bild liefern, wie gut oder schlecht eine Absicherung ist, sondern nachhaltig und überprüfbar die Stärken und Schwächen aufzeigen. Während bei klassischen Pentests bevorzugt die Technik analysiert wird, untersucht und dokumentiert IT-Transfusion auch die Reaktion, Arbeiten und Möglichkeiten der Mitarbeiter. Alle Einzelheiten werden dabei plakativ dokumentiert und leicht nachvollziehbar mit Beispielen versehen. Erklärungen und Hintergründe werden mitgeliefert als Beleg des transparenten Tests und zur Weiterbildung für die internen Kräfte.
Gerade die Stärken des Systems werden betont, um so die internen Kräfte dokumentiert in Ihrem Handeln zu fördern und für andere Interne darzustellen, anstatt einer "Rosinenpickerei" nach Schwachstellen, die es sicherlich überall zu finden gibt. Denn Ziel ist es, die IT-Security und Informationssicherheit zu verbessern – dies gelingt besser, wenn die Mitarbeiter sich mit den Zielen identifizieren können und auch wissen, was bisher gut oder schlecht lief.
Zusammenfassung
IT-Transfusion versucht die Belastungen und Aufwendungen für die Mitarbeiter und das Unternehmen zu minimieren und gleichzeitig das Sicherheitslevel zu maximieren. Zentrales Element ist dabei immer die Kommunikation und die Motivation. Matthias Schmidt und Kollegen wollen das Verständnis für die Anläufe, die sich daraus ergebenden Einschränkungen und den WIR-Gedanken fördern. Denn wenn im Unternehmen alle bzgl. Sicherheit an einem Strang ziehen, lässt sich mehr erreichen, als wenn die Teams aus Management, Security, Mitarbeiter und IT in unterschiedliche Richtungen streben.
| IT-Transfusion auf einen Blick | |
|---|---|
| Name | IT-Transfusion |
| Webseite | https://www.it-transfusion.de/ |
| Geschäftsform | Einzelunternehmen |
| Standort | 13351 Berlin |
| Gründungszeitpunkt | 2015 |
| Geschäftsführer | Matthias Schmidt |
| Anzahl Mitarbeiter | 5 |
| Security-Sparte | Security-Beratung für das Management und Optimierung der unternehmenseigenen Informationssicherheit |
| Produkt | --- |
| Innovation | Beratung und Engagement für das TOP-Management bzgl. Informationssicherheit. Ermutigen von Mitarbeitern durch Bestätigung der Fähigkeiten und Ausbau der Potentiale. Kein Produktvertrieb um objektiv mit Kunden und Herstellern arbeiten zu können. |
| Unternehmens-Blog | Nein |
| Investitionen möglich | N/A |
| Startfinanzierung / Umsatz letztes Jahr | N/A |
(ID:45362955)
:quality(80)/p7i.vogel.de/wcms/17/ae/17ae1ffb3a7a56ba5ef0a7ffcdd67932/0110251928.jpeg "Wir diskutieren unter anderem vielfältige Vorzüge virtueller CISOs. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")