Suchen

Security-Startups im Blickpunkt: IT-Transfusion Frisches Wissen für die Informations­sicherheit!

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

IT-Sicherheit wird von vielen Unternehmen nur als Checkliste gesehen, bei der die Sicherheit von Hard- und Software geprüft und abgehakt wird. Dabei lassen sich viele Sicherheitsrisiken oft schon dadurch beseitigen, dass man von außen einen neutralen Blick auf bestehende Abläufe wirft und dann Impulse für sicherere Prozesse gibt.

Firma zum Thema

IT-Transfusion berät in Unternehmen primär den CISO, CIO und CEO zur Informationssicherheit, um vom Management herab das die Security zu optimieren und zu verstärken.
IT-Transfusion berät in Unternehmen primär den CISO, CIO und CEO zur Informationssicherheit, um vom Management herab das die Security zu optimieren und zu verstärken.
(© Ingo Bartussek - stock.adobe.com)

Informationssicherheit ist eine Weiterentwicklung der traditionellen IT-Sicherheit, also der Sicherheit von Hard- und Software-Komponenten. Aber wie steht es um die Leute hinter der Security? Diese sind oft in ihren Alltagsaufgaben so verwurzelt, dass es unmöglich scheint, alte Pfade zu verlassen und die IT Sicherheit besser zu implementieren. In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen. Das Berliner Startup IT-Transfusion agiert im Spannungsfeld zwischen Security-Ansprüchen und betrieblicher Realität mit dem Ziel, Mitarbeiter möglichst gering mit dem Thema IT-Sicherheit zu belasten. Auf die Frage nach dem wie, hat IT-Transfusion klare Statements!

  • Rückkehr zu einfachen Standards!
  • Überzeugung der Mitarbeiter durch prüfbare Logik und nicht Einschüchterung.
  • Der "Schuh" Sicherheit muss den Unternehmen passen und nicht anders herum.
  • Stark in der Vorbereitung, einfach in der Anwendung.
Bildergalerie
Bildergalerie mit 5 Bildern

IT-Transfusion arbeitet exklusiv für Unternehmen und supportet hier primär den CISO, CIO und CEO, um vom Management herab die Informationssicherheit zu optimieren und verstärken. Dies ist keine leichte Aufgabe, denn das Management ist gegenüber dem Shareholder und Aktionär verantwortlich und Entscheidung für Investitionen, technische Kurswechsel und neue Arbeitsabläufe sind immer mit Risiken verbunden.

Risikolandschaft

Ziel von IT-Transfusion ist es, die Informationssicherheit zu verbessen – mehr Sicherheit zu ermöglichen für das Unternehmen, das im stetigen Wettbewerb steht und die vorhandenen Ressourcen bestmöglich einzusetzen. Wie schnell ein Security-Management Fehlentscheidungen treffen kann, ist aus der Fach- und Boulevard-Presse hinlänglich bekannt.

Firmen, die Datendiebstähle verschweigen, sich von Cyberkriminellen erpressen lassen oder auf eine überalterte IT-Lösung vertrauen sind dabei die Spitze des Eisbergs. Unter der Wasserlinie verbergen sich zahlreiche andere Risiken, wie:

  • Eine sich verändernde (internationale) Gesetzgebung
  • Frustrierte Mitarbeiter, für die Informationssicherheit (überwiegend) ein Hindernis ist
  • Mangelndes Bewusstsein für den Wert der Unternehmensdaten und einer funktionierenden Informationssicherheit
  • Falsche Schwerpunkte in der Budget-Vergabe (Weiterbildung brauchen wir nicht, die Tools sind selbsterklärend)
  • Betrieb von IT Security analog zu anderen IT-Komponenten ohne spezifische Bevorzugung

Informationssicherheit war mal leicht, vor Jahrzehnten, als man Computerviren an zwei Händen abzählen konnte und Hacker sich per Debugger Infos verschafften. Heute ist es anders – komplizierter! Vermutlich auch deshalb, da man bei genauerem Betrachten feststellt, dass der erste Blick oft täuschte und ein Internet alles verbindet in der IT-Welt, im Guten wie im Schlechten.

IT-Transfusion setzt genau an diesem gordischen Knoten an und will zusammen mit dem Unternehmen den Knoten lösen oder zumindest um einige Schlingen, Schlaufen, Knoten und Verflechtungen reduzieren. Als externer Dienstleister können unternehmensinterne Befindlichkeiten, wie Abteilungsgrenzen respektiert werden ohne das Ziel zu gefährden. Denn mit einem „Fremden“ arbeite es sich mitunter viel einfacher zusammen als mit konkurrierenden Abteilungen. Viele kleine Ärgernisse, löst sich auch bei einem vertrauensvollen und offenen Gespräch mit einem neutralen Mediator.

Mitunter sind es kleine Fehler und Unachtsamkeiten, die ein großes Risiko darstellen, welches sich mit geringem Aufwand reduzieren lässt. Beispielsweise eine unglückliche Themenzuordnung von Mitarbeitern zu Security-Themen. Security-Admins sind oft fähige Allrounder, die ein breites Basiswissen haben, aber sie haben auch einen thematischen Schwerpunkt. Wer über Jahre SPAM- und Phishing-Themen bearbeitet hat, benötigt für das Firewall-Umfeld authentische Unterstützung um effektiv zu agieren, sonst könnte das unter Umständen neben negativen Folgen auch die persönliche Frustration aufbauen.

Ergänzendes zum Thema
Im Gespräch mit Matthias Schmidt, Gründer von IT-Transfusion

Security Insider: Herr Schmidt, IT-Transfusion arbeitet explizit für Unternehmen und steht diesen beratend und unterstützend zur Seite. Wo sehen Sie die Vorteile für den Kunden durch Ihre unabhängige Expertise.

Martin Schmidt: Kunden erhalten bei uns nachweislich interessenfreie Verstärkung. Wir haben uns dafür bewusst entschieden um Kunden eine freie Alternative zu bieten. Was wir bei Kunden vorfinden, ist oft aus guten Gründen so eingekauft worden, diese Investition sollte also auch geschützt werden. Da konzentrieren wir uns lieber ausschließlich auf die Funktionalität und wenn etwas hakt, sprechen wir oder der Kunde mit dem Hersteller. So können wir mit Herstellern offen und geradeaus arbeiten, denn auch das sind ja mögliche Kunden.

Security Insider: IT-Transfusion agiert unauffällig. Große Werbe-Kampagnen sieht man nicht – wie entsteht der Kontakt zu Ihren Kunden?

Schmidt: (lacht) Ja da haben Sie recht, zu unauffällig. Der Kontakt zu Kunden entsteht in oft persönlich. Auch weil es ja um ein Thema geht, das bei vielen beliebt sein dürfte wie ein Besuch beim Zahnarzt. Und offen gesagt, Vertrauen in uns ist auch nichts was vom Himmel fällt. Und jetzt wo unser Markenkern steht, haben wird ja die Möglichkeit es zu ändern. Ich hab da schon eine Idee...

Security-Insider: Sie sagen, Sie stellen den Kunden als Gesamtheit in den Mittelpunkt ihre Betrachtung und Unterstützung. Wie schaffen Sie es, als Beratungsfirma aktuell informiert zu bleiben, in dem umfangreichen Themenfeld IT-Sicherheit?

Schmidt: Ich kann recht schnell lesen, außerdem hilft mir (darf ich hier Twitter sagen?) Twitter hilft schon sehr um den ungefilterten Überblick zu behalten. Ansonsten gibt es die technischen Newsletter die ich abonniert habe und dann natürlich die Presse in allen Farben und Formen. Im direkten Austausch mit anderen z.B. auf Konferenzen bekommt das dann jeweils eine eigene Wichtigkeit.

Security Insider: Ist die Security mit einer „Transfusion“ hergestellt, oder kommen die Unternehmen immer wieder mal auf Sie zu, um die aktuelle Richtung zu verifizieren oder im Vorfeld von anstehenden Entscheidungen?

Schmidt: Soweit möglich werden die internen Kräfte von uns ermutigt selbst die Absicherung in die Hand zu nehmen. Manchmal ist das aber von der Arbeitslast nicht möglich, oder es bietet sich nicht an "Wer baut prüft nicht und wer prüft baut nicht". Dann kommen wir ins Spiel und sind des Teufels Anwalt. Da vieles einmalige Fleißarbeit ist, werden unsere Ressourcen gerne eingesetzt um Zeit zu sparen und die eigenen Leute zu entlasten. Bei Workshops hilft uns, dass wir uns nicht nur mit dem Thema an sich, sondern auch auf die verschiedenen Persönlichkeiten einlassen können. Auch hier gilt für uns "Wir passen uns dem Kunden an und nicht den Kunden an uns. Vieles wird mit Bildern und Gegenständen erklärt, das ist nach dem ersten Aha-Effekt leichter verständlich und bleibt deutlich länger präsent.

Optimierungsmaßnahmen

IT-Transfusion kennt die Problemstellungen im Security-Umfeld, durch die Aktivitäten bei Unternehmen verschiedener Größenordnung. Eines haben die Unternehmen aber alle Unternehmen gemeinsam. Eine (ungeschriebene) Kommunikationsordnung, wer mit wem, wie, über was sprechen darf. Der Security-Admin wird sehr selten dem CIO oder CISO sagen wo nach seiner Meinung ein Security-Missmanagement existiert. Aber er wird es einem Mitarbeiter von IT-Transfusion erzählen, der auf gleicher Ebene mit ihm spricht. Der die Problemstellungen bei einem Firewall-System kennt, der weiß was von Next-Gen-Tools zu halten ist und welche Mehrkosten durch neuen Security-Prozesse entstehen. Diese vertrauensvolle Kommunikation erfolgt nicht gegen den Mitarbeiter, sondern bewusst für das Unternehmen, denn Experten wissen viel – man hört sie nur zu selten. IT-Transfusion sammelt so wiederkehrende Themen, die unter Umständen im Unternehmen bereits bekannt sind, bündelt diese Anonym und gibt die Erkenntnisse als Handlungsempfehlungen, an das TOP-Management weiter. Man kann dies als ein positives, internes Whistleblowing für sicherheitskritische Entwicklungen betrachten.

Gemeinsam werden diese dann priorisiert und mit Lösungsempfehlungen adressiert. IT-Transfusion agiert hier nach dem Motto „Hilfe zur Selbsthilfe“, denn oft ist bereits viel Wissen im Unternehmen vorhanden, welches man „nur“ abrufen muß. IT-Transfusion arbeitet zwar für das Management, aber agiert im gesamten Unternehmen, denn nur wenn alle Abteilungen und Service-Partner gemeinsam handeln wird die Informationssicherheit funktionieren. Wobei IT-Transfusion offen die Rolle einnimmt und dies an den Mitarbeiter auch kommuniziert – denn Offenheit und Vertraulichkeit gehört auch zu Informationssicherheit.

Mitarbeiter wieder einzufangen und zu bestätigen, indem man ihnen Gehör gibt, Probleme beseitigt und bessere Lösungen implementiert, das ist ein Teil der Dienstleistung von IT-Transfusion. Aber auch, die komprimierte Informationsdarstellung gehört dazu. Ein CISO kann sicher einige Tage damit verbringen, sich anzulesen, ob das Thema Blockchain für das Unternehmen oder die Security ein Handlungsfeld ist – er kann aber auch stattdessen zusammen mit den Experten von IT-Transfusion das Thema in einer Stunde aufbereiten und adressieren. Die Mitarbeiter von IT-Transfusion sehen sich auch als Vermittler von Wissen und geben die neuesten Trends und Konzepte an die Unternehmen weiter, damit dem CISO mehr Alternativen bleiben als das altbekannte: „Das haben wir schon immer so gemacht!“

Bildergalerie
Bildergalerie mit 5 Bildern

Transfusion

Bei dem Begriff „Transfusion“ denkt man meistens sofort an die mitunter lebensrettende „Blut-Transfusion“. Bei vorgestellten Startup wird zwar kein Blut übertragen, sondern Begeisterung für das Thema, Fachwissen und Methoden um die Wirksamkeit der unternehmenseigenen Informationssicherheit zu optimieren. Hr. Schmidt und seine Mitarbeiter wissen, dass der Spruch „Informationssicherheit ist Chefsache“ nicht nur eine Floskel ist, sondern die grundsätzliche Ausrichtung prägt. Die Zeiten, da IT Sicherheit und Informationssicherheit ein Schattendasein prägte sind glücklicherweise vorüber und über die letzten Jahre sind die Investitionen zu Security leicht angestiegen. Aber um eine stabile Sicherheit zu erzielen, muss auch das Security-Management die richtigen Knöpfe drücken. Wobei man sich bei IT-Transfusion nicht scheut, unübliche Wege zu gehen. Wer auf der letzten it-sa (IT Security Arena, Messe Nürnberg) war, dem ist vielleicht sogar Hr. Schmidt aufgefallen, der als „Doktor“, inkl. Arztkittel und Stethoskop auftrat um den Dialog zu forcieren. Auch ein Beispiel dafür, wie man Security an den Mitarbeiter bringt und dessen Aufmerksamkeit im Tagesgeschäft erhält.

Praxis

Parallel zur Kommunikation, Motivation und dem Wissenstransfer, betreibt IT-Transfusion aber auch klassische Security-Aktivitäten. So werden beispielsweise auf Kundenwunsch Penetrationstests durchgeführt, die auch offene Aufgabenstellungen abdecken, wie: „Was kann ein Angreifer aus dem Internet erreichen“. Auch hier steht wieder der „Mensch und Kunde im Mittelpunkt. Die Ergebnisse sollen nicht nur ein schwarzweißes Bild liefern, wie gut oder schlecht eine Absicherung ist, sondern nachhaltig und überprüfbar die Stärken und Schwächen aufzeigen. Während bei klassischen Pentests bevorzugt die Technik analysiert wird, untersucht und dokumentiert IT-Transfusion auch die Reaktion, Arbeiten und Möglichkeiten der Mitarbeiter. Alle Einzelheiten werden dabei plakativ dokumentiert und leicht nachvollziehbar mit Beispielen versehen. Erklärungen und Hintergründe werden mitgeliefert als Beleg des transparenten Tests und zur Weiterbildung für die internen Kräfte.

Gerade die Stärken des Systems werden betont, um so die internen Kräfte dokumentiert in Ihrem Handeln zu fördern und für andere Interne darzustellen, anstatt einer "Rosinenpickerei" nach Schwachstellen, die es sicherlich überall zu finden gibt. Denn Ziel ist es, die IT-Security und Informationssicherheit zu verbessern – dies gelingt besser, wenn die Mitarbeiter sich mit den Zielen identifizieren können und auch wissen, was bisher gut oder schlecht lief.

Ergänzendes zum Thema
Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Zusammenfassung

IT-Transfusion versucht die Belastungen und Aufwendungen für die Mitarbeiter und das Unternehmen zu minimieren und gleichzeitig das Sicherheitslevel zu maximieren. Zentrales Element ist dabei immer die Kommunikation und die Motivation. Matthias Schmidt und Kollegen wollen das Verständnis für die Anläufe, die sich daraus ergebenden Einschränkungen und den WIR-Gedanken fördern. Denn wenn im Unternehmen alle bzgl. Sicherheit an einem Strang ziehen, lässt sich mehr erreichen, als wenn die Teams aus Management, Security, Mitarbeiter und IT in unterschiedliche Richtungen streben.

Bildergalerie
Bildergalerie mit 5 Bildern
IT-Transfusion auf einen Blick
Name IT-Transfusion
Webseite https://www.it-transfusion.de/
Geschäftsform Einzelunternehmen
Standort 13351 Berlin
Gründungszeitpunkt 2015
Geschäftsführer Matthias Schmidt
Anzahl Mitarbeiter 5
Security-Sparte Security-Beratung für das Management und Optimierung der unternehmenseigenen Informationssicherheit
Produkt ---
Innovation Beratung und Engagement für das TOP-Management bzgl. Informationssicherheit. Ermutigen von Mitarbeitern durch Bestätigung der Fähigkeiten und Ausbau der Potentiale. Kein Produktvertrieb um objektiv mit Kunden und Herstellern arbeiten zu können.
Unternehmens-Blog Nein
Investitionen möglich N/A
Startfinanzierung / Umsatz letztes Jahr N/A

(ID:45362955)

Über den Autor