IT-Notfallplanung und die “Kopf-in-den-Sand-Strategie” im deutschen Mittelstand – im Interview mit Frank Wassong, Geschäftsführer von CertMobile

frank wassong foto.256x256CertMobile ist Berater und Integrationspartner für die softwaregestützte Einführung von IT-Notfallplanung, Informationssicherheit und Datenschutz. Der Geschäftsführer und Gründer des Unternehmens, Frank Wassong, ist Informationssicherheits-Auditor und Datenschutzbeauftragter mit langjähriger Erfahrung aus Projekten zu IT-Notfallplanung, Risikomanagement und Informationssicherheit. Das Unternehmen begleitet Kunden bei der Planung, Koordination und Steuerung aller damit erforderlichen Maßnahmen. Im Interview mit Frank Wassong sprechen wir heute über IT-Notfallplanung, Informationssicherheit und den aktuellen Stand zum Thema Datenschutz im deutschen Mittelstand.

DFC: Herr Wassong, beginnen wir vielleicht einmal mit dem Thema, das viele IT-Administratoren, Geschäftsführer und Verantwortliche im Unternehmen auch heute noch beschäftigt und die Prozesse in den Unternehmen kräftig durcheinandergewirbelt hat. Seit dem 25.05.2018 ist nun die neue DSGVO aktiv und damit auch Rechtsgrundlage. Was hat sich Ihrer Meinung nach bei den Unternehmen, mit denen sie zu tun haben, maßgeblich verändert?

Frank Wassong: Obwohl der Stichtag der DSGVO nunmehr einige Monate zurückliegt, sind zahlreiche Unternehmen noch immer verunsichert. Aktuelle Studien zeigen, dass weniger als 26 % aller Unternehmen in Deutschland ihre Prozesse der DSGVO entsprechend angepasst haben. Nur 40 % haben überhaupt begonnen, sich ausführlich mit dem Thema Datenschutz auseinanderzusetzen. Der Handlungsdruck steigt jedoch, weshalb immer mehr Unternehmen aktiv werden und die erforderlichen Maßnahmen ergreifen, um die Anforderungen der DSGVO zu erfüllen. Dies geschieht jedoch weniger aus der Überzeugung heraus, sämtliche personenbezogene – und somit auch die eigenen – Daten zu schützen, sondern aus der Angst vor den drohenden Strafen bei Nichteinhaltung. In den Medien wurde bereits über erste Abmahnungen berichtet.

DFC: Wie konnten Sie als Datenschützer Ihre Kunden auf dem Weg optimal begleiten und unterstützen? Viel wichtiger noch, welche Aufgaben sind jetzt bei den meisten Kunden noch zu erledigen?

Frank Wassong: Wir begleiten den Kunden beim Aufbau seines Datenschutzmanagementsystems und/oder werden für ihn als externer Datenschutzbeauftragter tätig. In beiden Fällen setzen wir auf die Softwarelösungen unseres Partners CONTECHNET. Diese dienen als Basis für die Dokumentation des Datenschutzsystems von Unternehmen. Das Thema Datenschutz wurde in der Vergangenheit häufig vernachlässigt. Deshalb stehen die meisten Unternehmen noch ganz am Anfang. Es ist nicht so, dass in der Vergangenheit überhaupt kein Datenschutz betrieben wurde, jedoch stellen wir immer wieder große Lücken bei der Dokumentation der Daten fest. Daher gilt es, diese Lücken schnellstmöglich zu schließen.

DFC: Die Bedrohungslage für gerade gut aufgestellte mittelständische Unternehmen hat auch in den letzten Monaten noch einmal drastisch zugenommen. Gerade die Tatsache, dass erfolgreiche Unternehmen auch spannende Daten haben, macht sie wahrscheinlich in den Augen der Angreifer besonders attraktiv. Erpressungen sind fast an der Tagesordnung. Was beobachten Sie am Markt im Moment als die gefährlichste Bedrohung für KMUs, aber auch Konzerne?

Frank Wassong: Bedrohungen von außerhalb sind die eine Sache; sie lassen sich mit geeigneten Maßnahmen weitgehend beherrschen. Aufgrund fehlender Sensibilisierung zum Thema IT-Sicherheit kommt die größte Gefahr jedoch oftmals von innen und sitzt ca. 40-50 cm vor dem Monitor: die eigenen Mitarbeiter. Die Technik erleichtert unser Leben und insbesondere unseren Berufsalltag in nahezu allen Bereichen. Leider benötigt die Technik dafür Freiheiten, wobei die Sicherheit unserer Daten nur eingeschränkt oder mit erheblichen Aufwänden gegeben ist. Aber wir sind es aus unserem privaten Umfeld so gewohnt: Hier ein paar Bilder in der Cloud, da mal schnell ein Dokument unverschlüsselt per E-Mail oder auf einem USB-Stick weitergeben. Die Herausforderung besteht deshalb darin, alle Beteiligten so zu sensibilisieren, dass für sie die IT-Sicherheit an ihrem Arbeitsplatz an erster Stelle steht. Das gilt nicht nur für große Konzerne, sondern auch für KMUs.

DFC: Ein Patentrezept für die ultimative Sicherheit im Unternehmen gibt es sicherlich nicht. Können Sie uns dennoch die drei vielleicht wichtigsten Erfolgsfaktoren für eine gute Informationssicherheit im Unternehmen nennen?

Frank Wassong: Prozesse müssen erstellt, implementiert, kommuniziert, überwacht und stetig verbessert werden. Die Mitarbeiter und vor allem die Verantwortlichen müssen ein Bewusstsein für die Werte ihres Unternehmens erlangen und sich verpflichtet fühlen, diese zu schützen. Dies erreicht man mit Hilfe eines passenden Schulungs- und Sensibilisierungskonzepts. Anfangen lautet die Devise. Es sollte nicht als lästige Notwendigkeit angesehen werden, sondern als wichtige Investition für die Zukunft. Die Verantwortlichen können sich einen erfahrenen Experten mit ins Boot holen, der sie im Vorfeld ausführlich berät und während des gesamten Umsetzungsprozesses unterstützend zur Seite steht.

DFC: Kommen wir vielleicht jetzt noch einmal zu einem Bereich, der von vielen Geschäftsführern auch heute noch nicht mit der nötigen Ernsthaftigkeit betrachtet wird: die Notfallplanung. Was verstehen Sie und Ihr Team unter einer guten Notfallplanung, und warum ist es so wichtig, dass sich die Geschäftsführung persönlich darum kümmert?

Frank Wassong: Unternehmen entwickeln sich stetig weiter und wachsen häufig mit der Zeit. Damit ändern sich auch die Infrastruktur, die Anforderungen sowie mögliche Gefahren. Immer wieder müssen die Beteiligten auf plötzlich eintretende und unvorhersehbare Ereignisse reagieren. Aus diesem Grund sehen sie keine Notwendigkeit darin, dieses Verhalten zu ändern.

Hinzu kommt, dass IT-Notfallplanung eher als Hürde anstatt als Chance gesehen wird. Gerne wird dann das Thema an die IT-Abteilung abgeschoben, „weil es sich ja sowieso nur um Technik handelt“.
Hier ist ein Umdenken unbedingt erforderlich. Eine IT-Notfallplanung verschafft den Verantwortlichen einen genauen Überblick über die Technik in einem bestimmten Bereich, über Services oder die Betriebsprozesse (Logistik, Produktion etc.) und wie lange es dauert, diese im Ernstfall wiederherzustellen. Nach der Ist-Aufnahme wissen sie, wie leistungsfähig die Infrastruktur inkl. IT und Dienstleister ist. Aber was nützt dieses Wissen, wenn die Anforderungen nicht eindeutig festgelegt sind? Die Anforderungen gibt das Business bzw. die Geschäftsleitung vor: Welche Bereiche sind für das Unternehmen kritisch? Wo entstehen Verluste? Wie kann man sich schützen? Mit einer Business Impact Analysis (BIA) werden die Geschäftsbereiche aufgenommen sowie finanzielle Auswirkungen und rechtliche Auflagen ermittelt, um somit die unternehmenskritischen Bereiche zu bestimmen. Ohne die Unterstützung der Geschäftsleitung ist dieses Prozedere aussichtslos. IT-Notfallplanung, Informationssicherheit und Datenschutz sind und bleiben Chefsache!

DFC: Zu guter Letzt würde ich gerne noch Ihre persönliche Einschätzung zur zukünftigen Sicherheitslage der IT in den Unternehmen abfragen. Wenn Sie zum Beispiel an IoT denken und die damit verbundene schier unbegrenzte Anzahl von Computern im Netz, wie wird sich das Ganze in Zukunft entwickeln?

Frank Wassong: IoT stellt die firmeninterne IT-Infrastruktur und sämtliche Unternehmensprozesse vor neue Herausforderungen. Wir alle werden sensibler mit unseren Daten umgehen müssen, um weiterhin deren Schutz gewährleisten zu können. Wir werden auf Bequemlichkeiten verzichten müssen, weil wir nicht mehr in der Lage sind, das tatsächliche Ausmaß der Gefährdungen einzuschätzen. Wie bereits erwähnt, ist die Gefahr durch Einschleppung wesentlich höher als durch das Eindringen von außen. Die flächendeckende Sensibilisierung im Umgang mit personenbezogenen Daten und vertraulichen Informationswerten ist daher die Hauptaufgabe der Informationssicherheit und des Datenschutzes. Es muss das

Bewusstsein für diese Aufgabe geschaffen werden. Bei materiellen Werten wie einem teuren Auto oder einer Hightech-Maschine haben wir das schon lange. Jetzt ist es an der Zeit, dieses Bewusstsein zu erweitern.

DFC: Noch eine Frage zum Namen Ihres Unternehmens. Warum heißt Ihr Unternehmen CertMobile? Liegt ein Schwerpunkt auch auf der mobilen Berücksichtigung der IT-Sicherheit?

Frank Wassong: Das hat einen historischen Hintergrund. Ich habe mein Unternehmen 2001 gegründet. Unser Hauptgeschäftsfeld war die Durchführung von Prüfungen für IT-Hersteller-Zertifizierungen. Anders als stationäre Testcenter haben wir diese Prüfungen auf Veranstaltungen, Messen oder beim Kunden vor Ort durchgeführt. Daher stammt auch der Name CertMobile, wobei Cert für Certified steht und Mobile – selbsterklärend – für die Mobilität. Das liegt alles schon weit zurück, jedoch haben die Regularien der Testprovider und die ständig wechselnden Einsatzorte bereits damals ganz besondere Anforderungen an die Sicherheit und damit auch an uns als IT-Dienstleister gestellt.

DFC: Herzlichen Dank für das informative Gespräch. Ich wünsche Ihnen auf dem Digital FUTUREcongress in Essen viel Erfolg und gute Gespräche.

Das Interview führte Michael Mattis Geschäftsführer und Veranstalter des DIGITAL FUTUREcongress.

Facebook Button 2

Sie finden die CertMobile am 08.11.2018 am Stand D15 in Essen.

www.certmobile.de

Kontakt aufnehmen

AMC Media Network GmbH & Co. KG 

Donnersbergring 42

64295 Darmstadt

telefon

Tel:  +49 (0) 6151 – 957 577 -0
Fax:  +49 (0) 6151 – 957 577 -9

email post

Mail:office@amc-media-network.de

Web:www.amc-media-network.de

Sie erreichen uns...

während unserer Bürozeiten 

  • Mo-Fr: 9:00 Uhr - 17:00 Uhr 
  • Samstag und Sonntag ist das Büro geschlossen