Das von Bechtle entwickelte B-Hard Security Assessment bietet hierfür eine schnelle, pragmatische und dennoch maßgeschneiderte Lösung, die sowohl für mittelständische Unternehmen als auch für den öffentlichen Sektor optimiert ist. Erfahren Sie im Interview mit Khaled Kourouche, IT-Leiter bei der Varelmann Beratungsgesellschaft mbH, wie B-Hard die IT-Sicherheit im Unternehmen verbessert hat.
Wir haben uns überlegt, wie wir mit möglichst wenig Aufwand möglichst schnell unser Sicherheitsniveau erhöhen können. Für uns war es schwierig, konkrete und strukturierte Schritte dafür zu identifizieren. Wir arbeiten seit einiger Zeit eng mit Bechtle zusammen und haben hier B-Hard vorgestellt bekommen – und ehrlich gesagt hatten wir zunächst Bedenken. Da wir viele IT-Dienstleistungen über Bechtle beziehen, fragten wir uns, ob B-Hard dann wirklich objektiv sein kann: Schließlich hatte Bechtle alles selbst eingerichtet. Am Ende haben wir uns doch für das Security Assessment entschieden, aber zusammen mit unserem eigenen Informationssicherheitsbeauftragten. So hatten wir die gewünschte Neutralität und das sichere Gefühl, dass das Verfahren objektiv geprüft wird.
Im Nachhinein muss ich sagen: Nein. Denn letztlich wurden Instrumente eingesetzt, die unabhängig und damit sehr objektiv gearbeitet haben. Die Ergebnisse waren entsprechend detailliert und haben uns einen sehr tiefen Einblick in den Status quo und Verbesserungspotenziale gegeben.
Da Bechtle unsere Infrastruktur sehr gut kannte, konnten wir direkt einsteigen und mein Kollege und ich brauchten wenig Vorbereitungszeit. Zum einen haben die Tools ihren Job gemacht. Die beiden Tage des Assessments waren aber auch für uns sehr intensiv: Wir wussten zwar, welche Fragen in Richtung organisatorische Sicherheit grob gestellt werden würden, aber auf die Tiefe der Fragen waren wir nicht vorbereitet. So wurden Themen aufgeworfen, die uns so detailliert noch nicht bewusst waren und bei denen wir sofort Verbesserungspotenzial erkannten.
Der Aha-Moment war definitiv die grafische Darstellung der Ergebnisse. Es ist etwas anderes, über theoretische Risiken zu sprechen, als diese visualisiert vor Augen geführt zu bekommen. Die Berichte und Analysen direkt aus den Tools, ergänzt durch die Empfehlungen des BSI, haben es uns ermöglicht, schnelle und fundierte Entscheidungen zu treffen. Der detaillierte Abschlussbericht, den wir eineinhalb Monate später von Bechtle erhielten, enthielt zudem Arbeitspakete, die uns einen klaren Fahrplan für die nächsten Schritte lieferten.
Nach dem Assessment haben wir uns auf die umsetzbaren Empfehlungen konzentriert, die wir relativ einfach angehen konnten. Diese „low hanging fruits“ haben wir fast vollständig in Unterstützung mit dem Bechtle Service Desk abgearbeitet. Jetzt stehen komplexere Themen an, die wir systematisch und in enger Zusammenarbeit mit Bechtle angehen werden – einen strukturierten Projektplan dafür haben wir bereits erstellt.
Security an sich ist ein sperriges und komplexes Thema. Zum einen war es für uns schwer nachvollziehbar, wie wir die zusätzliche Sicherheit hinter den einzelnen Aufwänden berechnen können. Damit meine ich Fragen wie: Wenn wir dieses Thema angehen, wie viel mehr Sicherheit haben wir am Ende? Was genau ist der Mehrwert? Es hat uns geholfen, dass wir eine IT-Vision haben, die wir auch als Grundlage für das Thema IT-Security nutzen können. So haben wir abgewogen, welche konkreten Maßnahmen zu welchem Zeitpunkt für uns Sinn machen. Letztlich weiß aber niemand, wo genau der nächste Angriff stattfindet – deshalb ist ein strategischer Ansatz so wichtig.
Ja, ich würde es auf jeden Fall weiterempfehlen. Wir überlegen auch gerade, B-Hard in einer abgespeckten Version in ein paar Monaten noch einmal in unserem Unternehmen durchzuführen. So wollen wir überprüfen, wie sich unser Sicherheitsniveau durch die umgesetzten Maßnahmen erhöht hat.
