cyber-security-gde16d9949_1280.png

IT-Sicherheit

als Voraussetzung für die Digitalisierung von Unternehmensprozessen

Die Digitalisierung von Unternehmensprozessen ohne IT-Sicherheit in etwa so sinnvoll wie für ein Produktionsunternehmen eine neue Hightech-Maschine in einem baufälligen Gewächshaus auf freiem Feld zu betreiben.


Wettbewerber könnten sich in aller Ruhe ein Bild davon machen, welche Produkte für welche Kunden auf welche Art und Weise produziert werden. Eines Tages wäre die wertvolle Maschine dann vielleicht "entführt" und muss gegen ein hohes Lösegeld von irgendwelchen Gangstern zurückgekauft werden.

Ein solches Vorgehen würde Ihnen als Unternehmer sicherlich nie in den Sinn kommen, aber in Bezug auf IT-Sicherheit herrscht in kleineren Unternehmen oft eine Art Vogel-Strauß-Mentalität.

Falls Sie der Meinung sein sollten, IT-Sicherheit ist hauptsächlich ein Thema für größere Unternehmen und IT-Spezialisten, dann empfehle ich, einen Blick auf die Homepage des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu werfen: https://www.bsi.bund.de

Das BSI ist das "Robert-Koch-Institut der IT-Welt" und genau so wie das RKI liefert das BSI neutrale, verläßliche Informationen zur aktuellen Situation und der zu erwartenden Entwicklung in Bezug auf kritische Gefahren für die "IT-Gesundheit". Den Bericht für 2021 "Lage der IT-Sicherheit in Deutschland" finden Sie hier:


https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

 

Pentesting

das gezielte Aufspüren von IT-Sicherheitslücken

Eine der wichtigsten Maßnahmen -  abgesehen von regelmäßigen Software-Updates und dem Einsatz geeigneter IT-Sicherheitstechnologie (Firewall, Virenscanner etc.) - ist das sogenannte Penetration Testing, also das gezielte Aufspüren von Sicherheitslücken in IT-Systemen.

Sie sind gegen Corona geimpft, lassen aber keine Penetration Tests in Ihrer Unternehmens-IT durchführen? Penetration Tests sind für IT-Systeme genauso wertvoll und wichtig wie Corona-Impfungen für den Menschen, weil:

  • bei einem Pentest wird das IT-System gezielt und kontrolliert mit Schadsoftware angegriffen und infiziert. Eventuell vorhandene Sicherheitslücken können damit aufgespürt und geschlossen werden. Spätere "echte" Cyber-Angriffen sind dann in aller Regel mit keinen oder deutlich geringeren Schäden verbunden.

  • Pentests erfolgen nach erprobten Richtlinien und Vorabinformation aller potentiell Betroffenen innerhalb und außerhalb des Unternehmens (z.B. Mitarbeiter und externe IT-Dienstleister) und sind somit mit keinen oder nur geringen Nebenwirkungen verbunden.

  • ein einmaliger Pentest ist sinnvoll, aber erst eine wiederholte Durchführung (eventuell mit einem anderen Impfstoff, sprich Schwerpunkt des Tests) führt zu der gewünschten Immunität gegen Cyber-Angriffe, der sogenannten Cyber Resilience.

  • Corona-Impfungen sind kostenfrei, aber nicht umsonst und sollten nur von geschultem Personal durchgeführt werden. Pentests durch qualifizierte und erfahrene Tester sind ebenfalls mit Kosten verbunden, aber auch hier gibt es Unterstützung durch die öffentliche Hand in Form von Förderprogrammen für die Digitalisierung (z.B. Digital Jetzt, Digitalisierungszuschüsse der Bundesländer).

  • Pentests werden von zahlreichen Richtlinen (z.B. DSGVO) gefordert bzw. sind verpflichtend für eine Zertifizierung (z.B. ISO-27001) und somit die Voraussetzung für bestimmte Kontakte, sprich Geschäftsbeziehung zu anderen Unternehmen. Umgekehrt kann es also sein, dass Ihr Unternehmen gewissen "Kontaktbeschränkungen" zu potentiellen Kunden unterliegt, wenn Sie keine regelmäßigen Pentests durchführen lassen. Insbesondere größere Unternehmen der Automobilindustrie legen Wert darauf, dass auch bei ihren Zulieferern gewisse Mindeststandards im Bereich der IT-Sicherheit eingehalten werden.


Durch Penetration Tests wird was Immunsystem Ihrer IT trainiert. Im Rahmen einer Erstanalyse wird das Gefährdungspotential analysiert und innerhalb der Organisation ein Bewusstsein für potentielle Risiken geschaffen.

Reine Vunerability Scans, also der Einsatz einer Prüfsoftware die offensichtliche Standard-Schwachstellen findet und meldet, hilft ist in etwa so wirkungsvoll gegen einen gezielten Cyberangriff wie die oft beschworenen AHA-Regeln gegen eine Corona-Infektion. Sie sind zwar richtig und notwendig, liefern aber auch nur einen sehr beschränkten Schutz.

Anbieter von Pentests

Penetration Tests werden von zahlreichen, auf dieses Thema spezialisierten Unternehmen angeboten. Hier finden Sie eine Auswahl von relevanten Anbietern:

https://www.offensity.com/de/c/penetrations-tester-deutschland/

Meine persönliche Empfehlung: die Ventum Consulting aus München bietet Penetration Testing auf hohem Niveau zu fairen Konditionen an:


https://cybersecurity.ventum-consulting.com/

 

Förderzuschüsse für Pentests

das gezielte Aufspüren von IT-Sicherheitslücken

Maßnahmen zur Verbesserung der IT-Sicherheit werden durch zahlreiche Förderprogramme zur Digitalisierung unterstützt. Welches Unternehmen hiervon unter welchen Rahmenbedingungen profitieren kann ist allerdings sehr unterschiedlich. So können z.B. Unternehmen in Bayern für Pentests einen Zuschuss über den Digitalbonus Bayern erhalten.


Im Folgenden beantworte ich die wichtigsten Fragen zur Förderung von Pentests über den Digitalbonus Bayern. Weitere Informationen zu diesem Förderprogramm finden Sie hier.

Wer wir gefördert?

Gewerbliche Unternehmen mit Sitz in Bayern sowie weniger als 50 Beschäftigten und einem Umsatz von maximal 10 Mio. €.

Was wird gefördert?
Maßnahmen zur IT-Sicherheit, incl. Penetration Tests mit einer Investitionssumme von 4.000,- bis 20.000,- €.

Wie wird gefördert?
Über einen Zuschuss in Höhe von 50% der förderfähigen Kosten der nach Abschluss der Maßnahme ausgezahlt wird, d.h. der Zuschuss beträgt abhängig von den getätigten Ausgaben zwischen 2.000,- und 10.000,- €.

Wie beantrage ich den Zuschuss?
Die Antragstellung erfolgt elektronisch über das Portal www.digitalbonus.bayern

Wie oft kann ich den Digitalbonus Bayern beantragen?

Während der Laufzeit des Programms (bis 31.12.2023) kann für jeden der beiden Förderbereiche nur ein Antrag gestellt werden. Die beiden Förderbereiche sind die "Digitalisierung von Geschäftsprozessen" und die "Verbesserung der IT-Sicherheit". Eine Förderung für einen Pentest ist somit nur einmal möglich. Unabhängig davon, können Sie aber auch einen weiteren Digitalbonus Bayern Antrag z.B. für die Einführung eines Dokumentenmanagementsystems oder eines Kundenverwaltungssystems (CRM-System) beantragen.

Wann kann ich den Pentest beauftragen?

Damit Sie eine Förderung überhaupt in Anspruch nehmen können muss im ersten Schritt ein Antrag auf den Digitalbonus Bayern gestellt werden. Unmittelbar nachdem Ihnen die Eingangsbestätigung vorliegt, darf dann der Pentest beauftragt werden. Die Beauftragung erfolgt zu diesem Zeitpunkt allerdings auf eigenes Risiko hin, da Anträge auch abgelehnt werden können, z.B. weil nicht alle Fördervoraussetzungen erfüllt sind. Wollen Sie in Bezug auf den Zuschuss keinerlei Risiko eingehen, dann müssen Sie auf eine Genehmigung Ihres Antrags warten und die kann aktuell leider mehrere Monate in Anspruch nehmen. Die Frage ist allerdings, ob potentielle Angreifer auch so lange warten werden.

Wer hilft mir bei meinem Digitalbonus Bayern Antrag?

Gerne berate ich Sie zu den Möglichkeiten und der für Sie optimalen Nutzung des Digitalbonus Bayern. Ebenso unterstütze ich Sie bei  Antragstellung und administrativer Abwicklung.