Interview mit Alex Zinelis, IT-Security-Experte und CO-Founder von Securious

„Unser Business IT-Security Check und die nachfolgenden Sicherheitsmaßnahmen sind pragmatisch, kosteneffektiv und zeiteffizient.“

Alex, aus welcher Situation heraus hast du Securious gegründet?

Ich hatte mich bereits während meines IT-Security-Studiums an der Ruhr-Universität Bochum selbstständig gemacht und als Freelancer sowohl im Web-App-Development als auch in der IT-Security gearbeitet, wobei Letzteres immer stärker in den Vordergrund trat. Dabei habe ich natürlich auch Einblicke in die IT-Sicherheit der Unternehmen bekommen, bei denen ich arbeitete. Ich musste feststellen, dass es um diese oft nicht besonders gut bestellt war. Die Gründe waren meist, dass Zeit, Geld oder Personal fehlten. Diese Umstände können aber gerade für mittelständische Unternehmen fatale Konsequenzen haben.

Bist du allein unterwegs oder hast du den Start der Firma direkt mit weiteren Partnern oder Mitarbeitern hingelegt?

Um die IT-Sicherheit kleinerer und mittlerer Unternehmen zu verbessern, habe ich mich mit zwei Partnern zusammengetan. Zum einen mit Dennis Tatang, der zurzeit noch am Lehrstuhl für Systemsicherheit an der Ruhr-Universität promoviert, zum anderen mit Benjamin Schleier, der als Unternehmer bereits verschiedene Start-ups erfolgreich realisiert und auch die Digitalio GmbH gegründet hat. So heißt unser Start-up momentan zwar noch „Securious – ein Projekt der Digitalio GmbH“, aber die Ausgründung als eigenständige GmbH wird jetzt im Sommer 2019 erfolgen.

Mit welchen Angeboten geht Securious denn in den Markt?

Wie bieten den Unternehmen einen Business IT-Security Check an, mit dem wir den Stand der IT-Sicherheit überprüfen. In der Folge entwickeln wir gemeinsam mit den Unternehmen Maßnahmen und implementieren diese. Damit sind wir auf dem Markt natürlich nicht allein, aber wir agieren nach einem bestimmten Motto, das wir „No-Nonsense-IT-Security“ nennen. Gerade kleine und mittlere Unternehmen (KMU) erfahren durch die Digitalisierung ja überhaupt erst einmal die Chance, es mit den Großen aufzunehmen und gleichzeitig skalierbare Prozesse umzusetzen. Das No-Nonsense-Prinzip sorgt dafür, dass es am Ende nicht etwa nur einen Bericht gibt, der in irgendeine Schublade wandert und niemals umgesetzt wird. Stattdessen gehen wir pragmatisch und schrittweise, aber planvoll vor, damit KMU Stück für Stück ihre IT-Sicherheit verbessern können. Dabei konzentrieren wir uns zunächst auf diejenigen Bereiche, die den größten Effekt haben und gleichzeitig für KMU gut umsetzbar sind. Diese Vorgehensweise steht auch für Kosteneffektivität und Zeiteffizienz.

Das klingt nach einem sehr standardisierten Paket. Gibt es einen Standard, den ihr dann unternehmensspezifisch individualisiert oder geht ihr ganz klassisch als Berater hinein, schaut euch alles an und überlegt dann, wie es vorangehen kann?

Einerseits haben wir tatsächlich standardisierte Prozesse, unter anderem auch, um auswertbare Ergebnisse zu bekommen. Dabei setzen wir neben den BSI-Standards (BSI: Bundesamt für Sicherheit in der Informationstechnik) auch internationale Standards ein. Trotzdem ist klar, dass man nicht bei jedem Unternehmen den gleichen Standard oder Prozess aufsetzen kann. Deshalb agieren wir immer auch dynamisch und haben die Aufstellung des Unternehmens dabei im Blick. Daraus folgen dann die individuellen Maßnahmen.
Gibt es so etwas wie Standard-Fehler im Gebrauch von IT, auf die ihr immer wieder stoßt?
In vielen Unternehmen existieren IT-Sicherheitsstandards, aber sie werden gar nicht eingehalten. Zudem sind Beschäftigte kaum geschult – mit dem Effekt, dass gern auf jedes Katzenvideo geklickt wird. Im Weiteren ist die dahinter liegende IT-Infrastruktur dann nicht in der Lage, maliziöse Inhalte abzugreifen und den Virus zu entfernen.

Nenn uns doch mal eins deiner bisher erfolgreichsten oder auch spannendsten Projekte und beschreib bitte den Mehrwert, den der Kunde dadurch erfahren hat.

Als wir bei einem unserer Kunden unseren Business IT-Security Check durchgeführt hatten und in der Folge auch eine Firewall implementierten, hat diese den Traffic verschiedener Systeme überprüft, die für das Unternehmen wirklich essenziell sind. Sofort wurde klar, dass die Systeme betroffen waren und ein Angreifer bereits seit mehreren Wochen aktiv war. Bei unserem Check war dieser bereits im Begriff, noch tiefer in die Struktur vorzudringen, um entweder Daten zu entwenden oder das System lahmzulegen. Wir konnten das abwenden. Gleichzeitig verdeutlicht diese Situation auch, dass gerade mittelständische Unternehmen wirklich gefährdet sind. Denn einerseits verfügen sie über Wissen, das andere gern hätten, andererseits sind sie meist nicht so gut geschützt wie große Konzerne. Deshalb sind KMU oft das Ziel von Angreifern.
Welche Chancen bietet die Digitalisierung den kleinen und mittleren Unternehmen aus deiner Sicht?
Die Digitalisierung bietet mit ihren vielfältigeren und besseren Kundenkontakten und den ihr innewohnenden Skalierungsmöglichkeiten vielen KMU überhaupt erst die Chance, zu den Großen aufzuschließen. Gleichzeitig birgt sie aber auch Risiken, da Unternehmen stärker von ihrem IT-System abhängig werden. Deshalb gehören Digitalisierung und IT-Security zwingend zusammen.

Alex, vielen Dank für das Interview und die Einblicke in die IT-Sicherheitsaspekte bei kleinen und mittleren Unternehmen.