Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

Das Insider-Interview: Sven Janssen

IT-Sicherheit: Mitarbeiter dürfen sich nicht gegängelt fühlen

24.02.2016
In regelmäßigem Zyklus interviewen wir Mitglieder des deutschen Dell-Managements sowie Partner von Dell, um sie zu aktuellen Themen zu befragen. Diesmal im Dialog: Sven Janssen, Dell Regional Sales Manager Germany Network Security, zur IT-Sicherheit in deutschen Unternehmen.
Dell Sven Janssen Steckbrief
Dell Sven Janssen Steckbrief
Foto: Dell

Wie sind Sie zur IT-Branche gekommen?

Das war Zufall. Nach meinem Abitur habe ich eine Ausbildung als Bankkaufmann absolviert. Schnell stellte ich aber fest, dass mich dieser Beruf nicht so richtig ausfüllt. Deswegen habe ich dann BWL studiert. Gegen Ende meines Studiums war ein Schwerpunkt das Marketing. Passend in diese Richtung habe ich ein Job-Angebot bei Symantec bekommen, einem der damals wenigen Security-Hersteller im Bereich Antivirus. So bin ich nach meinem Studium zum Marketing und hier direkt zur IT-Branche gekommen. Seit 2006 leite ich das Deutschlandgeschäft von SonicWALL und mit der Übernahme von SonicWALL im Jahre 2012 bin ich zu Dell gekommen.

Welches IT-Gerät nutzen Sie häufiger: Das Smartphone oder das Notebook?

Ich nutze eindeutig häufiger das Smartphone. Für mich ist das Smartphone die beste Erfindung der letzten Jahre. Es spart mir eine Menge Zeit. Wo ich sonst das Notebook nutzen müsste, genügt mir heute meist das Smartphone. Das gilt für mich sowohl beruflich als auch privat.

"Gerade bei kleineren Firmen ist oft nur ein Mitarbeiter mit der Betreuung der gesamten IT beschäftigt."

Dell hat im vierten Quartal 2015 eine umfangreiche Studie zu IT-Sicherheit in deutschen Unternehmen durchgeführt. Eine Erkenntnis daraus war, dass rund zwei Drittel der befragten Unternehmen keine IT-Sicherheitsabteilung haben. Meinen Sie, dass deutsche Unternehmen auf eine IT-Sicherheitsabteilung verzichten können?

Ich bin der Meinung, dass sich die meisten Unternehmen eher selbst einreden, eine solche Abteilung sei entbehrlich, oft aus Bequemlichkeit. Gerade in kleineren Firmen ist oft nur ein Mitarbeiter mit der Betreuung der gesamten IT beschäftigt. Dadurch gibt es keine klare Differenzierung. Dagegen spricht allerdings die Tatsache, dass die meisten Unternehmen Security als ein Top-Thema verstehen.

Wird das Thema der eigenen IT-Sicherheitsabteilung demnach nur als lästig oder als Hemmnis empfunden?

Nein, ich meine, dass die IT-Abteilungen die Aufgaben einer IT-Sicherheitsabteilung als Teilbereich der IT ansehen und diese daher genauso von der IT-Abteilung miterledigt werden können. Deswegen sind sie der Meinung, dass es dort gut angesiedelt ist.

Es existiert ja die Position CISO, also Chief Information Security Officer. Die Dell IT-Sicherheitsstudie belegt, dass es diese Position in nur sechs Prozent der befragten Unternehmen gibt. Kennen die meisten Unternehmen den Begriff CISO und dessen Bedeutung überhaupt?

Die Zahlen der Studie sprechen da eine deutliche Sprache. So sind es meist die großen Unternehmen, in denen ein CISO tätig ist. Man sieht an den Zahlen auch, dass in den kleinen Unternehmen die IT-Sicherheit mehr als allgemeines IT-Thema angesehen wird und der IT-Leiter zugleich die IT-Security mitübernimmt.

Allerdings haben die meisten Unternehmen Sicherheitsrichtlinien. Wie wird deren Einhaltung kontrolliert?

Das ist ein sehr interessanter Punkt. Wir haben von den Unternehmen häufig die Aussage erhalten, dass Sicherheitsrichtlinien vorhanden sind und die Mitarbeiter für die Einhaltung unterschrieben haben. Aber sehr häufig werden die Sicherheitsrichtlinien gar nicht gelebt. Das heißt, sie werden nicht angepasst, wenn sich im Unternehmen etwas ändert. Dabei wäre es sehr wichtig, regelmäßig zu prüfen, ob die Richtlinien noch up to date sind.

Ein Beispiel: Noch bevor Verfahren wie BYOD (Bring Your Own Device) eingesetzt werden, gilt es als erstes, die IT-Sicherheitsrichtlinien im Unternehmen anzupassen. Meist ist das aber nicht der Fall oder wird irgendwann später erledigt. Dell stellt für IT-Sicherheitsrichtlinien in Unternehmen das Exposé "Der Triple-A-Ansatz zur Netzwerksicherheit" zur Verfügung. Unternehmen erhalten damit eine Orientierung zur Beurteilung der Qualität ihrer Sicherheitsrichtlinien. Ein wichtiger Aspekt ist beispielsweise, dass die Firmen darauf achten sollten, dass sich die Mitarbeiter nicht durch die Richtlinien gegängelt fühlen.

»
Whitepaper zum Artikel

Woran liegt es, dass die meisten der Befragten angeben, die IT-Sicherheit ihres Unternehmens sei nicht auf dem neuesten Stand?

Ein Grund ist meiner Meinung nach, dass sich nicht immer genau einschätzen lässt, was die Sicherheitsmechanismen genau tun. Etwa bei einer Firewall oder einem Intrusion-Prevention-Programm sieht niemand bis ins Detail, was da passiert. Daher lässt sich häufig auch gar nicht nachvollziehen, was bestimmte Lösungen dem Unternehmen bringen. Oft werden bestimmte Installationen über lange Zeit "mitgeschleppt", etwa der Antivirenschutz, der ganz gut zu funktionieren scheint, ebenso die Firewall. Damit rücken diese Dinge immer mehr aus dem Fokus, und es festigt sich die Ansicht, dass das derzeit vorhandene Equipment ausreicht.

Muss man letztendlich bis in die Details gehen, um die Aktualität der IT-Strukturen zu erkennen?

Ja, und hier sind vor allem Unternehmen ohne eigene IT-Abteilung gut beraten, einen externen Security-Dienstleister dafür zu verpflichten. Er sollte regelmäßig eine Überprüfung der IT-Strukturen durchführen, Sicherheitsbedenken sofort mitteilen und Lösungsansätze präsentieren.

In der IT-Sicherheitsstudie geben die meisten Befragten an, bevorzugt mit mehr als einem einzigen Hersteller von IT-Sicherheitslösungen zusammenzuarbeiten. Teilen Sie diese Auffassung?

Ich bin der Meinung, dass das historisch begründet ist. In der Vergangenheit haben das viele Hersteller so kommuniziert. Bei der Firewall war der eine Anbieter beispielsweise top in IPS, dann gab es einige, die im Bereich Antivirus anderen überlegen waren und so weiter. Mit der Zeit hat sich das aber im Zuge immer stärkerer Konsolidierung auch im IT-Bereich zusehends erledigt. Ein Umdenken in den Unternehmen hat da bereits begonnen. Jetzt konzentriert man sich immer stärker auf einen Anbieter, der Sicherheit End-to-End liefern kann, wie das bei Dell der Fall ist. Hier spielen alle Komponenten technisch perfekt zusammen.

Foto: Dell

Was macht Dell im Bereich IT-Sicherheit so stark - oder anders gefragt: Warum gerade Dell, wenn es um IT-Sicherheit geht?

Dell ist mittlerweile einer der größten Hersteller von IT-Sicherheitslösungen. Das ist nicht zuletzt das Ergebnis der Zukäufe erstklassiger Sicherheitsanbieter mit einer wirklich sehr großen Bandbreite. Neben den traditionellen Hardware-Themen können wir das komplette Sicherheits-Portfolio bieten, wie Netzwerksicherheit, Remote-Access bei WiFi, E-Mail-Sicherheit, Client-Sicherheit, Identity-Management und Verschlüsselung. Das kann so kein anderer Anbieter. Übrigens wachsen diese Themen technisch immer mehr zusammen. Das ist ein weiteres Argument, das für Dell als IT-Sicherheitsanbieter spricht. Zur CeBit 2016 wird Dell neben anderem auch im Bereich der IT-Sicherheit wieder einiges an innovativen Ansätzen präsentieren.

"Die derzeit brennendsten Themen sind die Vielzahl und die zunehmend komplexeren Angriffe auf die Unternehmens-IT."

In der Sicherheitsstudie ist auch zu sehen, dass viele Unternehmen auf vermeintlich wichtige Sicherheitslösungen verzichten, beispielsweise DLP (Data Loss Prevention). Woran könnte das Ihrer Meinung nach liegen?

Ich glaube, das ist für viele schon wieder zu speziell. Es gibt die Standardlösungen, mit denen so ziemlich jedes Unternehmen ausgestattet ist, etwa Firewall, Antivirus und Client-Sicherheit. Lösungen wie DLP, Remote Access oder Identity- und Access-Management betrachten Unternehmen etwas anders, unter dem Gesichtspunkt: Brauchen wir das tatsächlich? Habe ich mobile User? Solche Lösungen sind dann auch von der Umsetzung her deutlich komplexer und kostenintensiver. Das ist dann meist der Grund, warum diese Themen eher vernachlässigt werden oder komplett unter den Tisch fallen.

Welche IT-Sicherheitsthemen brennen den Unternehmen derzeit am stärksten auf den Nägeln?

Die derzeit brennendsten Themen sind die Vielzahl und die zunehmend komplexeren Angriffe auf die Unternehmens-IT. Auch wenn Phishing oder Spam immer mal wieder fast totgesagt werden, die Praxis zeigt jeden Tag, welche Gefahren hier lauern. Auch Ransomware, Trojaner mit denen Unternehmen finanziell erpresst werden, ist ständig ein Thema. Ein Trend, den wir derzeit auch sehen, ist der, dass sich Unternehmen genau damit beschäftigen, welche Applikationen im Firmennetzwerk benötigt werden und wie sich nicht benötigte Applikationen blocken lassen. Des Weiteren werden zurzeit Lösungen zum Thema mobile Security sehr stark nachgefragt.

Weiterführende Artikel:

Aktuelle IT-Sicherheitsstudie für deutsche Unternehmen

IT-Sicherheitsstudie zeigt: Technik ist oft veraltet

Die interaktive Liste zeigt, wie sicher Ihre Unternehmens-IT ist