Interview mit Sandra Balz

Sandra Balz leitet seit April 2020 die Transferstelle IT-Sicherheit im Mittelstand (TISiM). Sie war einige Jahre wissenschaftliche Mitarbeiterin und Referentin für Abgeordnete des Deutschen Bundestags und ist seit Langem in der digitalen Wirtschaftspolitik engagiert – mit Themen wie Wettbewerbsrecht, KI, Start-up-Förderung, soziale Netzwerke, Innovationsförderung und IT-Sicherheit. Im com! professional-Interview spricht Sandra Balz über die Aufgaben der TISiM, das Sicherheitsbewusstsein in KMUs und das Know-how der Geschäftsführungen.

Sandra Balz: Wir gehen zu den kleinen und ganz kleinen Unternehmen von fünf bis 50 Mitarbeitern und hören von denen dann immer: „Ich habe doch gar nichts, was sich für Angreifer lohnt, keine Daten, warum sollte ich zum Angriffsziel werden?“ Fakt ist aber: Die sind genauso bedroht wie große Unternehmen, auch wenn die Auswirkungen insgesamt andere Dimensionen haben. Zu sagen, dass KMUs nicht gefährdet sind, nur weil ausschließlich über die Angriffe auf die großen Firmen geschrieben wird, wäre ganz falsch. Denn die Frage ist nur, wann ich als KMU angegriffen werde, nicht ob. Man könnte jetzt frustriert sagen, dann ist es eben so, dass jeder mal angegriffen wird, und dann werden die Firmen schon aktiv. Aber so können wir natürlich nicht an die Sache herangehen.

Balz: Wir müssen den KMUs die Risiken immer wieder aufzeigen. Wenn ein Unternehmen sagt, wir haben doch gar keine Daten, dann verweisen wir auf Abteilungen wie seine Buchhaltung oder auf die Lohnabrechnung – und immer wieder gern auch auf den kleinen Blumenladen auf dem Land, der bei Fleurop mitmachen will. Dazu muss er nämlich auf deren Plattform – und dann fließen Daten.

Wenn der Unternehmer dann Angst bekommen sollte, sagen wir ihm, keine Sorge, die Bedrohung ist zwar da, aber wenn du zwei, drei Maßnahmen ergreifst, dann bist du erst mal schon auf der sicheren Seite. Es geht vor allem darum, das Mindset zu verändern, also die Denke „Mein Auftragsbuch ist voll, alles andere interessiert mich nicht, um Sicherheit kümmere ich mich später“.

Balz: Das ist sehr individuell. Hier ist auf jeden Fall sehr viel Psychologie im Spiel. Es gibt Unternehmen, da ist der Geschäftsführer begeistert und weiß, meine Mitarbeiter müssen geschult werden und auch ich muss es verstehen. Der sagt dann, wir machen das zusammen. Und es gibt andere, die sagen, solche Spiele machen wir nicht mit. Es ist auf jeden Fall noch ein weiter Weg, alle Unternehmen mitzunehmen. Denn es reicht nicht zu sagen: Das musst du jetzt machen und wenn du das nicht machst, bist du dumm und musst selber zusehen, wo du bleibst. Wir haben zwar verstanden, wie man herangehen muss, aber wenn die Unternehmen am Ende sagen, heute haben meine Mitarbeiter gar keine Zeit für so etwas und für Spiele erst recht nicht, dann ist das so. Die Ansätze, mit denen sich die Security-Awareness verbessern lässt, sind auf jeden Fall die richtigen.

Balz: Der Sec-O-Mat ist ein Online-Tool, in dem das Unternehmen einige Fragen beantwortet und dann einen Aktionsplan bekommt. Wir fragen zum Beispiel, wie viele Mitarbeiter das Unternehmen hat und wie viele mit der IT arbeiten. Ausgehend von Schadensszenarien, in denen es zum Beispiel darum geht, wie schwerwiegend es wäre, wenn ein Webshop nicht mehr funktionieren würde oder wenn Kundendaten gestohlen würden, bekommt das Unternehmen dann einen Aktionsplan und damit schon mal einen Überblick über seine Sicherheitslage.

Balz: Es geht oft um Basis-Dinge wie Phishing-Awareness, um Klassiker wie „Wo überall verstecken die Leute Passwörter?“ und Ähnliches mehr. Die Vorschläge reichen von Youtube-Videos zu Passwortmanagern bis zu grundlegenden Tipps, etwa dem, dass die Mitarbeiter ihren Bildschirm sperren sollten, wenn sie ihren Arbeitsplatz verlassen.

Balz: Ja, wir haben auch regionale Anlaufstellen, rund 80 Stück, zum Beispiel in Handwerkskammern, Industrie- und Handelskammern oder Mittelstand-Digital-Zentren, in denen geschulte Ansprechpartner beraten. 

Wir haben außerdem unser TISiM-Mobil, einen Bus mit zwei Referenten, die in den ländlichen Raum fahren, auf kleine Messen oder in ein Gewerbegebiet und dort dann stehen und zu denen man hingehen kann. Jetzt, wo das nach den Corona-Einschränkungen wieder möglich ist, versuchen wir, wieder mehr solcher Dinge zu machen, also auf die Unternehmen zuzugehen. Wir können aber natürlich nicht zu jedem einzelnen Unternehmen hinfahren. Aber wenn wir mit solchen Aktionen möglichst viele Firmen darüber informieren können, dass es uns gibt und dass die ersten Schritte zu mehr IT-Sicherheit gar nicht so schwer sind, dann haben wir schon viel erreicht.

Balz: Aus der Perspektive des Dienstleisters lautet da die Antwort natürlich erst mal ja. Aus unserer Sicht sollte das jedes Unternehmen individuell entscheiden. Dabei gilt: Kompetenz ist das A und O. Wenn der Geschäftsführer eines Unternehmens weiß, warum er etwas in puncto IT-Sicherheit tun sollte, dann kann er sich umschauen und selber entscheiden. Er sollte auf jeden Fall versuchen, eigenes Know-how aufzubauen und zu erschließen. Das kann er auch über die Angebote der Transferstelle machen. Da bekommt er einen ersten Überblick, etwa zu Schulungsangeboten und zur Technik. Der Geschäftsführer sollte Bescheid wissen, was man für die IT-Sicherheit tun sollte, und kann dann auch zu einem Dienstleister gehen, der das umsetzt. Klar ist aber: Ohne Investments wird das nicht gehen.

Balz: Weil wir mit Steuergeldern gefördert werden, müssen wir herstellerneutral beraten. Wir dürfen also einem Unternehmer nicht sagen, nimm einen bestimmten Anbieter. Aber wir arbeiten sehr gern mit Security-Unternehmen zusammen, auch um zum Beispiel herauszufinden, wo es noch keine passenden Produkte für KMUs gibt. Ich denke zum Beispiel an Cyberversicherungen. Die gibt es für die großen Unternehmen und sie sind sehr teuer. Ich meine: Jedes Unternehmen hat eine Haftpflichtversicherung oder Brandschutz-Police, warum versichert es nicht auch seine IT-Sicherheit? Zu solchen Dingen sind wir als Transferstelle in einem guten Austausch mit allen Akteuren, um das gemeinschaftlich voranzubringen.