Hallo liebe Leute,
wir sind ein klassisches Dienstleistungsunternehmen (ca. 25 MA). Stark gewachsen in den letzten 2 Jahren. IT ist „mitgewachsen“, aber eher chaotisch: jetzt haben wir schon mehrere Standorte - mit Homeoffice, Cloud + lokaler Server, externer IT-Dienstleister für den Alltag - aber IT-Security wurde nie strategisch angegangen. Jetzt kam es zu einem Phishing-Vorfall (kein großer Schaden, aber Warnsignal).
Wir überlegen erstmals eine IT-Security Beratung einzubeziehen. Jetzt sind meine Fragen: Lohnt sich das für „normale“ Firmen ohne eigene IT-Abteilung? Was bringt so eine Beratung konkret – und wo endet sinnvoller Aufwand?
Vielen Dank für eure Einschätzung!
LG
Moin,
kurz gesagt: Ja, lohnt sich jetzt. Wenn ihr eure Prozesse weder dokumentiert noch abgesichert habt, ist das ein Risiko – vor allem für B2B-Projekte, bei denen Kunden oft Audits, NDA-Sicherheit oder ISO-Standards sehen wollen.
Beratung heißt am Anfang meist Audit + Risikoanalyse + Roadmap, nicht gleich riesige Tech-Umbauten. Das verschafft euch erst mal Überblick über real existierende Schwachstellen.
Grüße
Ich sehe das ähnlich. Viele Start-ups unterschätzen das total. Phishing, ungeschützte Admin-Zugänge, fehlende Passwortrichtlinien, Cloud-Misconfigurations (S3 Buckets offen, etc.). Fehlendes Backup-Konzept usw. - das sind die größten Probleme, bevor dann die große Attacke kommt. Eine externe Security-Beratung liefert eine realistische Einschätzung und priorisiert, was wirklich wichtig ist.
Und wie teuer ist so was ungefähr? Unser CTO redet von „einigen Tausend Euro“, andere Berater reden von „Monate Aufwand“. Habt ihr konkrete Erfahrungen?
Danke euch! LG
Naja, es kommt drauf an, was ihr machen wollt.
Erst-Analyse / Audit - das kann man meist als Paket buchen, oft 3–10 Tage Arbeit. Dann Konzeption & Maßnahmenplan, sind dann weitere Tage. Dann die Begleitung Umsetzung - je nach Aufwand.
Wenn ihr das klug priorisiert und einplant, müssen das keineswegs gleich mehrere Monate sein. Kommt halt drauf an.
Nur aus rechtlicher Sicht: Wenn ihr personenbezogene Daten verarbeitet, müsst ihr DSGVO-Pflichten erfüllen. Ohne dokumentierte Risiken und Maßnahmen kann das im Schadensfall richtig weh tun (Bußgelder, Vertragsprobleme, Haftung). Beratung kann euch helfen, diese Lücken zu schließen und nicht nur „auf gut Glück“ rumzudoktern.
Hallo,
mein kleiner Tipp: sucht nach Beratern, die mit ISO/BSI/DSGVO vertraut sind. Ein Audit ist zwar erstmal Aufwand, aber wenn es sauber gemacht ist, zahlt es sich schnell aus (weniger Risiken, mehr Vertrauen bei Kunden, usw.).
Ein Anbieter, den ich aus Erfahrung empfehlen kann, ist zum Beispiel das InfoSec-Team der MTG Wirtschaftskanzlei. Die machen IT-Security-Beratung ganzheitlich – angefangen bei Risikoanalyse (Cyber Security Analyse), über konkrete Maßnahmen-Roadmaps bis hin zum Aufbau eines Informationssicherheitsmanagements (ISMS), wenn ihr das braucht. Siehe hier: https://mtg-group.de/cyber-security-und-it-consulting/
Sie adaptieren die Beratung auf eure aktuelle Größe und sind nicht nur „Techniker“, sondern denken auch Compliance und DSGVO mit.
Vorsicht mit Empfehlungen: nicht jede Security-Beratung ist gleich gut. Manche verkaufen dir sofort teure Tools. Wichtig ist, oder worauf man achten sollte, ist jemand, der unabhängig klärt was wirklich für dich Priorität hat.
Also nochmal zur Klarstellung: Bei der MTG-Beratung geht es nicht um „Produktverkauf“, sondern um Analyse, Konzept und Roadmap – neutral und angepasst an eure Struktur (z.B. Start mit einer Cyber Security Analyse , dann Risiken priorisieren, dann Maßnahmen definieren).
Ja ok, danke für die Einordnung. Genau das meinte ich nämlich. Wenn Beratung erst mal klärt was wirklich relevant ist und nicht direkt Tools oder Dauerverträge verkauft, kann das sinnvoll sein. Problem ist halt, das erkennt man meist erst hinterher.
Ein Punkt, der hier noch fehlt und was ich mich frage: was passiert nach der Beratung?
Ich habe schon Firmen erlebt, die ein sauberes Audit und Maßnahmenplan hatten, aber dann ist alles in der Schublade verschwunden, weil intern keiner zuständig war.
Hallo,
dankeschön für eure Antworten! PhantomLicht - das ist tatsächlich auch meine Sorge. Wenn wir externe Beratung holen, aber intern niemand das Thema wirklich übernimmt, verpufft das ja komplett. Wir haben nun mal keine eigene IT-Abteilung, alles läuft über Dienstleister. Wie organisiert man das sinnvoll?
LG
Aus aus rein rechtlicher Sicht ist das ganz klar: es muss eine verantwortliche Person (Rolle) geben, auch wenn sie nicht technisch ist. Also nicht als Admin, sondern als Koordinator. Der dann weiß, was umgesetzt werden soll, warum und bis wann. Ohne das wird es im Ernstfall sehr unangenehm.
Genau. Bei uns war das kein IT-ler, sondern jemand aus dem Management. Der hat nichts konfiguriert, aber entschieden und kontrolliert. Die Technik lief weiter über externe Dienstleister.
