Unified Security Cert+ -Interview mit Eric Kaiser, Product Executive der Securepoint GmbH

Bildrechte: Securepoint

Die Securepoint GmbH mit Geschäftssitz in Lüneburg wurde 1997 gegründet und ist der Partner für IT-Security made in Germany. Innovativ, kompetent und verlässlich. In den vergangenen Jahren lag die Wachstumsrate des Herstellers bei durchschnittlich 30 Prozent. Aktuell sind am Lüneburger Hauptsitz sowie in den Niederlassungen in Potsdam, Velbert bei Düsseldorf, Stuttgart und in der Schweiz rund 170 Mitarbeiterinnen und Mitarbeiter beschäftigt.

François Baumgartner, Business Consultant der Ext-Com IT GmbH sprach mit Eric Kaiser, Product Executive der Securepoint GmbH, über die neuesten Trends zu IT-Sicherheit, Datenschutz sowie die Unverzichtbarkeit eines offensiven Marketings in Krisenzeiten.

 

Herr Kaiser, wofür steht die Securepoint GmbH?

Wir stehen für erstklassige IT-Sicherheit für kleine und mittelständische Unternehmen in der DACH-Region. Mit unserer mehrschichtigen Strategie der Unified Security werden komplexe Bedrohungen von heute und morgen erkannt und erfolgreich abgewehrt. Es handelt sich also bei Securepoint um deutsche IT-Security. Und das alles aus einer Hand und exklusiv für Fachhändler und Systemhäuser in der DACH-Region. In der IT ist es zwar kaum möglich ohne Asien und USA zu arbeiten, aber dort, wo europäische Gesetze greifen, können wir Datenschutz und folglich ein Höchstmaß an Sicherheit garantieren. Überdies bieten wir einen deutschsprachigen Support an. Neben der Bundesrepublik Deutschland, Österreich und der Schweiz sind wir jedoch ebenso in Frankreich und Polen für unsere Kunden aktiv tätig. Unsere Wettbewerbsvorteile sind zugleich unsere Alleinstellungsmerkmale: Wir liefern IT-Security „Made in Germany“ und bieten mit Unified Security ein tatsächlich umfassendes Produktportfolio an. Dadurch heben wir uns von Anbietern, die nur ein Produkt haben, eindeutig ab. Wir gehen rein bis in ganzheitliche IT-Konzepte und vertreiben diese ausschließlich über den Fachhandel. Wir setzen auf starke Geschäftsbeziehungen und einen indirekten Vertrieb. Und zwar zu 100 Prozent. Der Grund: Mit unseren Fachhandelspartnern können wir skalieren. Deshalb setzen wir seit mehr als 20 Jahren auf die Zusammenarbeit mit IT-Systemhäusern und einen hervorragenden Kundensupport.

An wen verkauft der Fachhandel konkret Securepoint-Produkte und welchen Stellenwert nimmt ein Systemhaus heute ein?

Ob Handwerker, Steuerberater, Anwaltskanzleien, Ärzte oder das produzierende Gewerbe – allen fehlt es einfach an Zeit und anwendbarem Wissen, um sich stets mit ihrer eigenen IT zu befassen. Sie wollen daher mit kurzen Wegen direkt von einem Profi betreut werden. Auch wenn Softwareprodukte mittlerweile einfacher zu bedienen sind, wird doch alles komplexer, weil die Anzahl an Produkten und Services zunimmt. Ohne ein Systemhaus kann ein klassisches KMU demnach nicht überleben. Die sind einfach froh einen IT-Spezialisten wie die Ext-Com vor Ort zu haben.

Wie definieren Sie IT-Sicherheit und worauf kommt es hier an?

IT-Sicherheit entsteht nie aus dem Nutzen einzelner Produkte. IT-Sicherheit entsteht dadurch, dass man als Systemhaus ein Konzept hat und weiß, wie IT-Sicherheit im Zusammenspiel mit vielen Faktoren funktioniert und ganzheitlich geht. Letzteres ist komplex. Wir nennen das Unified Security. Dieses Konzept vertreiben wir ausschließlich über unseren Fachhandel. Das Ziel: Wir wollen den User unserer Produkte auf mehreren Ebenen schützen. Nur dann entsteht Sicherheit. Unser jeweiliger Partner vor Ort, also das Systemhaus, geht dann im Direktvertrieb über unser Produktleistungsportfolio zusätzlich hinaus. Denn wir garantieren eben nicht für eine unterbrechungsfreie Stromversorgung (USV) beim Server oder ein Backup-System. Das fügt der Fachhändler zu einem gesamten Sicherheitskonzept hinzu. Er läuft also die Extrameile für seine Kunden. Denn jeder weiß: Trojaner greifen nicht die Technik an, sondern die User. Wir brauchen zwar eine Firewall, Virenscanner und eine Verschlüsselung der E-Mails. Aber wir brauchen auch die Befähigung der Nutzer. Nur dann entsteht in einem vernünftigen Maß IT-Sicherheit.

Was schreibt der Gesetzgeber vor?

Es gibt tatsächlich branchenabhängig nicht eine Antwort, sondern stets mehrere davon. Bei Ärzten liegt der Fokus auf dem Sozialgesetzbuch 5 § 75b. Hier wartet man auf neue Verordnungen. Es gibt ferner in vielen Bereichen keine direkten rechtlichen Regelungen. Gleichwohl gibt es für eine kritische Infrastruktur und deren Zulieferer sogenannte IT-Sicherheitsgesetze. Darüber hinaus gibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches im Auftrag des Bundes sogenannte Sicherheitsstandards definiert und zugleich Warnungen herausgibt. Ein ordentlicher Kaufmann muss sich folglich eher daran messen lassen, was im Handelsgesetzbuch und im Bürgerlichen Gesetzbuch steht. Da geht es eben um Geschäftsführungspflichten, Haftung und den ordentlichen Kaufmann. Auch wenn die Begriffe IT-Sicherheit und Ausgaben nicht explizit erwähnt werden – sie gehören dazu. Es handelt sich hier um Geschäftsführungspflichten, womit der Geschäftsführer haftbar gemacht werden kann.

Gibt es weitere einschlägige Gesetzesgrundlagen?

Das umfangreichste Regelwerk ist die Europäische Datenschutz-Grundverordnung, kurz die EU DS-GVO: Sie fordert Unternehmen zu einem IT-Betrieb nach dem neuesten Stand der Technik auf. Es gibt dabei nicht den goldenen Weg, nur die weitestgehende Risikominimierung durch Dokumentation. Die EU DS-GVO nennt dabei keine konkreten Vorgaben, weil sich sonst aufgrund des technischen Fortschritts das Gesetz jedes Jahr ändern müsste. Deshalb wird vor Gericht immer darum gestritten, ob richtig dokumentiert wurde. Dabei steht fest: Der Friseur muss andere Maßnahmen umsetzen als etwa ein Unternehmen mit 100 Mitarbeitern. Deshalb heißt die Devise: Dokumentieren, dokumentieren und nochmals dokumentieren, selbst wenn es keine 100-prozentige Sicherheit gibt. C'est ça!

 

 

In der Softwareentwicklung ist immer öfter von Clouds und offenen Programmierschnittstellen (Apis) die Rede. Warum eigentlich?

Wir wollen mit unseren Partnern zu den KMU. Da hat die Cloud einen großen Charme. Wir haben zum Beispiel gerade ein Device Management System für unsere Kunden herausgebracht. Mit dem kann ein Unternehmen die Smartphones remote steuern. Solche Lösungen sind nicht neu. Aber wir sind erfolgreich, weil wir das als Cloud-Lösung und damit sehr preiswert anbieten. Der Kunde muss sich nicht den Kopf darüber zerbrechen, wie er es installieren und betreiben muss. Auch muss er keine Backups oder Notfallplanungen erstellen. Das macht alles der Cloud-Anbieter. Wenn wir also cloudbasierte Softwarelösungen anbieten, reduzieren wir fortan vor allem die Komplexität sowie die Kosten der Endkunden. Wir machen Lösungen für jene kleinen und mittelständischen Unternehmen also möglich, die sich solche Lösungen normalerweise nicht leisten könnten. Das ist die eigentliche Bewandtnis von Cloud-Lösungen. Unternehmen brauchen demnach inhouse keinen georedundanten Betrieb eines Rechenzentrums mehr. Schnittstellen garantieren zudem, dass die Systeme miteinander sprechen, will heißen, interoperabel sind. So kann ich zum Beispiel via Apis ein System mit meiner Active Directory verknüpfen, damit ich die User nicht mehrfach in den Datenbanken führen muss. Dafür braucht es offene Schnittstellen. Sie sind die Lösungen, um über den Tellerrand hinauszublicken.

Unified Security Cert+ ist der auditierbare IT- Sicherheitsstandard für KMU. Nennen Sie die Vorteile und Chancen dieser Zertifizierung.

Die Vorteile sind, dass wir uns auf das Tun konzentrieren. Die Ausgangslage ist klar: Sicherheitssysteme sind oftmals sehr alt. Das ist bei vielen KMU aber mental und im strategischen Mindset noch nicht angekommen. Diese halten sich nur an den BSI-Grundschutz, weil sie es allein einfach nicht schaffen.

Was muss man daran ändern?

Wir haben einen einheitlichen Maßnahmenkatalog definiert, um vor allem kleine und mittelständische Unternehmen auf einen einheitlichen Sicherheitsstandard zu bringen. Die Umsetzung kann dann sofort nach der Analyse direkt starten.

Welche Kundenbedürfnisse erfüllen Sie außerdem und warum sollte sich ein KMU gerade für Cert+ entscheiden?

Wir gestalten das alles sehr wirtschaftlich, weil es nur dann auch benutzt wird. Wir verlangen nicht für jede Zertifizierung Geld. Unsere Systempartner zahlen eine einmalige Gebühr für ein ganzes Jahr, weil wir die Anzahl der Zertifizierungen sukzessive erhöhen wollen. Zum anderen agieren wir bei diesem Zertifizierungsprozess bewusst hersteller- und produktunabhängig. Wir bewerben bei diesem Zertifikat keine Produkte. Und wenn ein Kunde schon mal 160 Maßnahmen angewendet hat, ist schon ganz viel gewonnen. Zirka 90 Prozent der KMU haben hier noch echt Aufgaben vor sich.

Erklären Sie unseren Kunden bitte das Bewertungssystem von Unified Security Cert+.

Wir fahren keinen null und eins Ansatz. Man kann den Zertifizierungsprozess auch modular aufbauen. Das funktioniert dann in etwa so: Man kann als Systemhaus einen Kunden zum Beispiel informieren, dass er einen neuen Server braucht und ihm gemäß des Maßnahmenkatalogs mitteilen, dass man auch den Bereich Server, Backup und Dokumentation auf den Stand von Cert+ bringen könnte. So kann sich der Kunde in paar Zyklen mit seinen Investitionen weiterentwickeln. Dann bringen wir den nächsten Bereich auf das Niveau von Cert+. Er bekommt dann immer eine Bewertung und weiß, wo er vielleicht noch besser werden muss. Der Endkunde muss dabei immer verstehen, was wir tun! Wir müssen sprachfähig sein und erklärungsbedingte Sachverhalte verständlich machen.

Welche Bausteine sind bei diesem Zertifikat besonders wichtig?

Es gibt weder eine Priorisierung noch eine Gewichtung. Ich kann mich in allen einzelnen Bereichen zertifizieren lassen. Erst wenn ich alle Bereiche abdecke bin ich nach Cert+ zertifiziert. Das heißt: Alle Schutzziele sind wichtig! Auch die Dokumentation ist derweil sehr wichtig. Das bezieht sich nicht nur auf den Aspekt der IT-Sicherheit, sondern auch darauf, einen guten IT-Service gewährleisten zu können.

Die Anwendung von Securepoint Unified Security Cert+ hebt das Sicherheitslevel bei 95 Prozent aller KMU auf gut bis sehr gut an. Warum?

Wir versuchen den Kunden auf ein sehr gutes Grundschutz-Niveau zu bringen. Wir wollen 95 Prozent der Unternehmen auf einen guten Weg bringen. Das BSI sorgt dann für eine weitere Erhöhung auf 98 Prozent.

 

 

Welche Rolle spielt das Zertifikat in der Weiterbildung und im Risikomanagement?

Wir befinden uns in einem evolutorischen Prozess. Die Zertifizierung fängt jetzt an zu wirken. Die ersten Versicherungen sagen schon, dass dadurch etwa die IT-Risikoversicherung oder beispielsweise die Betriebsunterbrechungsversicherung günstiger wird. Dass versuchen wir auch voranzutreiben, weil wir IT-Sicherheitslevels mit Cert+ jetzt messen können. Auch bei der Bundesvereinigung für Ärzte soll das Zertifikat als neuer Standard etabliert werden.

In welcher Geschäftsbeziehung stehen Sie zu Ext-Com und wie würden Sie diese beschreiben?

Wir befähigen ausschließlich unsere Fachhandelspartner. Mir ist die Ext-Com bislang sehr positiv aufgefallen. Das Unternehmen ist zudem mit seiner Geschäftsführung im Cert+ Gremium vertreten. Ext-Com ist innovativ, die haben einfach Bock so einen Standard weiterzuentwickeln und sind immer vorn dabei. Fernab dessen, haben wir ganz wenige Partner, die Marketing und Vertrieb ernst nehmen. Viele sind nach wie vor leider nur technikgetrieben. Da macht die Ext-Com genau das Richtige. Denn neben der reinen Technik müssen wohldurchdachte und scharfsinnige Konzepte auf den Tisch gelegt werden. Man muss darüber stets sprechen, was man da tut. Deshalb macht die Ext-Com einen sehr professionellen Eindruck auf mich.

Würden Sie die Ext-Com weiterempfehlen und warum?

Selbstverständlich würden wir Sie weiterempfehlen. Dadurch, dass wir 100 Prozent Channel sind, leben wir von unseren Partnern. Dann ist es selbstverständlich umso erfreulicher, wenn ein Partner wie die Ext-Com mit einem offensiven Marketing so richtig durchstartet.

 

 

Wie unterstützen Sie eigentlich Ihre Partner im Bereich Marketing und Vertrieb?

Wir haben in dieser Krise keine Budgets gekürzt – im Gegenteil: Wir haben in dieser Krise unsere Budgets sogar erweitert. Wir stellen Experten ein, wir machen mehr Marketing als sonst. Weil wir eben sehr gut aufgestellt sind und weil wir sicher sind, dass es auch eine Zeit nach der Krise geben wird. Da muss man sich jetzt positionieren. Deshalb haben wir auch die Leistungen für unsere Mitarbeiter erhöht, wir machen alles für unsere Fachhandelspartner. Wir versuchen da sehr progressiv in dieser Krise voranzuschreiten. Wir haben 20 Mitarbeiter im Außendienst in der DACH Region, einer steht der Ext-Com exklusiv zu Verfügung. Wir unterstützen im Bereich Sales-Schulungen, wir verbessern stets unsere Verkaufsunterlagen. Anhand unserer Sales Cards finden Sie zu jedem Securepoint-Produkt Top Facts. Das ist sehr wichtig für die Bereiche Marketing und Vertrieb. Wir kooperieren auch gerne mit unseren Partnern in der Produktkommunikation, schreiben zusammen Success Stories oder betreiben Kampagnen. Denn die Erfahrung zeigt: Das Hochfahren dieser Budgets führt dazu, dass wir in der Fachpresse öfters vertreten sind. Und das befördert die Akzeptanz und den Verkaufserfolg unserer Produkte und Leistungen.

Was planen Sie als nächstes?

Wir befinden uns im Ökosystem der Unified Security. Es kommen immer wieder neue Produkte raus. Der Schwerpunkt verlagert sich allerdings in den Bereich Managed Services. Das heißt: Unsere Partner gehen in Richtung Managed Services. Wir müssen das mit neuen Lösungen unterstützen. Firewall as a Service war hierfür der Vorreiter. Jetzt kann man eine Firewall inklusive Mobile Security zu einem geringen Preis inklusive Hardware auf monatlicher Basis mieten. Neben den kommerziellen Lösungen, die wir für diese Managed Services anbieten möchten, setzen wir auch auf Cloud-Tools. Und zwar auf der Ebene der Fachhändler. So kann ein Fachhändler in zwei bis drei Jahren per zentralem Cloud-Tool die gesamte Unified Security kundeneinheitlich verwalten. Dafür muss aber noch vieles zusammengeführt werden. Deshalb setzen wir auch hier auf die Zusammenarbeit mit Systemhäusern.

Herr Kaiser, ich danke Ihnen für das Gespräch.