IT-Security-Berater Sandro Müller führt regelmässig Audits und Penetration-Tests durch. Er kennt die typischen Schwachstellen von Infrastrukturen – sowohl bei On-Premise wie auch in der Cloud. Wir haben uns mit ihm über gängige Fehler und seine Ratschläge an IT-Verantwortliche unterhalten.
.
Interview mit Sandro Müller
Sandro Müller
Herr Müller, als Dienstleistungsanbieter von Security-Consulting führen Sie regelmässig Security-Audits und Penetration-Tests bei Unternehmen durch. Dabei erfahren Sie, wo die typischen Schwachstellen liegen und welche Fehler gemacht werden. Was ist Ihr Rat an einen IT-Verantwortlichen eines KMU?
Sandro Müller: Immer neugierig zu bleiben und sich auch im Security-Bereich weiterzubilden. Es ist wichtig, Security-Know-how im Unternehmen zu haben. Bei grösseren Unternehmen kann das intern sein. Bei KMUs meist extern. Vertrauen in die eigene IT und oder den IT-Dienstleister ist wichtig. Auch, um die eigene Verantwortung und Kontrollfunktion wahrzunehmen, sind externe Prüfungen dennoch (z. B. in Form von Audits) essentiell.
Wo sind die typischen Schwachstellen, die Sie bei einem Security-Audit aufdecken?
Spannenderweise gibt es nicht «die Schwachstelle». IT ist heutzutage so komplex, dass vieles von einem spezifischen Experten gemacht werden muss. Eine perfekte IT-Infrastruktur ist nicht realistisch und alle haben irgendwelche Schwachstellen. Ob sich ein Unternehmen aber wirklich für die Entdeckung und die Beseitigung der eigenen Schachstellen interessiert oder nicht, ist entscheidend. Es geht nicht darum, keine Schwachstellen zu haben, sondern möglichst wenige und die vorhandenen zu kennen.
Welchen Unternehmen würden Sie ein Audit empfehlen?
Grundsätzlich natürlich jedem Unternehmen. So richtig Sinn ergibt es aber nur dann, wenn ich bereit bin, das Feedback anzunehmen und auch Ressourcen habe, um Verbesserungen zu erzielen. Dazu muss z. B. das Top-Management hinter dem Projekt stehen.
Was wird man an Ihrem Vortrag an der TEFO erfahren, das dabei hilft, die Sicherheit zu erhöhen?
Tatsächlich möchte ich vor allem aufzeigen, was immer wieder schiefläuft. Ich erachte es als wichtig, dass sich in der Unternehmung jemand für das Thema zuständig fühlt und auch Budget hat. Ist das gegeben, wird man automatisch jede Woche ein klein wenig besser. Es geht also nicht (nur) um die grossen Schritte. Kleine Schritte sind meist realistischer.
Wie hat sich die Situation mit dem Aufkommen von Homeoffice verändert?
Vielleicht weniger als häufig angenommen wird. Die Herausforderungen haben sich mit dem Homeoffice (das ja schon vor Corona existierte) nur dann verändert, wenn ich das bis anhin nicht kannte. Und dann war das Hauptproblem, dass ich es überstürzt einführen musste.
Seit über 20 Jahren beschäftigt sich die goSecurity AG mit IT-Security. Das 18-köpfige Team durchleuchtet Firmen mit Audits und Penetration-Tests und erstellt Sicherheitskonzepte. Bei Ransomware-Vorfällen unterstützt goSecurity das betroffene Unternehmen und versucht den Schaden möglichst gering zu halten. Mit Schulungen und ISO-27001-Zertifizierungen wird Know-how weitergegeben. Sandro Müller ist seit 15 Jahren in der Security tätig und leitet seit fünf Jahren die goSecurity AG als CEO.
Am 15. November 2022 wird er am Technology Forum von seinen «Erfahrungen aus Security-Audits» berichten. Möchten Sie mehr darüber erfahren? Dann sichern Sie sich jetzt Ihr TEFO-Ticket.
Autor
