In Security investieren und als Firma profitieren


Keine Angst, der Inhalt wird besser als der Reim im Titel. 😂

Geben wir dem Security-Kind einen Namen:

  • Es verschlingt Unmengen an Zeit
  • Es kostet einen Haufen Geld
  • Es behindert beim Arbeiten
  • Es wirkt sich nicht positiv auf die Bilanz aus

🖲️ MÄÄÄP: Falsch!

Wenn du es richtig machst, kannst du mit Security auch viel Geld verdienen. Nein, du musst jetzt keine lustigen AI-Cyber-Lösungen (🐍🛢️) verkaufen, sondern ich spreche wirklich davon, IT-Security Maßnahmen in deiner Firma umzusetzen und damit zu profitieren.

Wie funktioniert das?

Viele Brands und Firmen versuchen, durch ihr Marketing mehr Vertrauen bei ihren Kunden zu schaffen. Vertrauen ist das A und O im Verkauf. Und Vertrauen entsteht, wenn man für die Sicherheit sorgt. Kunden vertrauen dir ihre Daten an und achten immer mehr auf den Datenschutz. Digitale Prozesse und eine stabile IT-Umgebung wirken professioneller als ein ausgedrucktes Formular oder eine Faxnummer am Briefpapier. 📠

Mit IT-Security kann man sich einen echten Wettbewerbsvorteil verschaffen. Es gibt zwar "Trust"-Siegel, die man kaufen kann, aber die sind eher was für Blender. Wenn du aber deine Firma zum Beispiel nach ISO 27001 zertifiziert hast, dann hast du schon mal was richtig gemacht. IT-Security ist zwar nicht Compliance, aber damit bist du der Konkurrenz oft weit voraus.

Selbst als Zulieferer (Supply Chain) werden ISO 27001 und IEC 62443 oft vorausgesetzt. Damit kann man sogar neue Märkte erschließen und neue Geschäftsfelder eröffnen. Aber auch klassische Endkunden greifen eher zum zertifizierten Unternehmen als zu dem mit Bauchgefühl.

Und man sollte auch nicht vergessen, dass man durch die Effizienz auch Kosten spart. Wenn du IT-Security ernst nimmst, dann siehst du nicht nur die Risiken und Schwachstellen in IT-Systemen, sondern auch in den Prozessen, die von der IT unterstützt werden. Das hört sich zwar nach BS-Bingo an, ist aber tatsächlich ein enormer Faktor.

Wenn du deine Arbeitsabläufe mal zu Papier bringen würdest (lieber in Word 😅), dann würdest du wahrscheinlich merken, dass vieles davon automatisiert und standardisiert werden kann. Das führt zu schlankeren Vorgängen, weniger Chaos und einem sichereren Betrieb.

Gekauft, wie mache ich das jetzt?

Wunderbar! Meine Kontonummer lautet… 😂

  • Der erste Schritt ist immer die Bestandsaufnahme. Du musst erst deinen Ausgangspunkt kennen, um die Reise zu beginnen. Ich starte bei meinen Kunden immer mit einem umfangreichen Security Audit und decke damit die größten Problemzonen auf.
  • Bei Schritt zwei kümmern wir uns um die Priorisierung der Problemzonen. Selbst wenn es Bauch, Beine UND Po sind, konzentrieren wir uns immer auf das Wichtigste zuerst. Nachdem Panik kein guter Stratege ist, erstellen wir ein Risiko-Management.
  • Schritt Nummer drei ist die Rückendeckung der Mitarbeiter. Wenn nicht der ganze Laden hinter dem Projekt steht, wird das nichts. Bei der ersten Panne wird dein Security-Vorhaben als “Technisches IT-Ding, das nur Probleme verursacht” abgestempelt und ist gestorben. Die Sicherheits-Kultur muss in der DNA deiner Leute verankert werden und alle müssen kapieren, WARUM es so wichtig ist.
  • Im vierten Schritt setzt du die Maßnahmen um. Sowohl die technischen als auch die organisatorischen Aspekte. Das Ganze geht vom Patch-Management über Netzwerk-Segmentierung bis hin zu den Richtlinien und Zuständigkeiten. Arbeite das Risiko-Management einfach von oben nach unten ab. Was wirklich zählt, ist, dass du die "Lessons learned" und auch deine Fehler dokumentierst. Das verbessert nicht nur die Firmenkultur, sondern du kannst sie auch für das Marketing verwenden.
  • Wenn du bei Schritt fünf bist, denkst du, dass du mit IT-Security endlich fertig bist … 🤡 Denkste! IT-Security ist ein Prozess, den man lebt und der nie endet. Egal, was du machst: Du musst auf jeden Fall dafür sorgen, dass deine Systeme sicher bleiben. Sei es das Patch-Management, Security-Meldungen, die Zertifizierung der Firma nach einem gewissen Standard oder die Einführung eines neuen Tools.

Jetzt kommt aber trotzdem der angenehme Part, denn jetzt sitzt du fest im Sattel und kannst endlich von deinen Erfolgen berichten. Du bewirbst aktiv, dass deine Systeme nach "Standard 123" gehärtet sind, dass ihr eure Prozesse nach "Framework 456" aufgebaut habt und dass alle Mitarbeiter regelmäßig spielerisch geschult werden.

Es bringt nur was, wenn es ECHT ist!

Du kannst mit IT-Security richtig angeben und auch stolz darauf sein. Egal, ob du Beiträge auf LinkedIn schreibst, Blog-Posts auf der Website veröffentlichst oder die Zertifizierungen in den Vertriebsunterlagen platzierst. "Wir investieren in unsere und eure Sicherheit" oder "SICHERHEIT wird bei uns großgeschrieben". Dein Marketing kann sich hier austoben. Aber Vorsicht: Kunden merken sofort, ob du es ernst meinst oder nur so daher schwafelst.

Ihr müsst die Maßnahmen auch leben und sauber umsetzen, sonst kann die Stimmung schnell kippen. Sowohl intern als auch extern. Kleine, feine Umsetzungen sind hier besser als große Shows. Auch wenn die Firma einen Security-Incident oder einen Datenschutzvorfall hatte, kannst du durch die Maßnahmen den Schaden in Grenzen halten. Es ist auch nicht so, dass immer gleich alles verschlüsselt ist oder alle Daten gestohlen werden. Mit guter IT-Security ist es nur ein kleiner Teil.

So ein Vorfall erwischt einen immer eiskalt, aber auch das kann man für die Publicity nutzen. “Hätten wir nicht investiert, wäre der Schaden größer gewesen.” “Wir haben daraus gelernt und unsere Sicherheit weiter verbessert.”

Es ist auch nicht so, dass nicht jeder Security-Vorfall eine komplette Katastrophe ist. Wenn euer File-Share verschlüsselt wird, ihr es aber über ein Backup innerhalb weniger Stunden wiederherstellen könnt, dann ist das schon ein großer Erfolg. Auch darüber könnt ihr berichten.

Fazit

Es ist immer eine gute Idee, in IT-Security zu investieren. Es kann Vertrauen aufbauen, Prozesse optimieren und Wettbewerbsvorteile schaffen.

Ach ja … es macht auch sicherer. 🤷‍♂️

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

"Wer 2025 noch kein Infrastructure as Code nutzt, der hat die Kontrolle über sein Leben verloren!" 🙄 Klingt vertraut? Herzlich willkommen im Elfenbeinturm der IT und IT-Security Bubble. Ein Rant … Klar, neue Technologien erleichtern der IT das Leben. Früher haben die Leute Tausende Server von Hand aufgesetzt, heute reicht ein paar Zeilen Code. Während die einen schon mit Microservices in der Cloud unterwegs sind, suchen die anderen noch nach DVDs im Archiv. Denn die Realität sieht in KMUs und...

Heutzutage wird alles als Chefsache verkauft. Marketing ist Chefsache Buchhaltung ist Chefsache Employer Branding ist Chefsache Digitalisierung? – Klar, Chefsache! Reinigung? – You name it! Der erste Eindruck zählt schließlich. Kaffeequalität? – Aber hallo! Die Motivation der Mitarbeiter hängt davon ab. Und jetzt kommt auch noch IT-Security dazu. *seufz* Was heißt das denn genau? Als Chef konfiguriert man doch keine Firewalls?! Aber sprechen wir erst mal über die Basics! Was bedeutet...

Was ist besser? Ein kleines, wendiges Speed-Boot, oder ein großer, robuster Tanker? Beide brauchen Cybersecurity, haben aber unterschiedliche Ausgangslagen. Die großen Tanker können große Lasten transportieren und dabei große Distanzen zurücklegen. Die kleinen Speed-Boote hingegen können ihren Kurs rasch ändern und kommen schneller ans Ziel. Ein Leck ist für beide Seiten nicht optimal. 🤿 Heute möchte ich über die unterschiedlichen Herangehensweisen an Security von Konzernen und KMUs...