IT-Security, BDO und Kiwiko So bekommt man Beratungs- und Technologie-Knowhow unter einen Hut

Autor: Sylvia Lösel

Hat der Channel das Nachsehen, wenn Projekte sowohl Technologie- als auch Beratungs- und Compliance-Knowhow erfordern? Beratungsunternehmen positionieren sich mit eigenen Security-Units. Aber auch im Systemhaus-Umfeld hat man Lösungen im Köcher.

Firmen zum Thema

Für Sicherheitsfragen in Industrieunternehmen haben ganz unteschiedliche Leute den Hut auf - das macht es für klassische Systemhäuser oft schwierig, bei Projekten den Zuschlag zu bekommen.
Für Sicherheitsfragen in Industrieunternehmen haben ganz unteschiedliche Leute den Hut auf - das macht es für klassische Systemhäuser oft schwierig, bei Projekten den Zuschlag zu bekommen.
(Bild: VTT Studio - stock.adobe.com)

Der mittelständische Industriebetrieb irgendwo im Allgäu ist ein Vorzeigeunternehmen – auf jeden Fall, wenn es um Security geht. „Dort ist ein SIEM-Tool im Betrieb, die Netzwerke sind sauber segmentiert, die Mitarbeiter sind geschult und es gibt eine Unternehmenskultur, bei der einfache Buchhalter mal eben den CFO wegen einer möglichen Fraud-Mail direkt kontaktieren dürfen“, sagt John-Erik Horn-Geschäftsführer von BDO Cyber Security. Doch so mustergültig wie dieses Unternehmen sind nicht alle, und der Weg dorthin ist oftmals steinig. Denn die Komplexität der IT-Landschaft wächst, die IT-Mannschaft aber nur selten. Kommen dann noch neue Technologien hinzu, etwa Edge-Lösungen oder die Digitalisierung in der Produktion, entscheiden sich viele Unternehmen spätestens zu diesem Zeitpunkt, externe Hilfe hinzuzuziehen. Und wer ist der Retter in der Not? Bislang war die Antwort hier relativ einfach: das Systemhaus, das sich auch bislang schon um Firewall, Server und Software-Installation gekümmert hat. Denn eigentlich hat man zu diesem einen langjährigen vertrauensvollen Kontakt.

Andererseits kann man in Technologie investieren wie man will, wenn man Compliance-Themen außer Acht lässt, steht der Kunde halbangezogen da.

John-Erik Horn, Geschäftsführer BDO Cyber Security

Doch die Zeiten haben sich geändert, die Anforderungen auch. Immer öfter könnten künftig Systemhäuser das Nachsehen haben, wenn es um komplexe IT-Projekte geht – vor allem, wenn es dort um Security geht. Und wenn wir von IoT, Edge und Netzwerken reden, geht es fast immer um Security. Das Problem: traditionell haben Systemhäuser ihre Kontakte in die IT-Abteilung oder zum CISO. Sie sind lösungsorientiertes Arbeiten gewohnt, strategische Beratung übersteigt oft auch schlicht die Möglichkeiten, die Systemhäuser mit ihren Mitarbeitern leisten können. Diese „Lücke“ haben Beratungsunternehmen erkannt und positionieren sich immer öfter auch als Security-Dienstleister, zum Teil mit eigenen großen Security-Einheiten oder gar einem eigenen SOC.

Überschaubarer Mehrwert?

„Ich habe hierzulande mit zahlreichen Resellern gesprochen: die haben nicht den Zugang zu den Produktsicherheitsspezialisten, zum CPSO oder in die Führungsetage. Deshalb ist für uns hier der Mehrwert, den ein solcher Reseller bringt, überschaubar“, erklärte unlängst Harry Zorn, Vice President EMEA bei Vdoo in einem Gespräch mit IT-BUSINESS. Der Anbieter, der sich auf Security bei Embedded Devices spezialisiert hat, hat deshalb nun Verträge mit Beratungshäusern und einem Wirtschaftsprüfungsunternehmen geschlossen. „Diese Unternehmen haben in den vergangenen Jahren neue Teams und Spezialisierungen im Security-Umfeld aufgebaut. Die beraten Unternehmen strategisch, beispielsweise im Automotive-Sektor. Dort gibt es zahlreiche regulatorische Vorgaben, die diese Häuser bereits kennen und dahin gehend Knowhow haben. Deshalb macht es für uns viel mehr Sinn, mit diesen zusammenzuarbeiten“, erläutert Zorn.

Security- und Beratungskompetenz von BDO

Das Wirtschaftsprüfungsunternehmen mit dem Vdoo zusammenarbeitet ist BDO. Neben seiner Einheit für Wirtschaftsprüfung entstand in den vergangenen Jahren eine Digital Business Unit mit über 100 Mitarbeitern, darunter die Cybersecurity-Einheit mit rund 35 Mitarbeitern. Diese bieten Security von der Beratung bis zur Implementierung, von Compliance über API-Management, Identity Governance bis hin zu SOC-Leistungen an. Geleitet wird die Einheit von John-Erik Horn. BDO hat sich auf den gehobenen Mittelstand fokussiert.

Wer heutzutage als IT-Systemhaus mit einem enormen Bauchladen zum Kunden geht und behauptet, er sei in allem spezialisiert, macht sich schlichtweg unglaubwürdig.

Matthias Jablonski, Vorstand Kiwiko

„Unsere Kunden sind Unternehmen, deren IT-Abteilungen eine gewisse Größenlimitierung und deshalb Schwierigkeiten haben, die Bandbreite an Kompetenzen abzubilden, die nötig wären“, führt der Manager aus, der langjährige Security-Branchen-Expertise hat. Viele Anwenderunternehmen würden gerade zur Digitalisierung getrieben – vom Strategieberater, vom Markt oder der Pandemie, erläutert er die Situation der Zielgruppe. „Unser Alleinstellungsmerkmal ist unsere Kompetenz sowohl bei Compliance-Themen als auch beim Design und Betrieb von Technologie. Viele Konkurrenten beherrschen Compliance, können das aber technologisch nicht umsetzen. Andererseits kann man kann in Technologie investieren wie man will, wenn man Compliance-Themen außer Acht lässt, steht der Kunde halbangezogen da. Wir sind überzeugt davon, dass wir beides sehr gut können und das auch authentisch vertreten.“

Gabelstapler und Online-Bank sind zwei Welten

John-Erik Horn, Geschäftsführer BDO Cyber Security
John-Erik Horn, Geschäftsführer BDO Cyber Security
(Bild: BDO)

Horn spricht aus Erfahrung wenn er weiter ausführt: „„Die größte Angst des Mittelständlers ist, dass der Berater mit einem Framework aus einem Konzern kommt und ihm das blind aufoktroyiert. Deshalb ist für uns ganz wichtig, erst einmal das Geschäftsmodell des Kunden zu verstehen. Welche Geschäftsprozesse sind kritisch? Was macht das Unternehmen aus, auch kulturell? Ein Gabelstaplerhersteller vs. eine Online-Bank – das sind zwei sehr unterschiedliche Welten, wenn man sichere Prozesse gestalten möchte.“ Und mit einem Vorurteil, mit dem Beratungsunternehmen oft belegt werden, räumt Horn rigoros auf. In seiner Unternehmenseinheit hat man sich der agilen Methodik verschrieben. „Der klassische Gedanke, erst einmal mit ISO 27001 oder IT Grundschutz anzufangen, Richtlinien zu entwerfen und irgendwann einmal Maßnahmen umzusetzen, ist nicht zeitgemäß. Denn da gehen locker ein bis drei Jahre ins Land, bevor der Impact auf die technische Landschaft ankommt. Während man Richtlinien schreibt, ist das Scheunentor offen und es passiert ein Angriff.“

Deshalb hat BDO eine Methode entwickelt, um die Vorgehensweise zu parallelisieren. Natürlich müssen Prozesse etabliert und eine Sicherheitsorganisation geplant werden, aber von Anfang an müssen Anpassungen in der Technologie vorgenommen werden. „Der Kunde muss nicht zwei Jahre warten, um simple Basics zu erkennen: Netzwerke sollten segmentiert sein und das Berechtigungsmanagement muss funktionieren.“ „SOC, Secure API, Pentests, CASB, DevSecOps – das sind alles Angebote von uns, die Kunden parallel zu Compliance-Themen und der Strukturierung von Prozessen angehen können. So sieht unser pragmatischer Ansatz aus. Und der Mittelstand ist sehr pragmatisch.“

Die Kiwiko-Lösung

Matthias Jablonski, Vorstand Kiwiko
Matthias Jablonski, Vorstand Kiwiko
(Bild: Kiwiko)

Und ebenso pragmatisch wie Horn mit BDO den Markt angeht, scheinen dies auch andere zu tun. Denn genau wie Horn schildert, ist es für kleinere Systemhäuser oft schwierig, neben der technologischen Kompetenz auch die Beratungsleistung zu erbringen. Die Systemhaus-Kooperation Kiwiko hat das erkannt und bietet deshalb ihren angeschlossenen Partnern seit neuestem Beratungsservices von „White Label Advisory“ an. Im Verbund können damit Leistungen eines Full-Service-IT-Dienstleisters – von der Planung und Umsetzung, von IT-Infrastruktur-Projekten über die Server-Administration, die Netzwerk-Betreuung, Durchführung von IT-Security Audits bis zur Integration mittelständischer Software erbracht werden, heißt es.

Matthias Jablonski, Vorstand bei Kiwiko: „Wir glauben, wer heutzutage als IT-Systemhaus mit einem enormen Bauchladen zum Kunden geht und behauptet, er sei in allem spezialisiert, macht sich schlichtweg unglaubwürdig.“ Man müsse sich auf Schwerpunkte konzentrieren und einen Partner hinzuziehen, sobald eine spezielle Expertise gefordert sei. Denn ein Dienstleister ist nur so gut wie sein Netzwerk“, so Jablonski weiter.

Gründer und Geschäftsführer von White Label Advisory, Philipp Maier: „Mit dem kostenfreien Angebot für Kiwiko-Mitglieder, Teil des White-Label-Advisory-Netzwerks zu werden, schaffen wir Mehrwert. Kiwiko-Mitglieder können von dem Zugang zu Neukunden profitieren, die Klienten von White Label Advisory – häufig mittelständische Unternehmen – mit größerer Angebotsvielfalt bei IT-Projekten.

So sehr wie die Digitalisierung im Mittelstand gerade vorangetrieben wird, so viele Projekte wie es aufgrund von Edge, IoT, 5G, Security, Compliance und vielem mehr gerade gibt – es könnte Platz genug für alle Spielarten an Beratungs- und Technologiekompetenz geben.

(ID:47332954)

Über den Autor

 Sylvia Lösel

Sylvia Lösel

Chefredakteurin