Herr Kalweit, immer komplexere, intelligentere IT-Systeme ermöglichen immer effizientere Strukturen und Prozesse. Wachsen mit den Möglichkeiten automatisch auch die Risiken?

Grundsätzlich birgt jede neue Technologie auch potenzielle Gefahren, die es gilt präventiv abzudecken – was aufgrund des Innovationsaspektes allerdings zumeist erst mal in den Hintergrund rückt. Ein bekanntes Beispiel ist die Einführung von Sicherheitsgurten in der Automobilindustrie: erst die technologische Errungenschaft, dann die gesellschaftliche Reaktion und Regulierung.

Das lässt sich nicht prinzipiell ändern – es gilt also, diese beiden Pole in ein zeitlich angemessenes Verhältnis zu setzen. Wir müssen versuchen, mit dem Bewusstsein immer möglichst nah bei der Entwicklung zu sein. Das wird natürlich immer anspruchsvoller, je schneller die Dinge sich ändern, und kann in meinen Augen darum immer weniger sich selbst überlassen werden.

Die Digitalisierung bringt einfach zu schnell zu komplexe Innovationen hervor, als dass ein gesellschaftliches, regulatorisches Momentum sich schnell genug und problemgerecht entfalten könnte. Um mit den potenziellen Risiken angemessen umzugehen, bedarf es daher aus meiner Sicht starker staatlicher Impulse, sich mit IT-Sicherheit zu befassen. Zugespitzt formuliert: Da bräuchten wir vom Staat mehr eine Vorbildfunktion.

Da ist es wahrscheinlich nicht gerade hilfreich, wenn staatliche Institutionen – siehe das Beispiel „Bundestagshack“ – selbst nicht gerade Herr der Lage zu sein scheinen.

Das ist ein entscheidender Punkt: Es fällt schwer, auf Appelle seitens der Politik zu hören, wenn sie die Sicherheit der eigenen behördlichen Infrastruktur nicht  wirklich gewährleisten kann.

Da reicht die rein formale Autorität nicht aus. Und wenn der Eindruck entsteht, dass auch die eigentlich Verantwortlichen den Entwicklungen nicht angemessen begegnen können, laufen wir Gefahr, dass die Kluft zwischen technologischer Realität und ordnungspolitischer Reaktion immer größer wird – und im schlimmsten Fall irgendwann strukturell unüberbrückbar scheint.

Sie beraten nicht nur Unternehmen, sondern auch öffentliche Institutionen. Wie helfen Sie Ihren Kunden bei dieser riesigen Herausforderung?

Es gibt natürlich sehr viele verschiedene Akteure, die sich mit dem Thema IT-Sicherheit beschäftigen – was uns signifikant unterscheidet, ist, dass wir Sicherheitsmaßnahmen und -standards nicht nur verkaufen, sondern auch sicherheitsrelevante Stärken und Schwächen herausstellen, indem wir versuchen, Systeme aufzubrechen und Schwachstellen zu identifizieren.

Das ist deshalb so wichtig, weil man als „Angreifer“ eine ganz andere Herangehensweise hat: Wer sich verteidigen will, muss möglichst alle denkbaren Angriffspunkte antizipieren – wer angreift, kann sich auf eine Schwachstelle konzentrieren. Wir versuchen, beide Dimensionen nachzuvollziehen und für unsere Kunden abzubilden.

Informatik im Allgemeinen und die Sicherheit von modernen IT-Systemen im Speziellen sind für die allermeisten Menschen schon grundsätzlich kaum zu verstehen – und das Ganze wird auch noch immer schneller immer komplexer. Erleben Sie oft, dass Ihre Ansprechpartner im Grunde schlicht und einfach nicht mehr mitkommen?

Das ist tatsächlich der Grund, warum ich mein Hobby zum Beruf gemacht und dieses Unternehmen gegründet habe. Mir geht es in erster Linie nicht um „das Geschäft“, sondern wirklich um die Sache, nämlich einen Beitrag zu leisten, unsere Systeme sicherer zu machen – und dabei das Thema IT-Sicherheit nicht nur verständlicher, sondern auch attraktiver darzustellen.

Denken Sie zum Beispiel an moderne Actionfilme, in denen das Austricksen komplizierter Sicherheitssysteme eine aufregende Herausforderung ist, die geniale Technik ebenso wie kreatives Denken verlangt. Das ist auch mein Grundgedanke: IT ist spannend! IT kann Spaß machen! Mal ganz abgesehen von der längst existenziellen Rolle und Bedeutung für unsere Gesellschaft. IT-Security könnte aus vielen Gründen als regelrechte „Königsdisziplin“ wahrgenommen werden – sie wird aber vor allem als unglaublich langweilig, als bürokratisches „notwendiges Übel“ kommuniziert.

Das beste Beispiel ist die DSGVO: Der Grundgedanke war und ist doch im Sinne der vorhin angesprochenen gesellschaftspolitischen Reaktion, uns und unsere Grundrechte zu schützen! Aber wie wird die Geschichte kommuniziert? Hauptsächlich als nerviger,  irgendwie diffusen Systemzwängen geschuldeter Katalog neuer Regeln, die es jetzt nun mal zu befolgen gilt.

Die IT-Abteilungen stöhnen auf und informieren die Mitarbeiter sowie Kunden nach dem Motto: „Tut uns leid, wir wissen, es ist super langweilig, aber wir sind verpflichtet, euch über eure neuen Verpflichtungen in Kenntnis zu setzen …“ Da wird in meinen Augen vieles nicht besonders gut gemacht. Mein persönliches Ziel ist, es besser zu machen. Dafür stehe ich mit meinem Unternehmen." --> "Die IT-Abteilungen stöhnen auf und informieren die Mitarbeiter sowie Kunden nach dem Motto: „Tut uns leid, wir wissen, es ist super langweilig, aber wir sind verpflichtet, euch über eure neuen Verpflichtungen in Kenntnis zu setzen …“ Da wird in meinen Augen vieles nicht besonders gut gemacht; unabhängig der fehlenden Praxisnähe der DSGVO. Mein persönliches Ziel ist, es besser zu machen. Dafür stehe ich mit meinem Unternehmen.