1-11-2016 Gedruckt am 25-06-2017 aus www.monitor.co.at/index.cfm/storyid/17013

Interview - Dieter Steiner, SSP Europe

Top-Security zum Preis eines Geschäftsessens

Dieter Steiner ist Geschäftsführer sowie Gründer von SSP Europe und ein europäischer Pionier im Managed-Security-Segment. Außerdem hat das Unternehmen eine hochsichere Dateiaustausch-Plattform aus der Cloud entwickelt, die im DACH-Raum "mehr zahlende Kunden hat als Dropbox und Box.com", wie Steiner im Interview mit monitor.at nicht ohne Stolz verrät.

Rudolf Felser

Dieter Steiner ist mit Secure Data Space ein Hidden Champion im DACH-Raum. (c) Rudolf Felser

 Die SSP Europe GmbH mit Hauptsitz in München entwickelt Cloud- und IT-Security Services, die sich für den Einsatz bei Kleinunternehmen bis hin zu internationalen Großkonzernen eignen. Das SSP im Unternehmensnamen steht für "Secure Service Providing". Zu den Kernprodukten zählt unter anderem das Produkt "Secure Data Space", das sowohl Privat- als auch Businesskunden eine hochsichere Dateiaustauschplattform aus der Cloud bietet. Das Produktportfolio umfasst darüber hinaus IT-Security-Services und -Lösungen von Firewall- und Intrusion Prevention Systemen, Spam- und Virenschutz, Remote Access, über IT-Services und -Lösungen wie Hosted Exchange, Online-Backup, Secure Data Space bis hin zu Leitungsproviding, Housing und Hosting. 
 
Im Interview mit monitor.at spricht Geschäftsführer Dieter Steiner über seine ersten Berührungspunkte mit dem Managed-Security-Konzept, welche Vorteile es bietet – und wieso sich kleine Unternehmen nicht zu sicher vor Cyberattacken fühlen sollten.  
 
Herr Steiner, wie sind Sie mit dem Thema Managed Security in Berührung gekommen? 
Dieter Steiner: Da muss ich etwas ausholen. Mein erstes Unternehmen habe ich 1993 in Regensburg gegründet. Mitte der 90er-Jahre haben wir uns auf IT-Netzwerklösungen spezialisiert. Damals kamen das Internet und E-Mail auf und wir haben uns schnell in Richtung IT-Security-Consulting bewegt. Die Unternehmen wollten ins Internet und wir haben mit unserem Know-how die Unternehmen vor Ort unterstützt. Ende der 90er-Jahre kamen dann die Managed Security Services. Damals haben die Unternehmen sehr wohl noch die Hard- und Software selbst angeschafft, aber spezialisierte Unternehmen wie eben die SSP haben das Management der Systeme als externe Partner übernommen. Als nächstes kam die Frage auf: Wieso sollen die Unternehmen einen Haufen Geld für Hard- und Software ausgeben? Software muss man updaten, Hardware muss man alle zwei Jahre austauschen. Warum nicht gleich in ein komplett gemanagtes Modell einsteigen? Unser Lösungsansatz war in Colocation-Fläche von Rechenzentrums-Infrastruktur-Anbietern zu gehen und dort professionelle Security-Komponenten aufzubauen, dann die Unternehmensstandorte daran anzubinden und erst von dort einen gesicherten Internet-Breakout zu machen. Das bringt eine Riesen-Palette an Vorteilen. Umgesetzt haben wir das 2003. Dadurch haben wir vom Bayrischen Roten Kreuz den Zuschlag für den WAN- und Security-Betrieb von über 700 Standorten bekommen. Das war für uns der Startschuss, parallel die Infrastruktur aufzubauen, um den Service für viele Kunden anzubieten. Ob dann ein Unternehmen drei Rechner hat, oder 3.000, ist in so einem Betriebsmodell völlig irrelevant.
 
Mit welchen Problemen, Ängsten oder Security-Sorgen kommen die Kunden derzeit am häufigsten zu Ihnen? 
Das ist die ganze Bandbreite der Themen, die man über die Medien mitbekommt: von Datenspionage und Industriespionage bis hin zu Hackern, die schnelles Geld machen wollen. Allen voran aktuelle Betrugsszenarien, bei denen sich zum Beispiel jemand als Chef ausgibt und Überweisungen in Millionenhöhe veranlasst. Aber auch die Überforderung der Nutzer mit der modernen App-Welt ist ein Thema für uns. Denn ein Foto von einem Geschäftsessen mit einem Partnern auf Facebook auf den privaten  Account hochzuladen ist eine Sache. Wenn ich aber dann als Anwender nicht mehr unterscheiden kann, ob ich sensible Unternehmensdaten auch über solche Kanäle schicken kann – vielleicht nicht Facebook sondern WhatsApp, Dropbox oder wie sie alle heißen – dann komme ich in eine ganz andere Dimension. 
Die Awareness für diesen Unterschied bei den Unternehmen zu schaffen zählt seit vielen Jahren zu unseren Aufgaben. Viele Unternehmer haben noch nicht verstanden, dass ihr größter Schatz in Datenform vorliegt. Egal ob als Schreiner mit einer computergesteuerten Maschine oder in Forschung und Entwicklung.  An diese Daten heranzukommen ist für zwielichtige Gestalten höchst interessant. 
 
Wie unterscheiden sich die Ansprüche von kleinen, mittleren und großen Unternehmen, wenn es um das Thema IT-Sicherheit geht? 
Der Schaden ist bei jedem Unternehmen gleich und geht bis hin zur Existenzbedrohung, egal ob ich eine Zwei-Mann-Firma bin oder 100.000 Mitarbeiter habe. Die Bedrohungsszenarien und Interessen sind die gleichen. Die meisten kleinen Unternehmen meinen, sie sind für Angreifer nicht interessant, ohne zu erkennen, dass über 90 Prozent der Scan- und Angriffsvarianten automatisiert stattfinden und auf öffentliche IP-Adressen zielen. So eine hat jedes Unternehmen, jedes Device, das sich im Internet bewegt.  
 
Welche Vorteile hat Managed Security – oder, wie Sie es nennen, Secure Service Providing? 
Da gibt es mehrere Bereiche. Betriebswirtschaftlich habe ich keine extrem hohen Investitionskosten, ich kann in ein Subscription-Modell wechseln, ich habe SLAs, kann einen Austauschservice buchen, habe eine Hotline und auf Wunsch bis zu 24/7-Service – und ich kann das weltweit tun. Wenn man sich ausrechnet, was man an eigenem IT-Personal vorhalten müsste, wenn man so etwas selbst auf die Beine stellen wollte, vielleicht auch noch an mehreren Standorten, sieht man schnell die Kosteneinsparungs-Potenziale. 
Technisch gesehen ist man bei einem seriösen Managed-Security-Anbieter immer auf dem aktuellsten Stand. Er kann auch pro-aktiv auf neue Angriffswellen reagieren. 
Das nächste, und mit am meisten unterschätzte Thema ist das Rechtliche. Da spielen Themen wie Compliance, Datenschutz und Datensicherheit mit rein, bis hin zum Versicherungsschutz. Wenn ich heute mit meiner eigenen IT-Abteilung eine Security-Lösung aufbaue und ich werde angegriffen – selbst wenn es eine neue Malware-Variante ist, siehe Ransomware & Co. – dann zahlt mir keine Versicherung dieser Welt einen Cent. Habe ich das aber an einen externen Partner outgesourct gibt es Versicherungsschutz bis auf Haftpflichtschadens-Ebene. Das alleine schlägt schon wieder die Brücke zurück zum Betriebswirtschaftlichen. Da werde ich ja einen Teufel tun, und selbst herumbasteln.  
Ich kriege also Top-Security zu dem Preis von nicht mehr als einem Geschäftsessen pro Monat, ich bin rechtlich abgesichert und ich kann damit auch guten Gewissens meinen Partnern gegenüber auftreten. Als Zulieferer in der Industrie oder in egal welcher Branche muss man ja gewisse Sicherheitsstandards einhalten. Das schaffe ich so mit ein paar Euro im Monat. 
 
Wenn ich mich als kleines Unternehmen, entweder neu gegründet oder bislang in Security-Dingen eher sorglos, dazu entscheide, das Thema richtig anzupacken, wo sollte ich anfangen? 
Ich muss mich irgendwie ans Internet anstöpseln. Das geht los bei der Firewall. Man sollte aber nicht reine Paketfilter betreiben sondern eine Firewall mit entsprechender Intelligenz wählen. Wenn ich ein Security-as-a-Service-Modell wähle, dann kann die Firewall aber ruhig auch dumm sein, denn sie stellt ja nur eine verschlüsselte Verbindung zum Rechenzentrum zur Verfügung. Dann ist der komplette Traffic über das Rechenzentrum geschützt und ich kann mir nach dem Baukastensystem die weiterführende Security zusammenstellen: Enterprise Security für den Schutz der Rechner, eine Mail-Security-Lösung für den Gateway damit Viren und Spam-Mails vorgefiltert werden, ein Web-Proxy, damit Mitarbeiter nicht aus Versehen auf Schmuddelseiten oder Gott-weiß-was landen bis hin zu Remote Access oder Dateiaustausch. Eine solide State-of-the-Art-Security beginnt dann bei 8 Euro pro User und Monat und geht bis 12 oder 15 Euro. Dafür kann ich mir eine High-Level-Security-Lösung zusammenstellen, die performant und stabil ist. 
 
Wie lange dauert es, beispielsweise als Unternehmen mit 20 Usern, um so ein Projekt auf Schiene zu bringen? 
Wenn Unterstützung da ist, das Organisatorische erledigt ist, etwa die Zugangsdaten vom Internet Provider vorhanden sind, dann ist es netto in einer Woche erledigt.
 
 
Sie beschäftigen sich neben "klassischen" Security-Themen wie Hackern, Malware oder Spionage auch mit dem Umgang mit sensiblen Daten im Unternehmensumfeld?   
Genau deswegen haben wir den Secure Data Space entwickelt. Da vereinen wir für den Anwender einfache Funktionalität mit Administrierbarkeit und höchstem Schutz, die man in so eine Dateiaustausch-Lösung integrieren kann, für das Unternehmen. Also gesichert, aber anwendbar. Als "Hidden Champion" sind wir im Markt nicht so bekannt. Wenn man dann aber mitbekommt, dass wir über OEM-Partner wie Hutchison Drei in Österreich, die Deutsche Telekom, die Bechtle AG und viele mehr, die damit unter eigener Corporate Identity ein eigenes Produkt am Markt vertreiben, stark präsent sind, ändert sich das Bild. 
 
Betreiben diese OEM-Partner das Produkt selbst im eignen Rechenzentrum? 
Das ist ganz gemischt. Die Deutsche Telekom macht es zum Beispiel selbst, Für Hutchison Drei in Österreich machen das wir mit dem lokalen Anbieter Anexia zusammen. Wir suggerieren hier nicht nur Sicherheit, sondern es wird genau geprüft, dass die Daten die Landesgrenzen nicht verlassen. Der Anwender kann auch selbst entscheiden, ob clientseitig noch einmal verschlüsselt wird. Wenn ich die clientseitige Verschlüsselung nutze, könnten wir die Secure-Data-Space-Lösung auch auf den Servern der NSA installieren, weil selbst sie bei dem aktuellen Verschlüsselungsniveau über ein Jahr brauchen würden, um Datenfragmente zu knacken.  
 
Auf dem Ihrem Produkt Secure Data Space liegt derzeit – abseits von Managed Security – der Fokus von SSP Europe? Herrscht da die größte Nachfrage? 
Ja. Wir haben damit eine ganz klar am Kunden orientierte Enterprise-File-Sync-and-Share-Lösung entwickelt, mit den Erfahrungen die wir über viele Jahre gesammelt haben. Das ist eine solide Basis für unseren Erfolg, mit mittlerweile über einer Viertelmillion aktiven, zahlenden Usern mit unseren Partnern gemeinsam. Mit Test-Accounts sind es in Summe über 400.000 Kunden. Die Userzahlen gehen exponentiell nach oben, je mehr diese Lösung kennenlernen. In der DACH-Region haben wir mehr zahlende User als Dropbox und Box.com. 
 

Zur Person: 

Dieter Steiner ist Geschäftsführer der SSP Europe GmbH mit Hauptsitz in München. Der Ingenieur und promovierte Wirtschaftsinformatiker entwarf das Security-Service-Providing-Konzept von SSP Europe und setzte es mit einem Team von Technikern und Ingenieuren als geschäftsführender Gesellschafter der A.P.E. GmbH IT-Security um. Die Entwicklung des Modells begann 2004. Anfang 2008 gründete Dieter Steiner die strategische Geschäftseinheit in die SSP Europe GmbH aus. In seiner 1993 in der IT-Branche begonnenen Laufbahn hat Dieter Steiner unter anderem zwei IT-Systemhäuser am Markt eingeführt und eine Vielzahl an Großprojekten realisiert.