Secnovum: von der Initiative zum Verein
Innerhalb der Initiative secnovum engagiert sich die SmartIT für eine angemessene IT-Sicherheit in kleinen und mittleren Schweizer Unternehmen. Einst wurde die Initiative von Daniel Jäggli, Carlos Rieder und Philipp Koch gegründet. Aktuell befindet sie sich in einem Wandel. Dazu wollte ich mehr erfahren und habe bei einem der Gründerväter angeklopft.
Philipp, Du bist einer der drei Gründerväter von secnovum. Was waren Deine Visionen?
In der Regel wird ein Unternehmen in Sachen IT und somit auch IT-Sicherheit von seinem IT-Dienstleister beraten, welcher dann auch die Lösungen umsetzt. Danach kommt irgendwann ein Auditor und überprüft die IT-Sicherheit des Unternehmens und findet dann, dass es hätte anders gemacht werden sollen. Die ursprüngliche Idee von secnovum, war es, diese beiden Seiten, der IT-Dienstleister und der Auditor bzw. Berater für IT-Sicherheit früher im Prozess an einen Tisch zu bringen. Damit die gebauten Infrastrukturen von Beginn an sicher sind und somit den Auditoren entsprechen. Statt sich nach abgeschlossener Bauphase auf die Fehlersuche zu begeben, stand für uns immer die beste möglich Lösung für den Kunden im Zentrum. Das erreichen wir nur, wenn wir zusammenarbeiten. Wenn der Auditor die Infrastruktur Unternehmen bereits vor der Bauphase begleitet. Dadurch entspricht die gebaute Lösung von Anfang an den Bedingungen des Auditors und ist eindeutig sicherer. Nur schon des 2 Augen-Prinzipes wegen. Dadurch können auch unnötige Investitionen und Mehrkosten beim Kunden vermieden werden. Natürlich macht die strikte Trennung macht aus dem Aspekt der Unabhängigkeit Sinn. Dennoch sind wir der Meinung, dass es hier um die Qualität der Lösung des Kunden geht, und nicht um «wer hat recht & wer nicht».
Secnovum steht vor einer Veränderung. Wieso kommt es dazu?
Bis anhin war secnouvm ein Gefäss, wovon hauptsächlich die einzelnen Mitglieder profitiert haben. Klar kam der zuvor beschriebene Austausch den Kunden der einzelnen secnovum Mitglieder zugute. Dennoch gab es kein Angebot für Kunden aus dem Hause secnovum. Das wird sich nun ändern. Wir stellen fest, dass wir durch unsere einzigartige Zusammensetzung in verschiedenen Hinsichten interessant sind - auch für andere Organisationen. Es erreichen uns Anfragen nach Unterstützung, welches durch unser gebündeltes Schwarmwissen durchaus spannend ist. Wir wollen aber bewusst keine klassische wirtschaftliche Unternehmung mit Profitzielen daraus machen - der Geist der Initiative soll aufrechterhalten bleiben. Das ist der Grund, weshalb wir nun im September einen Verein aus secnovum gegründet haben. Wir wollen von aussen her als eine Einheit wahrgenommen werden und müssen fähig sein, eine Rechnung zu stellen. Wir benötigen immer mehr Mittel, um beispielsweise die Website aufrechtzuerhalten und Aktivitäten umzusetzen. Deswegen werden wir ab nun auch bei den einen oder anderen Aufträgen gegen Bezahlung mitarbeiten.
Die Rechtsform ist auch deswegen von Vorteil, weil wir unter anderem auch mit dem Bund in Kontakt stehen. Dieser schaut stark darauf, mit wem er zusammenarbeitet und sucht bewusst den Non Profit Unternehmen als Partner.
Inwiefern ändert sich dadurch das Produkteportfolio von secnovum?
Wir werden wahrscheinlich kein fixes Portfolio an Produkten mit klar definierten Preisen haben. Es wird eher projektbasiert sein – das heisst, dass wir in konkrete Projekte miteinbezogen werden, welche sich voneinander differenzieren. Deswegen erfolgt auch die Verrechnung nach individueller Offerte.
Ein konkreter Bereich, indem wir aber tätig sein werden, ist die umfassende Beratung – auch als Auditoren. Gerade aktuell arbeiten wir in einem grösseren Projekt mit, bei dem es um den Aufbau eines neuen Gütesiegel für IT-Unternehmen geht – den sogenannten CyberSeal. Dieses soll im November gelaunched werden. Vergeben wird dieses Siegel von ADSS, einem neuen Verein vom Bund / NCSC, Digital Switzerland und der Mobiliar. Wir von secnovum haben dabei eine Entscheidende Rolle gespielt und werden dies in diesem Projekt auch weiterhin tun. Unteranderem stellen wir Auditoren, welche diese Kriterien in den Unternehmen prüfen und das Gütesiegel vergeben aber auch bei dessen Aufrechterhaltung unterstützen. Wir bilden diese Auditoren entsprechend selbst aus. Zudem überarbeiten wir den technischen Inhalt laufen und passen diesen den aktuellen digitalen Gefahren an.
Wie entstand die Idee von CyberSeal?
Die Idee stammt aus einer Umfrage, welche vom Bund in Zusammenarbeit mit der Mobiliar und Digital Switzerland gemacht wurde. Dabei wurden KMU in der Schweiz befragt, was sie zur Erhöhung von Cybersicherheit unternehmen. Fast ausnahmslos war die Antwort: «Keine Ahnung, das macht unser IT-Partner für uns.» Der Bund hat den Auftrag die Wirtschaft in der Schweiz zu sichern. Durch die Umfrage wurde klar, dass die 586'000 KMU (Unternehmen mit weniger als 250 Mitarbeitenden) in der Schweiz über ihren IT-Partner zum ihrer IT-Sicherheit kommen. Es gibt in der Schweiz rund 5'000 solcher IT-Dienstleister, Softwarelieferanten und Cloud Provider. Der Bund hat entschieden, mit CyberSeal für einmal nicht direkt auf diese KMU zuzugehen und stattdessen deren IT-Partner weiterzuentwickeln.
Gibt es denn nicht bereits solche Gütesiegel?
Es gibt bereits ähnliche Zertifizierungen, wie beispielsweise die ISO 27001 Zertifizierung. Diese jedoch ist für kleinere IT-Partner mit fünf bis zehn Mitarbeitenden praktisch unmöglich zu erreichen. Sie sind viel zu aufwändig und vor allem auch zu kostenintensiv für ein solch kleines Unternehmen. Genau diese Lücke will CyberSeal schliessen. Das Schöne an CyberSeal ist, dass das Zertifizierungsverfahren viel schneller geht als bei einer ISO Zertifizierung. Das ist möglich, weil wir über den Bund und die Mobiliar Zugang haben zu realen und aktuellen Schadensmeldungen, anhand deren können wir das Siegel aktuell und praxisnah halten. Weiter finde ich die Augenhöhe mit unseren Kunden, also den 5'000 IT-Dienstleister erwähnenswert. Wir sind keine Polizisten, sondern sorgen gemeinsam mit den IT-Dienstleister für eine Weiterentwicklung in der Begleitung von KMU.
Wieso ist secnovum der ideale Partner für die Entwicklung von CyberSeal?
Secnovum eignete sich deshalb als Partner zur Definition der Anforderungen, weil wir der ideale Mix aus IT-Dienstleister, einer technischen Hochschule und verschiedene Beratungsunternehmen sind.
In der Betaphase 1 haben wir zwei Unternehmen auditiert und anschliessend die Erfahrungswerte verarbeitet. Aktuell stecken wir in der Betaphase 2, in der wir zehn IT-Dienstleister auditieren. Im Anschluss werden wird das Feedback erneut konsolidieren und zum finalen Standard verarbeiten. Sobald wir diesen haben, beginnt die Vermarktung von CyberSeal. Ab dann bieten wir das Gütesiegel den rund. 5'000 IT-Dienstleister an. Geplant ist dies im November dieses Jahres.
Welche neuen Partnerschaften resultieren aus den Veränderungen?
Nebst dem Verein ADSS mit seiner breiten Trägerschaft gibt es noch Cybero – auch ein Produkt der Mobiliar – auch hier macht secnovum mit. Ansonsten gibt es aktuell keine neuen Partnerschaften. Unsere Partnerlandschaft kann sich aber jederzeit wieder verändern.
Inwiefern profitieren Kunden von den Veränderungen oder was dürfen sie in Zukunft noch vom Verein erwarten?
Für den Kunden verändert sich in erster Linie nicht viel. Dennoch glaube ich, dass das Angebot erweitert wird - mit anderen Worten, der Kunde wird mehr von uns hören und profitieren. Wir bestehen nun bereits 5 Jahre und konnten die Zusammenarbeit unter den Mitgliedern festigen und weiterentwickeln. Das kommt dem Endkunden sicherlich zugute. Wir kennen uns gut und können Anfragen im Netzwerk an den idealen Spezialisten weiterleiten. Ich bin überzeugt, dass das Know-How und das Angebot jedes einzelnen secnouvm Mitglied vollständiger ist, weil er bei secnovum mit dabei ist und dadurch einen zusätzlichen Blickwinkel auf die Thematik gewonnen hat. Wie bereits erwähnt ist aktuell kein Standardangebot von secnovum angedacht, dennoch will ich das für die Zukunft nicht ausschliessen. Wir diskutieren fast in jedem MeetUp über mögliche Dienstleistungen und Angebote. Ideenquelle hierzu ist immer die Praxis, teilweise sogar konkrete Anfragen. Aktuell steht aber die die Vereinsgründung wie auch das laufende Projekt rund um CyberSeal im Vordergrund.