Sehr geehrter Herr Staatssekretär, verehrte Mitglieder des

 Sehr geehrter Herr Staatssekretär,
verehrte Mitglieder des Preisverleihungskomitees,
meine Damen und Herren,
zuallererst möchte ich mich bei den Mitgliedern der Jury
bedanken, dass ich heute für unser Unternehmen einen Preis
entgegennehmen darf für das, was wir gestaltet und
durchgeführt haben und was wir jeden Tag aufs Neue zu
leben versuchen.
Dabei weiß ich sehr wohl, dass die Verleihung des Preises an
uns nicht ganz unumstritten ist, denn das wofür wir prämiert
werden ist weder einfach noch vollständig auf andere
Organisationen übertragbar. Für kleine Unternehmen ist es
zu aufwändig, große Unternehmen verfügen über andere
Methoden um sich zu schützen und der Mittelstand, der ja
bekanntlich das Rückgrat unserer baden-württembergischen
Wirtschaft und somit unserer gesamten Gesellschaft ist,
glaubt zumindest noch häufig andere Probleme zu haben als
IT-Sicherheit, Datenschutz und Zertifizierungen.
Dass dies ein Irrtum ist, dass gerade unsere
mittelständische Wirtschaft aus sicherheitszentrischem
Vorgehen und einer Zertifizierung viel lernen und profitieren
könnte, will ich aufzuzeigen versuchen. Dabei ist mir klar,
dass es sich nie um 1:1 –Übertragung handeln kann und auch
nicht soll. Vielmehr stellt unser Weg ein Modell für das
Maximum dessen dar, was hinsichtlich Zertifizierung sinnvoll
erreichbar ist – in Sachen IT-Sicherheit, Datenschutz und
letztlich in Sachen Compliance.
Die mittelständische Wirtschaft unseres Bundeslandes mit
ihren vielen „Weltmarktführerle“ weckt in hohem Maße
Begehrlichkeiten. Da diese Unternehmen gerade wegen der
hohen IT- Durchdringung ihrer Geschäftsprozesse so
erfolgreich sind, müssen sie ihre IT in besonderem Maß
schützen.
Die Frage: „Schützen warum?“ ist also leicht beantwortet.
Unser schwäbischer Dichterfürst sagt „ Es kann der
Frömmste nicht in Frieden leben, wenn es dem bösen
Nachbarn nicht gefällt“ Überdurchschnittliche Leistungen,
Vermögen, Wohlstand wecken Neid, der sich im
ungünstigsten Fall dann mit krimineller Energie paart.
Die weiteren Fragen neben dem "Wie zu schützen ist" sind
also „Schützen vor wem?" und "Schützen wovor?“ Es sind
dabei nicht immer nur die üblichen Verdächtigen, also die
ehemaligen GUS-Staaten und China, mit denen wir ja üppig
Handel treiben und deren Geräte wir in hochbrisanten
Umgebungen einsetzen ohne wirklich zu wissen was sie da
alles tun. Es sind neben Millionen von Hackern, die mit
unterschiedlich hoher krimineller Energie und aus
verschiedenster Motivation heraus Schaden anrichten und
Daten stehlen, sicherlich häufig Wettbewerber und es sind
große kriminelle Organisationen. Es sind aber auch – und sie
sind die Gefährlichsten – staatliche Organisationen aus dem
Kreis unserer Freunde – und dazu sage ich nur: Wer solche
Freunde hat, der braucht keine Feinde mehr.“
Natürlich gibt es eine Vielzahl anderer Bedrohungen eher
aus dem Elementarbereich: Feuer, Wasser, Verrauchung bis
hin zu physischen terroristischen Angriffen, die mit
zunehmender krimineller Intelligenz der Tätergruppen sich
gegen IKT- Einrichtungen richten werden, weil erkannt wird,
dass man so viel mehr Schaden anrichten kann als mit
Nagelbomben in Fußgängerzonen und man so gleichzeitig
noch klammheimliche Befürworter in der Bevölkerung findet.
Die Unternehmens-IT gegen all diese Bedrohungen
abzusichern ist eine Verpflichtung, die einerseits dem
Selbstschutz entspringt, aber auch eine Verpflichtung
gegenüber Mitarbeitern, Shareholdern, Investoren, ja
gegenüber unserer gesamten Gesellschaft. Es gibt
ausreichend Tools und Methoden, um sich gegen das Gros
von Angriffen und Diebstahlversuchen und physischen
Gefahren zu schützen oder im letzteren Fall zusätzlich
abzusichern. Die Unternehmen müssen begreifen, dass man
diese Pflicht nicht ohne Mühe und ohne organisatorischen
und - ja: auch finanziellen Aufwand erfüllen kann, sie aber
trotzdem fortlaufend erfüllen muss.
Das zweite Thema, das uns als Unternehmen kontinuierlich
beschäftigt, ist der Datenschutz. Glücklicherweise ist der
Datenschutz in Deutschland (und kuenftig EU-einheitlich) auf
hohem Niveau geregelt. Verstöße sind strafbewehrt, wobei
ich der Ansicht bin, dass die Strafen bei vorsätzlichen
Verstößen weder hoch noch schmerzhaft genug sind. Wenn
sich mit der Tat deutlich mehr verdienen lässt als die Strafe
kostet, dann ist diese ein zahnloser Tiger.
Eine sinnvolle Etablierung und Aufrechterhaltung von ITSicherheit und die Einhaltung des Datenschutzes können
entlängs den Vorgaben des BSI nicht ohne Mühe aber in
machbarer und tragfähiger Weise erreicht werden.
Eine Zertifizierung zumindest der wichtigsten
Geschäftsprozesse kann daher allen Unternehmen nur
dringend empfohlen werden. Neben dem dadurch erhöhten
Schutz der IT vor unterschiedlichsten Gefahren lässt sich
laufend Optimierungspotential erkennen und nutzen. Dies
führt mittelfristig zu einem Return des in die Zertifizierung
getätigten Invests.
Die Pflicht, die Unternehmens-IT abzusichern und den
Datenschutz streng zu beachten, ist Teil der UnternehmensCompliance. Compliance muss bei Neugründungen von
Anfang an und bei bestehenden Unternehmen unter Führung
und Vorbild der Geschäftsführung tief in der
Unternehmenskultur verankert sowie in den
Unternehmensgrundsätzen festgeschrieben werden.
Zur Compliance gehört neben absoluter Gesetzestreue ein
anständiges Verhalten gegenüber jeglicher Form von
Partnern, gegenüber Lieferanten, gegenüber Kunden und
insbesondere gegenüber Mitarbeitern. Strikte Einhaltung des
Mitarbeiterdatenschutzes, klare Führung, Fairness,
Verständnis und Fürsorglichkeit sind Grundbedingungen.
Werden sie gelebt, dann wird die Gefahr minimiert, dass
Mitarbeiter zu Feinden oder Feindeshelfern der eigenen
Unternehmens IT werden.
Zum Schluss: Wo immer gearbeitet wird – werden Fehler
gemacht. Unsere Wirtschaft, wie unser gesamtes Leben ist
nicht ohne Gefährdungen. Und so wie es keine absolute
Gerechtigkeit gibt, so gibt es auch keine absolute
Sicherheit. Aber um jetzt den anderen Dichterfürsten zu
zitieren: „Wer immer strebend sich bemüht, den können wir
erlösen.“ Ich danke Ihnen!