#absolventumTALK mit Thomas Neeff
02.05.2024
ABSOLVENTUM war in den vergangenen Monaten von einem weitreichenden Cyber-Angriff betroffen, weshalb wir das Thema Cybersicherheit als Aufhänger für ein Interview mit unserem Mitglied Thomas Neeff nutzen. Er ist CEO und Gründer von TEN Information Management, ein IT-Unternehmen, das auf präventive Cyber-Sicherheit spezialisiert ist.
Für welchen Studiengang hast du dich an der Universität Mannheim entschieden und warum wolltest du hier studieren?
Ich habe von 1996 bis 2002 Wirtschaftsinformatik studiert; damals noch im Diplomstudiengang, den es heute so gar nicht mehr gibt. Ich war schon immer sehr interessiert an IT und Computern, was wahrscheinlich daran liegt, dass ich in den 80er und 90er Jahren aufgewachsen, und zur Schule gegangen bin, als die ersten Personal Computer herausgekommen sind. Und ich habe, wie viele in meinem Alter damals, auch einige Abende und Nächte vorm PC verbracht. Als ich mich dann nach dem Abitur gefragt habe, was ich eigentlich machen möchte, dachte ich mir dann reine Informatik wäre nichts für mich, da ich auch Spaß am Wirtschaften habe und na ja, die Kombination aus Betriebswirtschaft und Informatik war dann eigentlich genau das Passende und so kam ich zur Wirtschaftsinformatik.
Wie hast du dein Studium an der Universität erlebt?
Ich habe überwiegend positive Erinnerungen an meine Zeit in Mannheim. Die erste Zeit war etwas anstrengend für mich, weil ich die ersten zwei oder drei Semester noch zu Hause gewohnt habe und gependelt bin. Ich hatte nach dem Grundstudium auch mal eine Phase, in der ich alles hinschmeißen wollte, da habe ich dann ein Urlaubsemester eingelegt und bin für eine Werkstudierendentätigkeit ins außereuropäische Ausland gegangen. Das hat mir dann wieder die Kraft und die Motivation gegeben, mein Studium mit gutem Erfolg fortzuführen und abzuschließen. Positiv mit meiner Studienzeit in Mannheim verbinde ich außerdem die vielen Schneckenhofpartys, sowie die unheimlich vielen nette Menschen, die ich kennengelernt habe, mit denen ich auch heute noch regelmäßig Kontakt pflege. Etwas, was ich versuche, auch immer meinen Kindern mitzugeben und was ich jedem jungen Menschen mitgeben möchte, der sich für ein Studium entscheidet, ist: Man lernt an einer Universität hauptsächlich methodisch zu denken und sich neue Sachverhalte selbst anzueignen. Gerade in meinem Fachbereich veraltet Wissen sehr schnell und da kommt es nicht so sehr darauf an, dass man die Inhalte einmal speichert und dann für sein ganzes Berufsleben abruft, sondern es kommt aus meiner Sicht sehr viel mehr darauf an, dass man lernt zu lernen und sich selbst auch entsprechend Dinge beizubringen. Das ist für mich auch eines der wesentlichen Key Take aways aus meiner Zeit hier in Mannheim und bin ich meinen Hochschulprofessoren enorm dankbar, mir eben diese Fähigkeit vermittelt zu haben.
Wie ging es nach deinem Abschluss an der Uni Mannheim weiter?
Ich war 2002 mit dem Studium fertig und das war das Ende dieser sogenannten „.com” Phase und es war schwierig, als Berufseinsteiger eine angemessene Position zu finden. Ich hatte allerdings Glück, denn ein damaliger Bekannter, heute ein Freund sowie Ehemann einer Studienkollegin, hat mich quasi nach München gelotst und gesagt, es gibt dort eine Firma, die könnten genauso jemanden brauchen wie mich. So kam ich nach München und dort war ich die ersten Jahre in einer mittelständischen Unternehmensberatung tätig. Danach hat es mich zum schwäbischen Autobauer nach Stuttgart verschlagen, der heute zu dem großen Konzern aus Wolfsburg mit akuten Softwareproblemen gehört. Dann war ich knapp sechs Jahre bei SAP und danach habe ich mich als Einzelunternehmer im IT und IT-Sicherheitsbereich selbständig gemacht. Vor knapp vier Jahren haben wir gesagt, wir wollen das Ganze mal noch größer und solider auf die Beine stellen und so die TEN Information Management gegründet, die sich heute mit den Themen organisatorische Informationssicherheit und Technische IT-Sicherheit beschäftigt.
Was waren die wichtigsten Meilensteine deiner beruflichen Karriere?
Einer der Meilensteine war sicherlich 2013, als ich während meiner Elternzeit mit meiner Frau und meiner Tochter durch die USA gereist bin und mir dort dann die Inspiration zum Gründen kam. Ich dachte mir damals, arg viel schiefgehen kann eigentlich nicht, probierst du das einfach mal aus und wenn es nicht aufgehen sollte, dann wird dein eigenes persönliches Netzwerk es schon hergeben, dass du auch wieder in eine Festanstellung zurückfindest. Diese Notwendigkeit hat sich aber seither nicht ergeben. Also ich bin sehr zufrieden, mit dem und in dem, was ich mache.
Deine Firma, TEN Information Management arbeitet im Bereich Cyber-Sicherheit, richtig? Könntest du uns kurz das Tätigkeitsfeld von TEN IM beschreiben?
Die TEN Information Management GmbH ist ein Informations- und IT Sicherheitsdienstleister und wir beschäftigen uns zum einen mit allen organisatorischen Aspekten, die Firmen vorsehen sollten, um methodisch mit dem Thema Informationssicherheit umzugehen. Da ist ein großes Schlagwort die internationale Norm ISO 27001, die eben ein methodisches Vorgehen zur Orchestrierung aller Abläufe rund um das Thema Informationssicherheit beschreibt. Ein Schwerpunkt ist, dass wir kleine, mittelständische, aber auch größere Organisationen bei der Umsetzung der entsprechenden Normen beraten und sie bis zur etwaigen Zertifizierung begleiten. Der zweite Schwerpunkt ist das Thema technische IT-Sicherheit: Wir untersuchen IT, Infrastrukturen, Webanwendungen, mobile Apps, also alles, was man als Benutzer irgendwie verwenden kann, im Hinblick auf potenzielle Schwachstellen (Vulnerabilities-Scanning), und beanspruchen diese, bevor es ein echter Angreifer tut. Da spricht man dann vom sogenannten Penetration-Testing. Das heißt, wir schauen, wie robust und sicher sind die beanspruchten Anwendungen, Infrastrukturen und Systeme. Wir simulieren diese Angriffe mit dem Ziel, Schwachstellen und Lücken zu identifizieren und dann dem Kunden entsprechend etwas an die Hand zu geben, um diese Lücken zu schließen, bevor eben tatsächlich jemand, der wirklich schlechte Absichten verfolgt, sich diese Lücken zunutze macht.
Welche Art von Cyber-Bedrohung siehst du als am gefährlichsten an und wie kann man sich davor schützen?
Im Unternehmensbereich gibt es eigentlich immer zwei Dinge, die man ganz grundlegend unter-scheiden kann: Das eine ist der Faktor Mensch, und das andere sind alle technischen Themen. Es wird oft beim Faktor Mensch vom sogenannten schwächsten Glied in der Kette gesprochen, was ich selbst nicht so gerne sage, denn ich bin der Überzeugung, der Mensch ist das stärkste Glied in der Kette, wenn er vernünftig ausgebildet ist und wenn er weiß, wie er oder sie sich bei verdächtigen Aktivitäten verhalten soll. Genau das machen wir. Wir veranstalten sogenannte Awareness- oder Bewusstseinskampagnen, um die Mitarbeitenden der Organisationen darin zu schulen, wie sie mit verdächtigen Situationen umgehen sollen. Ein klassisches Beispiel: In einer E-Mail steht „Herzlichen Glückwunsch - Sie haben ein Iphone gewonnen!“. Das sind Angriffe, die auch im Jahr 2024 immer noch erstaunlich gut funktionieren und wir versuchen dort die handelnden Personen dafür zu sensibilisieren. Erstens dafür, solche Dinge zu erkennen und dann auch angemessen damit umzugehen. Angemessen damit umgehen, heißt einfach, sich nicht aufs Glatteis führen zu lassen und im Zweifel einfach den Löschknopf zu drücken und die Nachricht ins digitale Nirvana, zu befördern.
Der Faktor Technik und IT ist natürlich auch durch Menschen induziert, weil Software trotz künstlicher Intelligenz und vielen Automatismen häufig noch von ProgrammiererInnen, und damit von Menschen, gebaut wird. Und da gibt es welche, die sehr firm mit dem Thema IT-Sicherheit sind und andere, die darin nicht so fit sind. Die Top-Angriffsszenarien sind hier alles, was per Webbrowser bedienbar ist und wo EntwicklerInnen zu wenig Sorgfalt haben walten lassen, was beispielsweise die Verwaltung der Kommunikation zwischen dem Browser, also dem genutzten Endgerät, und dem der Gegenstelle, den Server, betrifft. Aber auch sonst alle anderen möglichen Angriffe, bei denen es darum geht, Daten über etwaige technische Sicherheitslücken zu stehlen. Und meine Erwartungshaltung ist früher immer gewesen, dass der Reifegrad von Software auch in Sachen IT-Sicherheit über die Jahre steigt, aber ich beobachte eher das Gegenteil. Es wird vom Reifegrad eher schlechter als besser. Der Begriff Softwareentwicklung beschreibt heute, nicht in allen, aber in sehr vielen Szenarien eigentlich gar nicht mehr das, was es mal war, nämlich Software entsprechend selbst zu programmieren.
Heute kann man sich den Prozess ein bisschen wie Lego bauen vorstellen: Softwarefirmen bauen ein Stück Software auf Basis von ganz vielen Legosteinen zusammen, die miteinander irgendwie interagieren. Das sind einzelne, vorgefertigte Bibliotheken, und niemand weiß so genau, was in diesem Legostein selbst drinnen eigentlich passiert und was er möglicherweise für Sicherheitslücken beinhaltet. Und wir beobachten auch eine verbreitete Sorglosigkeit bei EntwicklerInnen, die manchmal vielleicht auch gar nicht dazu ausgebildet sind, einen scharfen Blick in diese Richtung zu haben und darauf auch Acht zu geben. Und so kommt der Bedarf für Dienstleistungen, wie wir sie anbieten. Dieser wird auch perspektivisch gesehen eher steigen und nicht nachlassen.
Gibt es Merkmale eines Cyber-Angriffs auf die man achten muss in Bezug auf die Sicherheit?
Auch da muss man wieder unterscheiden zwischen dem Menschen und allem, was irgendwie Technologie ist. Zuerst zum Faktor Mensch: Phishing Angriffe in Form von E-Mails sind eine beliebte Variante, mit der potenzielle Ziele angegriffen werden. Eine weitere Variante sind
auch Angriffe, die man möglicherweise gar nicht als Angriff wahrnimmt, nämlich Social Engineering, also Angriffsvarianten, bei denen Angreifer versuchen, durch das Kommunizieren von bekannten Details aus dem Leben des Opfers oder aus der anvisierten Organisation, Vertrauen zu erwecken und ein Opfer so dazu zu bewegen, sensible Daten preiszugeben. Das funktioniert beispielsweise so, dass die Firma X von jemandem angerufen wird, der vorgibt die neue Assistenz der Geschäftsleitung von Dienstleister Firma Y zu sein und dass diese ihre Bankverbindung gewechselt haben und zukünftige Rechnungen daher nicht mehr auf das bisherige Konto, sondern an folgende neue Bankverbindung überwiesen werden sollen.
Normalerweise sollte man meinen, dass jeder dabei sofort misstrauisch wird, aber typischerweise sind die Angreifer sehr gut vorbereitet und nennen dann Namen aus der Zielorganisation, denn viele solcher Informationen sind ganz leicht über Social Media und Co. herauszufinden. Die Angreifer informieren sich dementsprechend und geben vor, eng an der Organisation zu sein und suggerieren, dass das, was da gefordert wird, schon seine Richtigkeit haben wird. So einen Fall habe ich auch noch in Erinnerung. Einem langjährigen Beratungsmandant von uns, sind über solch einen Weg knapp dreihundertachtzigtausend Euro einfach aus der Organisation abgeflossen, bevor es jemand gemerkt hat. Einfach weil die Person, die da angerufen hat, so gut informiert war und so überzeugend geschauspielert hat, dass das Opfer gar keinen Verdacht geschöpft hat. Das machen wir dann in Sensibilisierungskampagnen. Wir stellen solche Angriffe vor und versuchen das Gefühl bei den Menschen zu schulen, dass nichts unmöglich ist und egal wie abwegig der Gedanke auch sein mag, die Antwort lautet immer: doch.
Es gibt Untersuchungen, die sich mit der Frage beschäftigen, wieviel Prozent der Cyber Security-Angriffe einen technischen Ursprung, also eine technische IT-Sicherheitslücke haben, und wieviel Prozent einen menschlichen Ursprung haben, also Dinge, die den Anfang im Rahmen einer Social Engineering Attacke genommen haben. Dies ist tatsächlich auch die Mehrzahl, weil es für Angreifer sehr häufig viel einfacher ist, den Faktor Mensch zu überlisten, als sich Stunden und nächtelang mit irgendwelchen IT-Systemen zu beschäftigen und dort nach Lücken zu suchen.
Im Falle eines Cyber-Angriffs, welche ersten Schritte sollten sofort unternommen werden?
Zuallererst etwas, das häufig vernachlässigt wird, nämlich darüber zu sprechen. Selbst wenn es nur ein Verdacht ist und die Person sich nicht sicher ist, ob es sich nicht vielleicht doch um ein „normales Verhalten” handelt. Es ist immer hilfreich, darüber zu reden und sich mit KollegInnen oder mit Vorgesetzten oder IT-Sicherheitsbeauftragten der Organisation auszutauschen und die Beobachtung zu schildern. Meistens schämen sich die Menschen, weil man vielleicht auf so vermeintlich plumpe E-Mail wie „Hey, du hast ein IPhone gewonnen” reingefallen ist. Aber das hilft ja nichts, um Schaden von der Organisation abzuwenden und das ist unheimlich wichtig. Und für Organisationen empfehle ich auch immer, sich mal damit zu beschäftigen, was man im Falle des Falles machen sollte. Je größer die Organisation und je wertvoller die Daten und Informationen, die da zu holen sind, umso mehr sollte man sich, schon im Vorfeld überlegen, ob es Incident Response Dienstleister gibt, ob es Forensik Dienstleister gibt, die ich mir vielleicht jetzt schon mal anschauen kann und mit denen ich präventiv schon mal einen Vertrag schließen kann, um sie im Falle eines Falles dann auch entsprechend schnell da zu haben. Das funktioniert so ähnlich wie mit Versicherungsverträgen. Man hofft, dass der Fall nie eintrifft, aber falls doch, ist man froh, wenn man jemanden hat.
Um nochmal auf den Präventionsaspekt und den technischen Aspekt zurückzukommen. Wir beschäftigen uns sowohl mit den organisatorischen als auch mit den technischen Themen rund um das Thema Informations- und IT-Sicherheit und diese ganzen Geschichten, wie man sich richtig verhält, welche Dienstleister man vielleicht miteinbezieht, wen man informieren muss, welche Obliegenheitspflichten man hat etc.. Also kurz: alle prozessualen Dinge eines Informationssicherheitsmanagementsystems, die man auch im Wege eines systematischen Ansatzes, um Informationssicherheit zu steuern, im Vorfeld proaktiv entsprechend gestalten sollte. Genauso wie man im Vorfeld auch seine eigenen Systeme, seine Infrastrukturen, die mobilen Apps oder die Applikationen, die man als Firma seinen Kunden anbietet, proaktiv auf IT-Sicherheitslücken testen lassen sollte. Wir versuchen mit unseren Kunden gemeinsam alles dafür zu tun, dass der Fall, wie wir ihn gerade besprochen haben, nicht eintritt. Eine absolute Sicherheit gibt es nie, aber man kann viel tun, um die Hürde für potenzielle Angreifer möglichst hochzuhalten.
Wie können, vor allem kleinere Unternehmen/Organisationen, Ihre Cyber-Sicherheit verbessern, wenn diese nicht so viel Budget dafür aufbringen können?
Wir leben im Jahr 2024 und ich würde jedem der sagt, so etwas bräuchten nur große Organisationen, eine Absage erteilen. Das stimmt nämlich nicht. Firmen oder auch Institutionen wie zum Bei-spiel ABSOLVENTUM, egal ob kommerziell oder non-Profit schätzen häufig ihren Wert in Bezug auf die Frage „Na ja, was ist bei uns schon zu holen?” sehr falsch ein. Ich treffe häufig GeschäftsführerInnen, die sagen, dass das, was sie hier tun, keinen großen Wert hat, oder gar nicht innovativ genug ist, weil es dreißig andere Firmen auch machen und dass sie daher kein lohnendes Angriffsziel darstellen würden, oder dass sie eigentlich gar nicht so bekannt seien etc. So etwas höre ich sehr häufig und ich kenne eben auch viele hochinnovative Firmen, auch kleine Firmen, die zum Opfer geworden sind und wo Angreifer einfach versuchen, über Erpressung, zum Beispiel in Form eines Ransomware-Trojaners, bei dem die ganzen Daten verschlüsselt werden, aus der Organisation entsprechend Geld zu extrahieren. Die Frage aus Sicht der UnternehmerInnen, ist dann immer, wenn ich eine Maßnahme ergreife, was bringt mir das? Und umgekehrt empfehle ich dann meinen UnternehmerkollegInnen und KundInnen, dass sie sich mal überlegen sollten, was denn akzeptabel im worst case wäre. Wie lange könnten sie denn ohne IT-Systeme und Daten überleben? Die Antwort lautet meistens: nicht lange. Und demzufolge lohnt es sich natürlich für kleinere Organisationen in diesem Bereich zumindest Basisvorkehrungen zu treffen, die nicht zwingend teuer sein müssen. Denn es gibt mittlerweile auch kosteneffiziente Lösungen für den Mittelstand, die werden allerdings entweder häufig nicht gesehen oder per se irgendwie mit dem Killerargument der mangelhaften Usability vorneweg diskreditiert. Aber es ist immer besser in Prävention zu investieren als hinterher zu versuchen, den Schmutz aufzuwischen. Denn das wird typischerweise ein Fass ohne Boden.
Was hat dich bewegt, Mitglied im ABSOLVENTUM Netzwerk zu werden und welchen Stellenwert haben Netzwerke in deinem Leben bzw. für deine Tätigkeit?
Ich bin Mitglied, seitdem ich mit dem Studium fertig bin, also seit ca. 22 Jahren. Ich wurde bei meiner Absolventenfeier auf ABSOLVENTUM aufmerksam und dachte mir, es wäre doch schön mit meiner Alma Mater in Verbindung zu bleiben. Netzwerke sind für mich außerdem bis zu einem gewissen Grad auch eine Möglichkeit das, was wir als TEN Information Management tun, zu promoten und mich auch entsprechend einzubringen, um quasi unsere Mission, die digitale Welt ein bisschen sicherer zu machen, zu unterstützen. Und daher bezeichne ich mich oft und gerne als Überzeugungstäter. Sowohl inhaltlich, was unsere Themen betrifft, die wir als Dienstleistungen anbieten, aber auch beim Netzwerken. Das heißt, ich netzwerke aus Überzeugung, weil ich denke, dass es jetzt nicht nur mir, sondern allen an dem Netzwerk beteiligten. Ich glaube jemand, der in ein Netzwerk investiert, um seinen eigenen Vorteil zu sehen, der kann per Definition kein guter Netzwerker sein, weil es immer etwas beidseitiges ist.
Welchen Rat hast du für aktuelle Studierende der Uni Mannheim?
Erst einmal möchte ich jedem das Mentoring-Programm von ABSOLVENTUM ans Herz legen! Ich habe selbst schon zwei Mentees gehabt und ich erachte es als eine der wesentlichen oder großen Vorteile von ABSOLVENTUM und von solchen Netzwerken im Allgemeinen, dass man dort junge Leute, die vor dem Start ins Berufsleben stehen oder die schon am Anfang Ihres Berufslebens stehen, gezielt mit einem/r MentorIn zusammenbringen kann, wo auch wieder beide Seiten von profitieren können. Meinen zweiten Tipp richte ich mal nicht nur an Studierende, denn das würde ich jedem jungen Menschen empfehlen: Es lohnt sich immer, mit offenen Augen durchs Leben zu gehen, immer auch mal nach links und nach rechts zu schauen. Universität steht auch dafür universal zu leben und sich auch für Dinge, abseits vom eigenen Studium zu interessieren, sich einzubringen und mitzugestalten. Wer die Möglichkeit hat den Blick über den Tellerrand zu wagen, sollte das unbedingt tun!
Das Interview ist auch als Podcast auf Spotify verfügbar.
Interview: Julia Kruzel
Foto: ABSOLVENTUM MANNHEIM
|