Schritt 1: Abhängigkeiten kennen

Gemeinsam mit Ihnen machen wir eine Bestandsaufnahme. Dabei beschränken wir uns nicht auf die unternehmenskritischen Anwendungen, damit wir auch Software wie SolarWinds oder CrowdStrike nicht übersehen. Wir betrachten sowohl Kaufsoftware als auch Open Source Software (siehe z.B. die Probleme mit Log4j, libxz). Wir bauen gemeinsam mit Ihnen Software-Stücklisten (SBOM) zusammen, wie sie nicht nur von US-Gesetzen sondern auch vom Cyber Resilience Act in Zukunft gefordert werden. Bei ihren Software as a Service Providern notieren wir nicht nur den Anbieter sondern auch den Standort der Cloud und dessen Anbieter. Im Netzwerk werden DNS-Anbieter, die Domain-Registry sowie Internet- und E-Mail-Provider (inkl. deren Zulieferer) festgestellt. Am Ende notieren wir noch die verwendete Hardware im Netzwerk, Client- und Serverbereich.

In produzierenden Betrieben machen wir auch noch die Bestandsaufnahme der Operational Technology (OT) und in Unternehmen, die Softwareentwicklung betreiben, auch die Engineering Technology (ET). Zuletzt katalogisieren wird die Abhängigkeiten von Dienstleistungs- und Beratungsfirmen. Am Ende gleichen wir das alles mit Ihrem Einkauf ab, um eventuelle Lücken in der Lieferantenlandschaft schließen zu können.

Einen 80% Stand bekommen wir binnen weniger Tage zusammen, den man dann der Reihe nach noch vervollständigen kann. Dann ermitteln wir die Konzernstrukturen und die Länderabhängigkeiten und liefern Ihnen eine klare Idee, wie es um Ihre digitale Souveränität bestellt ist. Damit haben Sie Ihren ersten Schritt in die digitale Souveränität gemacht.

Schritt 2: Notfälle beherrschen

Was machen Sie dann mit der Analyse aus Schritt 1? Die Antwort ist zweiteilig. Aus dem Report können Sie bereits direkt die Klumpenrisiken identifizieren, deren Ausfall oder Fehlverhalten für Ihr Unternehmen kritisch wäre.

Danach modellieren wir mit Ihnen die Bedrohungen der Zukunft. Wir fangen bei den vermeintliche einfachen Themen an: Wie gut kümmern sich Ihre Lieferanten um die Cybersicherheit? Aber es wird schnell komplexer: Wird China Taiwan übernehmen bzw. überfallen? Wird es in der EU dennoch weiter möglich sein, Chips aus Taiwan zu beziehen? Wie viel unserer IT läuft noch, wenn sich die BRICS+ gegen die westliche Welt stellen und indische Firmen keine IT-Dienstleistungen mehr an die EU verkaufen? Wird eine neue US-Regierung die Macht der Techkonzerne dazu einsetzen, politische Ziele durchzusetzen?

Wir priorisieren gemeinsam, die relevantesten Szenarien mit dem höchsten Schadenspotenzial. Dafür entwickeln wird dann Notfallpläne: Was tun wir, wenn die Microsoft Cloud für längere Zeit nicht für uns verfügbar ist, wenn wir keine neuen Computer mehr kaufen können oder wenn uns kritische Dienstleister überraschend kündigen (müssen)? Dabei profitieren Sie von unserer Erfahrung welche Elemente solcher Notfallpläne sich in der Vergangenheit bewährt haben.

Wenn Sie Notfallpläne für die relevantesten Themen in der Schublade haben, dann ist der zweite Schritt zur digitalen Souveränität erledigt.

Schritt 3: Divide et Impera

Wie für alle Notfallpläne gilt auch hier: Nicht geübt ist nicht gekonnt. Wir üben gemeinsam mit Ihnen die Notfallpläne. Und bei jedem Test notieren wir die Punkte, bei denen das Notfallsystem in Sachen Funktionalität und Qualität zurückbleibt. Damit prüfen wir regelmäßig, wie weit die digital souveräne Lösung noch hinter ihrem ursprünglichen System herhinkt oder ob es vielleicht mittlerweile fast ebenbürtig ist.

Notfalllösungen wie der „souveräne Arbeitsplatz“ openDesk des Zentrums für Digitale Souveränität stellen zunehmend eine echte Alternative am Desktop dar, während im Serverbereich Linux-Alternativen immer zu finden sind. Solche Lösungen und andere probieren wir im Rahmen unsere Notfallübungen einmal aus. Dies ist Ihr nächster Schritt auf dem Weg zur digitalen Souveränität.

Der Reihe nach werden mit Ihnen Pläne entwickeln, wie wir die ohnehin für den Notfall geplanten und in den Übungen bestätigten souveränen Lösungen einfach Abteilung für Abteilung zum Produktivfall zu machen. Dabei werden wir die neuen Architekturen in Ihre bestehenden Sicherheitssysteme und Ihre Überwachung integrieren. Auch bei der Wartung stehen wir Ihnen zur Verfügung. Am Ende führen wir qualitativ hochwertige Sicherheitschecks durch. Erst wenn ein zuverlässiger Schutz gegen die bekannten Bedrohungen wie Cybercrime und staatliche Spionage besteht, ist für diesen Teil das Ziel erreicht. Über die Jahre bauchen wir so gemeinsam schrittweise Ihre digitale Souveränität auf.