Interview mit Kevin Wennemuth von codecentric auf der IT-SA 2024

Bildschirmfoto 2024-11-13 um 23.56.18

Die codecentric AG ist ein deutsches IT-Beratungsunternehmen, das sich auf agile Softwareentwicklung und innovative Technologien spezialisiert hat. Seit ihrer Gründung im Jahr 2004 in Solingen verfolgt die codecentric AG das Ziel, “Code besser zu machen” und setzt dabei auf eine Unternehmenskultur, die den Status quo hinterfragt und kontinuierlich in Innovationen investiert.

Mit über 550 Mitarbeiter*innen an 13 Standorten in Deutschland bietet die codecentric AG ein breites Spektrum an Dienstleistungen an, darunter:

  • Cloud-Native Entwicklung: Entwicklung von Softwarelösungen, die optimal auf Cloud-Umgebungen zugeschnitten sind, unter Nutzung neuester Technologien und Partnerschaften mit führenden Cloud-Anbietern wie AWS, Microsoft Azure und Google Cloud Platform.
  • Digitale Produktentwicklung: Unterstützung bei der Entwicklung erfolgreicher digitaler Produkte durch Kombination von Kundenbedürfnissen, Technologie und Wirtschaftlichkeit, einschließlich Product Vision, Product Strategy, Product Discovery und Product Coaching.
  • IT-Security: Beratung und Dienstleistungen im Bereich IT-Sicherheit, einschließlich Penetrationstests und maßgeschneiderter Lösungen zum Schutz von Daten und Systemen.

Die codecentric AG legt großen Wert auf Qualität und Nachhaltigkeit in ihren Projekten und hat sich als vertrauensvoller Partner für Unternehmen etabliert, die ihre digitale Transformation vorantreiben möchten. Im Jahr 2024 wurde die codecentric AG erneut in die renommierte Lünendonk-Liste der führenden mittelständischen IT-Beratungs- und Systemintegrations-Unternehmen in Deutschland aufgenommen.

Kevin Wennemuth, Hardcore Security Spezialist und Head of Security von codecentric begegnet dem geplanten Interview zu den Themen Innovationsfokus, Zukunftsvision, Integration von KI, Kundenbedürfnisse, Wettbewerbsumfeld, Strategie, Compliance, Benutzerfreundlichkeit, Zukunftstechnologien und Partnerschaften mit einem Satz, der alles sagt:

“Es gibt wahre Sicherheit, und die gibt es selten, und Papiertigersicherheit, die gibt es nur allzu oft”.

Wenn codecentric gerufen wird, weil meist alles zu spät ist, sind es meist Papiertigersicherheitsfirmen, sagt er. Einsätze gibt es wie bei der Feuerwehr, und so nennt er sie auch, Einsätze. Die erste Frage an den Geschäftsführer eines soeben komplett verschlüsselten Produktionsunternehmens lautet, so Kevin: “Für wie viele Tage reicht der Cashflow noch aus?”. Die Antworten sind je nach Unternehmen unterschiedlich, aber es gab auch welche, die sagten: “7 Tage”. Damit hat codecentric, Kevin und seine Teams nur 6 Tage Zeit, um alles wieder zum Laufen zu bringen, was der Liquidität des Unternehmens gut tut und es erhält. Und das ist nicht einfach, denn wir reden hier von Dynamiken in Einsatzkräften, Kosten, Zeitdruck und Reputation, sowie 24h-Schichten.

Wenn Kevin zu DAX-Unternehmen gerufen wird, wo manch’ einer denken könnte, da sei in Sachen Security alles in Butter, entgegnet er: “Nichts ist dort in Ordnung. Das sind alles Papiertiger. Lässt man sie nur einmal eine normale Recovery durchführen,  sehen sie, dass nichts hoch kommt.” Das ist gerade der Grund, warum er so oft zu Schulungen dorthin fährt, die beauftragt werden. Im Ernstfall, wenn noch alles brach liegt, bekommt es meist kein Unternehmen allein hin.

Ich prahlte stolz von unseren Recovery-Übungen bei EDS, wo wir früher immer nach Paris geflogen sind und dort alles von Deutschland wieder in Betrieb nahmen. “Jaaaaa”, rief er, “Sowas, genau daran fehlt es überall”.

Kevin hat eine klare Philosophie: Mensch, Prozesse, Technik. Verteidigung mit Forensik mit Fokus auf Werten, Relevanz und Assets. Die Auditierung von Schwachstellen sieht er als eine Masterdisziplin. Und dann die codecentric bekannte 4-Kant-Security, die die IT und die physische Sicherheit mit einbezieht. Dann die Analyse der verschiedenen Bereiche. Und so verhält es sich bei den Einsätzen: Verschiedene Teams betreuen die Kunden. Von der Wirtschaftsprüfung, die sich um die Assets und Finanzen kümmern, über die Forensik-Teams, die die Einbruchstelle suchen bis zu den Security-Teams, die die Einbruchstelle absichern, damit dort niemand wieder einbricht. Sie haben verschiedene Werkzeugkästen aus dem Open Source-Bereich, aber nicht nur. Sein Rezept sind spezifische Rollenund spezifische Tools.

Codecentric setzt im Bereich IT-Security keine KI ein. Codecentric bietet Human Driven Security. Ihr Ansatz im Einsatz lautet:Shift Right, und nicht Shift Left. Wir alle lernten in Projekten, was Shift Left bedeutet:”Teste alles vor der Produktion, sonst wird es teuer”. Codecentric verfolgtgenau den gegenteiligen Ansatz in der Security. Einzeltests mit Abnahme von Systemen sind nicht sinnvoll, auch wenn ISO-Zertifizierungen und DIN-Normen und andere Standards das fordern. Köpfchen ist gefragt, was Sicherheit angeht, nicht das blinde Erfüllen von Normen und Standards. Diejenigen, die das schreiben, haben sehr oft keine Ahnung von wirklicher Sicherheit. “Nur im Zusammenspiel der Systeme sind das Testen, das Pentesten und das Absichern sinnvoll”, so Wennemuth. Wird dies vernachlässigt, kann man sich alles andere davor, mit dem Verweis auf den Papiertiger, sparen. Herr Kevin Wennemuth war seit langem mal wieder jemand nach unserem Geschmack, was die Sicherheit angeht. Sectank möchte ihm das Prädikat “sehr empfehlenswert“ geben.