1-3-2017 Gedruckt am 28-03-2017 aus www.monitor.co.at/index.cfm/storyid/17147

Interview – Sonja Meindl & Roman Prinz, Check Point

KMU im Dschungel von Lösungen und Bedrohungen

"Das klassische KMU will sicher sein und eine monatliche Gebühr bezahlen. Wie das Ding heißt, das dahinter steht, ist ihm egal", sagt Sonja Meindl, ihres Zeichens Country Managerin Alps des Security-Anbieters Check Point, im Interview mit monitor.at. Wer würde der fröhlichen Schweizerin - mit bayerischem Hintergrund - da widersprechen wollen?

Rudolf Felser

Sonja Meindl, Country Managerin Alps von Check Point, und Roman Prinz, Sales Manager Austria, beim Gespräch mit monitor.at. (Bild: Rudolf Felser)

 Das 1993 im israelischen, in der Nähe von Tel Aviv gelegenen, Ramat Gan gegründete Unternehmen Check Point hat sich mittlerweile zu einem der größten IT-Security-Anbieter gemausert, mit über 100.000 Unternehmen als Kunden und rund 4.300 Mitarbeitern. In den vergangenen Jahren hat die Firma auch einige interessante Zukäufe getätigt, etwa die in Consumer-Kreisen beliebte Firewall Zone Alarm oder das Nokia Security Appliance Business. 2015 hat Check Point Hyperwise erworben und liefert damit die branchenweit erste Threat Prevention-Funktionen auf CPU-Ebene sowie im selben Jahr Lacoon, deren Lösung Sicherheit für mobile Endgeräte bietet.
 
In der Region Alps, also Österreich und Schweiz, hat seit 2012 die diplomierte Wirtschafts-Ingenieurin Sonja Meindl als Country Managerin das Sagen. Durch ihre bisherigen Karrierestationen, unter anderem bei McAfee oder Computer Associates (heute CA Technologies), hat sie sich umfassende IT- und Security-Kenntnisse angeeignet, wie sie auch im Interview mit monitor.at unter Beweis stellt. Trotzdem hat sie sich ihren Humor und ihr sympathisches Lachen bewahrt, was angesichts immer neuer Malware-Hiobsbotschaften keine Selbstverständlichkeit ist. 
 
In Österreich steht ihr seit 2013 Roman Prinz als kompetenter Sales Manager zur Seite, der bereits 2006 zum rot-weiß-roten Team des Security-Unternehmens kam. Davor hat er sich seine Sporen unter anderem bei Nokia, NextiraOne, als IT Security Consultant und Systems Engineer verdient.
 
Wir haben uns mit den beiden IT-Security-Experten getroffen, um unter anderem über die Suche nach qualifizierten Mitarbeitern, Security-Awareness, Hintertüren und IT-Sicherheit für KMU zu sprechen.
 
Im Dezember haben Sie das österreichische Team um zwei Mitarbeiter verstärkt, Anfang Februar auch das Schweizer Team. Ist Check Point im Alps-Raum auf Expansions-Kurs?
Sonja Meindl: Ich bin seit fünf Jahren bei Check Point für die Region Alps zuständig. Als ich angefangen habe, waren wir vielleicht 15 Mitarbeiter. In der Zwischenzeit sind wir 30 und wir planen, zusätzliche Personen mit an Bord zu nehmen, davon weitere zwei in der Schweiz und eine in Österreich. Also ja, wir sind auf Expansionskurs. Das hat sowohl mit dem expandierenden Security-Markt zu tun, aber auch mit der Situation bei Check Point. Wir waren ein sehr schlankes Team. Check Point hat in den letzten zwei, drei Jahren global 20 Prozent bei der Belegschaft zugelegt. Das ist signifikantes Wachstum und die Zahlen belegen das.
 
Wie groß ist das Team in Österreich jetzt?
Meindl: Insgesamt zehn Mitarbeiter.
 
War es schwierig, die passenden, qualifizierten Mitarbeiter zu finden? Man liest seit Jahren vom Fachkräftemangel und "war on talents".
Meindl: Es ist schwierig, qualifizierte Mitarbeiter zu finden. Momentan haben wir aber relativ viele gute Kandidaten. Das hat mit dem Ruf von Check Point zu tun, der sich in den letzten Jahren positiv geändert hat. Aber wir haben zum Teil harte Zeiten hinter uns, wenn es um das Recruiting geht. Die richtigen Leute mit dem richtigen Profil überhaupt zu finden, geschweige denn einen Lebenslauf vorgelegt zu bekommen, war nicht immer einfach. Wir arbeiten mittlerweile mit externen Recruitern zusammen, um es nicht aus eigener Kraft stemmen zu müssen.
 
Wonach suchen Sie?
Meindl: Wir haben in den letzten drei Jahren sehr stark rekrutiert und haben sehr viel Wert auf eine gute Historie gelegt, also eher Personen mit höherer Seniorität eingestellt – durchgängig, egal ob in Sales, Pre-Sales, Marketing oder Entwicklung. Jetzt gehen wir ein bisschen in die andere Richtung. Wir suchen nicht nur Hochschulabgänger, aber die Bewerber sollten ungefähr zehn Jahre relevante Berufserfahrung mitbringen. Wir versuchen uns zu verjüngen – weil eine gute Mischung im Team wichtig ist. In Österreich haben wir sehr gute Kandidaten, die genau auf das Profil passen.
Roman Prinz: Das passt auch sehr gut. Check Point hat innovative Produkte, da gehören auch die richtigen jungen Leute drangesetzt. Die Themen in der Branche verändern sich sehr schnell sehr stark. Da ist es für junge Leute einfacher mitzuhalten. Es gibt Trends, bei denen ich auch mich schon als alt bezeichnen würde.
 
Müssen Mitarbeiter bei Check Point eigentlich eine besonders intensive Security-Awareness-Schulung mitmachen? Es wäre ja peinlich, wenn z.B. eine Ransomware-Attacke gerade bei Ihnen als Security-Anbieter erfolgreich wäre. Oder hat man diese Awareness als Mitarbeiter eines IT-Security-Anbieters ganz automatisch?
Meindl: Das ist interessant, dass Sie das ansprechen. Check Point ist seit 25 Jahren am Markt und wahrscheinlich eines der meistgehackten Unternehmen. Jeder würde sich das gerne auf die Fahnen heften. Trotzdem wurde nie etwas publik. Wir nutzen natürlich Check Point-Produkte und -Lösungen in unserer Infrastruktur.
 
Wenn Sie sagen "eines der meistgehackten Unternehmen" meinen Sie versuchte Hacks, keine erfolgreichen, oder?
Meindl: Genau. Viele würden uns gerne hacken und versuchen es wahrscheinlich permanent. Das würde sofort publik werden. Aber das gab es noch nie.
Prinz: Es ist sehr auffällig, dass viele Vergleichsprodukte in unterschiedlichen Bereichen immer wieder Hintertüren aufweisen. Man kann zumindest für die Vergangenheit sagen, dass so etwas für Check Point nicht gilt. Unser Firmengründer Gil Shwed sagt: "Security is our DNA." Das zeigt, dass IT-Security für Check Point auch intern ein wichtiges Thema ist. Das ist für Kunden manchmal schwierig, denn eine Check-Point-Firewall sagt zu Beginn "deny all". Das ist natürlich nicht kommunikationsfördernd, was aber wichtig ist, denn Kommunikation bestimmt ja unser Leben. Wir müssen also gemeinsam mit dem Partner und Kunden ein Design, ein Konzept entwickeln und umsetzen, um sicher zu kommunizieren. Commodity-Produkte haben einen anderen Ansatz und gehen von "any any allow" in Richtung "block" – das ein ganz anderer Ansatz.
 
Der Ansatz von Check Point lautet also, dass die Mitarbeiter nicht aware sein müssen, weil sie durch Ihre Produkte sicher sind?
Meindl: Im Bekanntenkreis kriegt man mit, dass das, was wir für normal halten, für nicht IT-affine Menschen nicht alltäglich ist. Zum Beispiel eine gesunde Portion Misstrauen – dass man sich eine E-Mail mit Anhang erst ansieht, bevor man draufklickt. Oder bei einer Mail von einer vermeintlich bekannten Adresse, aber mit komischem Inhalt, aufpasst. Man bekommt viel mehr Gefühl für das Umfeld und wie man sich verhalten muss, weil man auch permanent versucht, es den Kunden beizubringen. Wenn man IT-Security sagt, ist Technologie das eine Thema, aber um einen wirklich kompletten Schutz zu bieten, gehören auch Mitarbeiter und Awareness-Schulungen dazu. 
 
Security fängt beim einzelnen Mitarbeiter an, oder? Da hilft die beste Security-Lösung nichts, wenn er auf jeden Link klickt, den man ihm vorsetzt.
Meindl: Wenn man sich die heutigen Netzwerke bei unseren Kunden ansieht glaube ich trotzdem, dass es noch viele Möglichkeiten gäbe, Angriffe auch mit Technologie zu verhindern. Check Points Ansatz ist die Prävention. Also zu verhindern, dass Malware ins Unternehmen eindringt. Durch die Vorfälle am Markt, die auch in Österreich immer häufiger vorkommen, steigt die Awareness in Unternehmen sehr stark, nicht zuletzt, weil der Impact auf das Business sehr hoch sein kann. Das gibt uns die Möglichkeit, mit den Kunden nicht mehr über Features und Functions zu reden, sondern über Strategie. Technologie ist ein Punkt davon. Es geht nicht darum, viel mehr Geld und Technologie zu investieren, sondern am richtigen Ort das Richtige zu tun: Das sind Themen wie Netzwerk-Segmentierung, Patching, die richtigen Backup-Zyklen und den Backupserver vielleicht sogar in einer der anderen Location zu haben. Es geht darum, alle diese Themen mitzubeleuchten, und nicht nur die IT-Security für sich. Auch das Thema Mitarbeiter-Schulungen ist wichtig.
Prinz: Eine der Schwierigkeiten, vor denen Unternehmen stehen, ist, ihre Mitarbeiter zu Themen zu trainieren, die nicht ihr Kerngebiet sind – und Security ist nur eines davon. Das kostet sie Zeit und Aufwand. Wir versuchen mit unseren Produkten zu unterstützen, dasmit sie ein Training "on the fly" oder Tools an die Hand bekommen, mit denen sie technisch geschützt sind, aber trotzdem ihr Business erledigen können. Das ist für den Mitarbeiter wichtig. Er klickt auf etwas und muss technisch geschützt sein, aber braucht auch eine Lernkurve, um solche Dinge wahrzunehmen und künftig nicht mehr zu tun. Das kann man von jemandem Branchenfremden nicht verlangen, der nicht damit vertraut ist.
 

Sonja Meindl und Roman Prinz, Check Point (Bild: Rudolf Felser)

Check Point bietet keine Mitarbeiter-Schulungen an?
Meindl: Wir sind ein sehr partnerorientiertes Unternehmen. Unsere Partner oder externe Consulting-Firmen, mit denen wir zusammenarbeiten, decken solche Themen ab.
 
Ich würde gerne auf die Ausbildung Ihrer eigenen Mitarbeiter zurückkommen.
Meindl: Unsere Mitarbeiter bekommen natürlich Trainings zu unseren Lösungen, aber wir investieren auch stark in das Thema Workshops und Konzept- bzw. Strategieentwicklung mit unseren Kunden. So bekommen unsere Kollegen, speziell aus dem Bereich Vertrieb und Pre-Sales-Consulting, eine sehr gute Grundlage. Wir haben natürlich auch Mitarbeiter in HR und Finance, die wir zu anderen Themen schulen. Ich bin überzeugt, dass es in Gesprächen mit Kunden sehr wichtig ist, eine solide Basis zu haben. Der Kunde sagt ja nicht, er braucht eine Firewall oder Verschlüsselungssoftware, sondern zum Beispiel, seine Hotelsoftware wurde mit Ransomware verseucht und er kann die Schlüssel für seine Gäste nicht aktivieren. Es ist wichtig, diese gedanklichen Zusammenhänge zu verstehen.
 
Sie haben das Thema Hintertüren angesprochen: Liegt es daran, dass Check Point ein israelisches Unternehmen ist, und kein amerikanisches, dass Hintertüren bei Ihnen kein Thema sind? Oder ist es eher das Selbstverständnis des Gründers?
Meindl: Ich habe mir diese Frage selbst noch nie gestellt. Ich glaube, es ist das Selbstverständnis. Wenn man sich die Historie von Israel ansieht: Das ganze Land ist sehr zielorientiert und musste von Anfang an eine Struktur schaffen, in der es überleben konnte. Das hat sich auf die Mentalität niedergeschlagen. Ich muss zielorientiert sein und die beste Technologie entwickeln, um überleben zu können. Deswegen ist das auch bei Check Point sehr stark im Vordergrund: Wir wollen die beste Technologie auf den Markt bringen. Das widerspricht komplett dem Gedanken, eine Hintertür offen zu lassen – für wen auch immer.
 
Gibt es bei Check Point ein Bounty-Hunting-Programm? Zahlen Sie eine Prämie für gefundene Sicherheitslücken in Ihren Produkten?
Meindl: Wir haben kein offizielles Programm. Ich wüsste nicht, dass wir Prämien für Sicherheitslücken bezahlen. Generell gilt in der Branche das Grundverständnis, dass man, wenn man eine Lücke findet, es dem jeweiligen Unternehmen mitteilt  und die Chance gibt, sie zu schließen. Das machen wir stark in der anderen Richtung: Wir sprechen mit Herstellern darüber, dass sie von uns bei ihnen gefundene Lücken schließen sollen. Nur wenn das nach mehrmaliger Aufforderung nicht passiert, publizieren wir solche Schwachstellen.
 
Worauf müssen sich die Unternehmen in 2017 beim Thema Security einstellen? Welche Angriffe müssen besonders KMU befürchten?
Meindl: Ich glaube es ist schwierig in die Zukunft zu sehen, wenn es um Malware geht. Wir haben ein Team von 200 Spezialisten, die nichts anderes machen als Malware zu analysieren. Interessant ist: Die Anzahl der Malware-Familien ist nicht sehr hoch. Warum es so trotzdem so viele unterschiedliche Malware gibt? Es wird immer nur ein Teil der ursprünglichen Malware verändert und das Ergebnis wird dann von normalen signaturbasierenden oder reaktiven Tools nicht erkannt. Aber es gibt nicht sehr viele Ober-Familien. Wir machen monatlich eine Auflistung der wichtigsten Malware in Österreich. Da sehen wir immer die  gleichen Schadprogramme. Was seit zwei oder drei Jahren sehr hoch im Kurs steht, ist Ransomware.
Prinz: Diese Cryptolocker betreffen wirklich jeden. Das ist durchgängig und wird auch so bleiben. Wir sind bekannt dafür, dass wir das zentrale Gateway sehr gut machen. Unser Fokus liegt jetzt darauf, diese Sicherheit zum Client zu transportieren, auf jedes mobile Endgerät, von Windows bis Android. Das sind natürlich große Unterschiede technischer Natur, aber der Schutzlevel muss der gleiche sein. Unser Ziel ist, den Schutz durchgängig zu machen. Aber nicht als Verhinderer, sondern als Enabler.
Meindl: Für KMU ist eine der größten Herausforderungen, dass sie fast ein bisschen verloren im Dschungel von Lösungen und Bedrohungen sind. Sie werden sich immer mehr auf Partner verlassen und Sicherheit als Service beziehen wollen. Hier versuchen wir, unsere Strukturen anzupassen. Wir als Check Point bieten viel als Service an, versuchen aber auch, mit unseren lokalen Partner in Österreich an Lösungen zu arbeiten.
Ich glaube, das klassische KMU will sicher sein und eine monatliche Gebühr bezahlen. Wie das Ding heißt, das dahinter steht – ob Endpoint Security, Netzwerk-Segmentierung oder Sandboxing –, ist ihm egal. 
 
Gerade KMU können meistens nicht auf eine Heerschar von Spezialisten zugreifen. Da muss alles einfach, schnell und günstig sein. Wir können sich diese Unternehmen schützen?
Meindl: Managed Security Services und Outsourcing sind gute Möglichkeiten, um Mittelstandskunden eine saubere Infrastruktur zu geben. Wir als Hersteller sind bestrebt, eigene Services anzubieten. Das entfacht in manchen Ländern – und speziell in Österreich – immer wieder die Diskussion über den Speicherort der Daten in der Service-Cloud. Deswegen versuchen wir, sehr stark mit lokalen Partnern zusammenzuarbeiten, die eine Infrastruktur aufbauen und unsere Services lokal gehostet in Österreich anbieten. Wir haben eine sehr gute Partnerlandschaft in Österreich, die wollen wir auch beibehalten und den Nutzen noch viel stärker ausbauen.
Prinz: Ich bin schon länger für Österreich zuständig und Check Point passt immer besser in den österreichischen Markt. Die Produkte passen sich mehr dem KMU an. Geschäftsrelevanz hilft uns, mehr den österreichischen Anforderungen entgegenzukommen, als irgendwelchen internationalen Großkunden, die ganz andere IT-Abteilungen besitzen. Das ist ein großer Vorteil. Deswegen geht es für uns gerade in die richtige Richtung, was die Marktpräsenz und damit auch den Erfolg in Österreich betrifft. Sicher auch durch das Security-Bewusstsein im Hintergrund, das letztes Jahr einen besonderen Schub erfahren hat.