Security

„Es kann jedem passieren“

Credit: Michael Dürr
Markus Endres und Aleksandar Lacarak (r.) sowie Ulrich Kallausch (war beim Interview nicht dabei) vom Cyber-Security-Consulter Certitude wollen ihre ICT-Security-Erfahrungen aus dem Bankengeschäft allen zugänglich machen.
Credit: Michael Dürr

Markus Endres und Aleksandar Lacarak, Mitbegründer des jungen Cyber-Security- Beratungsunternehmen Certitude, über die größten Gefahren im Netz, mangelndes Sicherheitsbewusstsein und wie ihre Erfahrungen im Hochsicherheitsumfeld einer Bank auch KMU nutzen können.

Interview: Alfred Bankhamer

Austria Innovativ: Wie sind Sie auf die Idee gekommen, mit Certitude ein Unternehmen im Bereich Cyber Security zu gründen? Bislang waren Sie ja in einer Bank tätig.
Markus Endres: Wir haben schon zuvor in der Semper Constantia Privatbank gut zusammengearbeitet. Die Idee wurde im Vorjahr im Zuge der Übernahme der Semper Constantia durch die Liechtensteinische Landesbank geboren. Da war schon klar, dass Herr Kallausch, stellvertretender Vorsitzender und Mitinhaber der Semper Constantia, ausscheiden wird. Wegen der bevorstehenden Strukturveränderungen – Aleksandar Lacarak war als Head of IT-Infrastruktur und ich als Chief Risk sowie Chief Information Security Officer tätig – haben auch wir die Entscheidung getroffen, die Bank zu verlassen. So gründeten Herr Kallausch und ich im Oktober 2018 die Certitude Consulting GmbH und Herr Lacarak wird im Juli 2019 zur Geschäftsführung hinzustoßen. Seit Anfang des Jahres akquirieren wir aktiv und es läuft schon sehr gut, da die Kunden unsere Praxiserfahrung sehr schätzen. Wir haben natürlich Kunden aus dem Bankenbereich, aber auch mittelständische Unternehmen aus der Industrie oder dem Retail-Bereich.

AI: Was können nun KMU aus den Erfahrungen der Bankenwelt lernen?
Aleksandar Lacarak: Unser großer Vorteil ist, dass wir einen strengen Regulator hatten. Das Spannende im Bankenbereich ist ja den Infrastrukturbereich so aufzubauen, dass er „compliant“ ist, also den oft sehr strengen Vorschriften entspricht. Aus der Enterprise-Schiene kommend können wir nun Lösungen auf die KMU-Schiene anpassen, um so für jedes Unternehmen optimale und zugleich wirtschaftliche Security-Lösungen zu erarbeiten.
ME: Eine Bank ist eigentlich ein reines IT-Unternehmen. Sie funktioniert nur über die IT. Da ist die IT-Sicherheit von der Ausbaustufe her am höchsten Level. Je nach Anforderung können wir nun die Lösungen für die Branchen und Unternehmen herunterbrechen.

AI: Wie sieht es heute bei den Unternehmen generell im Bereich Cyber Security aus?
AL: Da geht es erstmals um das Verständnis. Wir hören immer wieder: Wir sind ein kleines Unternehmen, uns kann nichts passieren! Es kann aber jedem etwas passieren. Das beginnt schon beim oft sehr sorglosen Umgang mit Passwörtern. Es ist sicher keine High-Tech-Sache, sich ein komplexes Passwort zu suchen. Hier ist vor allem das Management gefragt, die nötige Awareness bei den Mitarbeitern zu schaffen. Ich sage immer: Schulen, schulen, schulen. Nur so können Mitarbeiter wissen, was Phishing ist oder wie man mit E-Mails umgeht. Die Kosten hierfür sind sehr gering. Und auch ein effizientes Berechtigungsmanagement bringt schon viel. Mit organisatorischen Maßnahmen bekommt man für wenig Geld schon einen deutlich höheren Sicherheitsstandard.

AI: Die Technik allein hilft also wenig?
ME: Viele glauben, dass es bei der Informationssicherheit nur darum geht, etwas technisch umzusetzen – etwa eine Firewall und ein Antivirenprogramm zu haben. Die technischen Tools brauche ich sicher, aber viele übersehen das organisatorische. Es muss eine klare Governance geben, die die Verantwortlichkeiten von ganz oben bis unten klärt. Und die notwendigen Prozesse im Haus wie etwa das Berechtigungs- und Zugangsmanagement müssen sicher funktionieren. Dann ist wirklich schon sehr viel getan. In Kombination mit den technischen Maßnahmen ist man dann schon auf einen sehr hohen Sicherheitsstandard.

AI: Welche Gefahren sind derzeit am größten, was wird gerne unterschätzt?
AL: Die Gefahr von innen. Hier sind wir wieder beim Punkt Mitarbeiter schulen. Es gibt eine Statistik, die sagt, dass 90 Prozent aller erfolgreichen Hacks von innen heraus ermöglicht werden. Dagegen helfen Schulungen und klare Prozesse. Denn die Methodik, mit der Leute hacken, wird auch in fünf Jahren die Gleiche sein. Aber die Angriffe werden immer raffinierter werden.

AI: Nun kommt ja auch noch das Internet der Dinge mit zahlreichen neuen Einfallstoren.
AL: Jedes IoT-Gerät mit IP-Adresse ist für die Hersteller von Sicherheitslösungen eine große Herausforderung. Ein wichtiger Punkt für eine umfassende Security ist aber auch, dass die Sicherheitsprodukte von kundigen Experten betreut werden.

AI: Macht es für kleinere Unternehmen noch Sinn, Sicherheitslösungen selbst zu betreiben?
ME: Mittelständische Unternehmen haben selten jemand, der nur die IT macht. Die ernannten IT-Betreuer sind dann oft auch keine Fachexperten. In diesem Fall gibt es nur die Möglichkeit, einen Dienstnehmer zu suchen, dem man vertraut.
AL: Eine gewisse Kernkompetenz sollte aber trotzdem im Unternehmen vorhanden sein, um schließlich das nötige externe Know-how einzuholen. Wir von Certitude beschäftigen uns ausschließlich mit IT-Risiken und IT-Sicherheit und können auch einen Chief Information Security Officer bei Bedarf für Unternehmen zur Verfügung stellen, da ein eigener CISO sicher nicht für jedes Unternehmen leistbar ist.

AI: Wäre hier nicht die Cloud eine Lösung?
ME: Auch hier ist zuerst ein Grundverständnis erforderlich. Was sind etwa die Konsequenzen beim Auslagern in die Cloud und wie mache ich es am besten? Und in welche Cloud gehe ich?
AL: Der Weg in die Cloud ist nicht das Allheilmittel. Sicher bietet sie eine höhere Datensicherheit, aber bei der Datenhoheit sieht es wieder anders aus. Ich möchte jedenfalls schon wissen, wo meine Daten liegen.

AI: Neben dem Bestreben, interne ICT-Risiken zu minimieren, gibt es ja auch gesetzliche Vorgaben. Sind die Unternehmen darauf vorbereitet?
ME: Für kritische Infrastrukturen gibt es mit dem Netz- und Informationssystemsicherheitsgesetz einen klaren gesetzlichen Rahmen. In anderen Gebieten gibt es sehr unterschiedliche Anforderungen. Eine gewisse Sorgfaltspflicht ist aber immer gefordert. Besonders bei der DSVGO, die ja alle betrifft, ist noch sehr viel zu machen. Es mangelt im Bereich Compliance und Sicherheit oft am Bewusstsein.
AL: Ich bin überzeugt, dass bei 60 bis 70 Prozent der kleinen und mittelständischen Unternehmen die DSVGO noch nicht vollständig umgesetzt ist. Es fehlt oft noch das Wissen, was etwa bei einem Datenabfluss gemacht werden muss und was nach einer Meldung passiert. Da muss man die Unternehmen noch besser informieren und ihnen die Angst nehmen. Viele der Anforderungen, um „compliant“ zu werden, sind sehr fachspezifisch.

ME: Wichtig ist es auf jedem Fall, ein Gesamtkonzept, ein zielgerichtetes Management für ICT-Risiken zu haben. Cybersecurity schafft nicht nur Sicherheit, sondern bringt schließlich auch einen klaren Wettbewerbsvorteil beispielsweise allein schon durch geringere Ausfallszeiten oder eine bessere Reputation.

Weitere Artikel

Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen
Bild: Grabher

Schneelast-Sensor kann Leben retten

Ein textiler Schneelast-Sensor ist weltweit erstmals in…

Weiterlesen
Bild: S&T AG

Thomas Schober-Köberl verstärkt S&T

Seit Dezember ist Thomas Schober-Köberl neuer Consultant…

Weiterlesen
Bild: Austrian Standards

Energiemanagement mit der neuen ISO 50001

Energiemanagementsysteme helfen Unternehmen, Verbrauch und…

Weiterlesen
Bild: CC0 - pixabay.com

ONTEC schafft Führungskräfte ab

Der IT-Dienstleister ONTEC AG verzichtet auf die klassische…

Weiterlesen
Bild: TGM - Hetzmannseder

TGM richtet Mini-Fabrik für Schüler ein

Am TGM in Wien nimmt eine Mini-Fabrik den Betrieb auf,…

Weiterlesen