Deloitte und die Schärfung des Sicherheitsbewusstseins. Die COMPUTERWELT sprach mit Gilbert Wondracek, der vom Deloitte-Standort Wien aus für Security- und Privacy-Projekte verantwortlich zeichnet. [...]
Bei Deloitte denkt man nicht in erster Linie an Security.
Gilbert Wondracek: Das stimmt, und das wollen wir ändern. Die meisten denken an Steuerberatung und Wirtschaftsprüfung, was ja auch vollkommen richtig ist. Im Bereich Wirtschafts-prüfung bieten wir Enterprise Risks Services – hier geht es um Risiken, die ein Unternehmen insgesamt gefährden können. Themen sind interne Kontrollsysteme bis hin zu Cyber Security. Außerhalb von Österreich ist dieser Bereich schon größer. Wir versuchen das Thema auch hier voranzutreiben.
Was planen Sie?
Veranstaltungen etwa für Finanzchefs, um das Bewusstsein für die aktuellen Risiken zu steigern.
Deloittes Security-Expertise?
Mit unseren weltweit mehr als 200.000 Mitarbeitern gibt es Spezialisten für jedes Security-Thema. Wir haben zum Beispiel ein Team von 50 Hackern für Penetration-Tests. Deloitte verkauft keine Security-Produkte. Cyber Security behandeln wir beratungstechnisch und als auch in der technischen Umsetzung.
Wie gut sind heimische Unternehmen vor Cyber-Angriffen geschützt?
Es ist eine typisch österreichische Einstellung, sich als zu klein für Cyber-Angriffe zu sehen. Das stimmt jedoch nicht. Die Sicht des Angreifers unterscheidet sich gravierend von der Eigensicht der Unternehmen. Ein Datensatz scheint unwichtig zu sein, aber durch die Verknüpfung mit anderen Daten kann er zum Ausgangspunkt eines Angriffs werden. Auf diese Weise gibt auch ein kleines Unternehmen ein attraktives Ziel für Cyber-Kriminelle ab.
Auf welche Security-Philosophie sollen Unternehmen künftig setzen?
Wo ich Potenzial sehe, sind Data-Loss-Prevention-Systeme, bei denen man davon ausgeht, dass zwar etwas passieren kann – auch verursacht durch einen Mitarbeiter –, sich aber durch technische und organisatorische Maßnahmen einen Überblick verschafft, ob Daten das Unternehmen verlassen, so kann man dann darauf entsprechend reagieren. Entscheidend ist, sich klar zu machen, was für das Unternehmen wichtig ist, nicht nur aus der Eigen-sicht – Stichwort Betriebsblindheit. Es geht darum, die Assets zu identifizieren, zu priorisieren und gezielte Schutzmaßnahmen zu treffen. Die Lösung muss immer das Ergebnis einer Abwägung zwischen Sicherheit, wirtschaftlichen Überlegungen und der Usability sein. Denn die Security sollte auf keinen Fall die Mitarbeiter behindern.
Cyber-Kriminelle sind bestens vernetzt. Sollte man dieses Prinzip nicht anwenden, um sich vor ihnen zu schützen?
In manchen Bereichen gibt es den Informationsaustausch schon lange, etwa auf der Ebene der Techniker. Auf Entscheiderebene sehe ich die Entwicklung noch viel schwächer. Es gibt Ansätze, wie etwa Cyber Security Operations Center, wo mehrere Firmen ihre Sicherheitssensoren haben. Sie teilen die Ergebnisse, wodurch man einen gewissen Frühwarneffekt und Mehrwert erzielt.
Wie schätzen Sie generell die Security Awareness im Unternehmensumfeld ein?
Das Bewusstsein für Security gerade auch in der Geschäftsleitung steigt merkbar an – nicht zuletzt durch den Druck von außen.
Das Gespräch führte Wolfgang Franz.
Gilbert Wondracek
Gilbert Wondracek ist als National Lead für Cyber Risk Services in der Abteilung Enterprise Risk Services am Deloitte-Standort Wien tätig. Zu seinen Aufgaben gehören die Prüfung von IT-Prozessen und komplexen IT-Systemen mit Hinblick auf Sicherheit und Datenschutz sowie die Planung und Durchführung von Penetration-Tests. Gilbert Wondracek ist Absolvent der TU Wien. Sein Dissertationsthema: „Threats to Privacy Sensitive Data“.
Be the first to comment