»DSGVO ist da – die Erde steht noch«

Irene Marx, Country Managerin von Fortinet in Österreich, hat mit der COMPUTERWELT über aktuelle Bedrohungen für heimische Unternehmen, das Lösungsangebot von Fortinet und die große Herausforderung DSGVO gesprochen. [...]

Welche Rolle spielt Cybersecurity im Rahmen der digitalen Transformation, die ja nicht nur hierzulande in vollem Gange ist?

Digital Transformation funktioniert nicht ohne Cybersecurity. Was nützt mir der beste digital abgebildete Geschäftsprozess, wenn dieser morgen nicht mehr funktioniert, weil ich ihn nicht gegen Hacker & Co. abgesichert habe. Die Schwierigkeit heute: Digitale Daten und Anwendungen bewegen sich zwischen unterschiedlichsten Benutzern und Geräten und erstrecken sich über verschiedene, grenzenlose Netzwerke. Da die Übersicht und Kontrolle darüber zu haben, wer wo wie auf was Zugriff haben darf und wer nicht, ist eine echte Herausforderung. Digitale Transformation braucht also auch ein Umdenken in Sachen Sicherheit. Cyberkriminelle schlafen nicht, die Angriffe werden raffinierter. Klassische IT-Sicherheitsvorkehrungen wie Firewall und Virenschutz greifen zu kurz. Security muss deshalb breiter, umfassender und integriert gedacht werden. Digital Transformation bedarf einer Digital Transformation of Security.

Welche Lösungen hat Fortinet hier für die Kunden in Österreich?

Eine digitale Welt braucht eine Security, die alles abdeckt: virtuelle, physische und temporäre Netzwerk-Elemente gleichwohl wie Endgeräte, On-Premise-Rechner und komplexe Multi-Cloud-Ökosysteme. Dafür existiert kein Einzelprodukt, keine Plattform, die alles abdeckt. Vielmehr bedarf es eines durchdachten Security-Frameworks wie der Fortinet Security Fabric. Diese Architektur funktioniert wie ein maschenartiges Sicherheitsnetzwerk, in dem alle Security-Funktionen – von Firewall-Schutz und Intrusion Prevention (IPS) über Anti-Malware bis hin zu SSL-Inspektion – über eine zentrale Verwaltungskonsole miteinander kommunizieren können. Nur eine solch abgestimmte und lückenlose Security kann jede potenzielle Angriffsfläche abdecken.

Worin sehen Sie den USP Ihrer Lösungen im Vergleich zum Mitbewerb?

Firewall, Switches, Access Management – jeder Security-Anbieter am Markt schreibt, umfassende Sicherheitslösungen anzubieten. Das ist nichts Neues. Und ja, das haben wir auch. Einzigartig aber ist die Verbindung solch leistungsstarker Produkte und Lösungen mit dem Ansatz der Fortinet Security Fabric. Ein solch umfassendes neuronales Netzwerk aus verbundenen Geräten, die speziell für eine schnelle, skalierbare Integration, Kommunikation, Zusammenarbeit und den Austausch von Informationen ausgelegt sind, findet sich so nicht am Markt wieder. Möglich wird dies durch die einzigartige Kombination aus verhaltensbasierter Analytik und Automatisierung, die es dem Netzwerk erlaubt, Risiken vorherzusagen und die Zeit zwischen Erkennung von Bedrohungen und Reaktion spürbar zu verkürzen – ohne dass Mitarbeiter händisch eingreifen müssen.

Sind heimische Unternehmen auf die aktuellen Security-Anforderungen vorbereitet, auch hinsichtlich des Stichwortes DSGVO?

Gegenfrage: Wann ist ein Unternehmen wirklich in Sachen Security genug vorbereitet – unabhängig von DSGVO? Fakt ist: Besser geht immer. Aber digital Transformation heißt nicht umsonst Transformation. Ein echter Wandel passiert nicht von heute auf morgen. Auch nicht in Sachen Security. Und die Ressourcen für IT in heimischen Unternehmen sind bekanntlich nicht endlos. Was uns aber zuversichtlich stimmt, ist, dass wir ein deutlich steigendes Bewusstsein hinsichtlich der Bedeutung von Cybersecurity im Lande orten. Dass strategisch nachgedacht wird, was wie im Unternehmen geschützt werden muss, bevor wirklich etwas passiert. Das war noch vor ein paar Jahren ganz anders.

Wie muss eine moderne Security-Infrastruktur aussehen, um aktuelle Bedrohungen von innen und außen abzuwehren?

Zugriff auf jegliche Daten, von überall, von jedem Gerät, jederzeit – das wird heute in der digitalen Welt gefordert. Nur wer das mit seiner IT bedienen kann, wird am Ende am Markt übrigbleiben. Das geht, bedeutet aber auch eine immer komplexere Palette von miteinander verbundenen Geräten und Netzwerken, die zu überwachen und kontrollieren sind. Eine moderne Security-Infrastruktur wird daher in Zukunft ohne Automatisierung und den Einsatz von künstlicher Intelligenz nicht mehr auskommen. Die Fortinet Security Fabric geht schon heute diesen Weg. Sie kann dank Self-Learning-Funktionen nicht nur Bedrohungen eigenständig erkennen, sondern auch vorhersehen und durch den dynamischen Austausch von Threat Intelligence in Echtzeit darauf reagieren, bevor im Netzwerk Schaden angerichtet wird.

IoT ist eine der großen Zukunftstrends. In Österreich haben noch nicht viele Unternehmen Projekte umgesetzt. Nicht nur aber auch wegen Sicherheitsbedenken. Wie können die vielen vernetzten Geräte und Maschinen sicher gemacht werden?

IoT vervielfältigt die Anzahl der Türen zu einem Netzwerk, die allesamt gesichert werden müssen. Somit verstärkt IoT, wie schon erwähnt, den ganzheitlichen Security-Ansatz. Lückenlose und automatisierte Security-Lösungen sind hier der Schlüssel. Auch hier müssen einzelne Komponenten zusammenarbeiten, eigenständig Informationen austauschen, Ereignisse korrelieren und geeignete Maßnahmen ergreifen. Transparenz ist das A und O. Für die Mitarbeiter müssen Daten so präsentiert werden, dass sie die wirklich relevanten Informationen in IoT-Projekten einfach sehen können ohne komplexe Logmeldungen analysieren zu müssen.

Noch einmal zur DSGVO, die ja schon seit Mai in ihrer neuen Form gilt. Haben Sie den Eindruck, dass heimische Unternehmen die Anforderungen mittlerweile erfüllt haben?

DSGVO ist da – und die Erde steht noch. Zum Glück finden angesagte Katastrophen üblicherweise nicht statt. Die DSGVO und die Diskussionen darüber haben jedoch maßgeblich dazu beigetragen, dass sich Unternehmen über Daten und deren Sicherung Gedanken machen. Bei vielen Argumentationen wurde sicherlich über das intendierte Ziel hinausgeschossen, wurden unbegründet Ängste geschürt. Deshalb glaube ich, vorsichtig gesagt: Die meisten heimischen Unternehmen haben mit bestem Wissen und Gewissen versucht, die Anforderungen zu erfüllen. Die Unsicherheit darüber, ob das auch vollumfänglich gelungen ist, ist aber definitiv zu spüren.

Wie viele Unternehmen sind ungefähr prozentuell noch nicht vorbereitet. Betrifft das eher kleine oder große Betriebe?

Das lässt sich eigentlich schwer sagen. Und prinzipiell würde ich eher davon ausgehen, dass je größer das Unternehmen, desto besser vorbereitet.

Woran hapert es?

Das liegt wohl auch sehr stark in der Natur der Sache begraben. Die DSGVO ist ein theoretisches Konstrukt, das durch Sprache und Komplexität der realen Verhältnisse limitiert wird. Es werden also noch weiter Diskussionen zu führen sein, wie genau einzelne Begrifflichkeiten definiert bzw. ausgelegt werden und wie die EU mit unterschiedlichen Begründungen und Argumentationen umgeht. Der Umstand, dass abteilungsübergreifend gearbeitet werden muss und strategische wie auch technische Entscheidungen gemeinsam getroffen werden müssen, macht es nicht leichter. Er birgt aber zugleich eine Chance für größere Unternehmen ein Big Picture zu entwickeln.

Wissen Sie schon von ersten Strafen oder Abmahnungen in Österreich?

Momentan geistert ja die Gefahr der Abmahnanwälte durchs Land, die von Konkurrenzunternehmen angeheuert werden. Wie kann man sich davor ideal schützen, ohne dabei ausufernde Kosten befürchten zu müssen? Ich kann eigentlich nur dazu raten, sich mit dem zu beschäftigen, was man selbst in der Hand hat. Und das bedeutet erstmal, die DSGVO-Anforderungen zu erfüllen. Das schützt immer noch am Besten. Und was im lautstarken DSGVO-Bedrohungsszenario oftmals untergeht, ist der Fakt, dass diese Verordnung auch veritable Geschäftschancen in sich birgt.

Viele Unternehmen erhalten gezwungenermaßen zum ersten Mal einen echten, konsolidierten Überblick darüber, wo im Unternehmen Daten wie erhoben werden. Wer schlau ist, stellt sich Fragen, die über die DSGVO-Forderungen hinaus gehen: Was könnte damit gemacht werden? Welche Geschäftsprozesse könnten wie optimiert werden? Fragen, die also einen echten Startschuss zur eigenen digital Transformation darstellen könnten. Wenn der Startschuss auch als solcher gehört wird und die darin verborgenen Chancen gesehen und genützt werden.