Peter Gerdenitsch, Group Chief Information Security Officer (CISO) der Raiffeisen Bank International, wurde für sein Zero-Trust-Konzept, mit dem er die Informationssicherheit als ganzheitlichen Business Enabler in der Unternehmensgruppe positioniert hat, als "CISO of the Year 2022" ausgezeichnet. [...]
Peter Gerdenitsch hat die neu ins Leben gerufenen Auszeichnung „CISO of the Year“ erhalten. Die auf Informationssicherheit spezialisierte, staatlich akkreditierte Zertifizierungsorganisation CIS will damit herausragende Leistungen im Bereich Informationssicherheit würdigen und jene Personen, die sonst häufig anonym im Hintergrund für die Sicherheit vieler Betriebe arbeiten, ins Rampenlicht rücken. Gerdenitsch überzeugte die Jury durch die Definition und Einhaltung der gruppenweiten Security Governance sowie der Implementierung eines Zero-Trust-Konzepts für Enduser.
„Der CISO oder früher der IT-Security-Chef, war und ist immer noch die Person, die sich um die klassische Vorgaben und die Einhaltung der Vorgaben, also um die Governance, kümmert“, erklärt Gerdenitsch im Gespräch mit IT WELT.at. „Aber der moderne CISO hat zudem die Herausforderungen mit all der Technologie, die am Markt verfügbar ist. Er muss Lösungen finden, wie diese Technologien, die von den Kollegen in der IT aber auch in den Fachbereichen genutzt werden, im sicheren Umfang benützt werden können.“ Gerdenitsch hat diese Strategie in den letzten Jahren massiv vorangetrieben und einige »technologische Weiterentwicklungen bzw. architekturelle Sicherheitskonzepte« – speziell das Thema Zero Trust – umgesetzt.
Steigende Bedrohungslage erfordert innovative Konzepte
„In letzter Zeit ist vor allem das Thema Ransomware gewachsen. Und was wir in den Medien sehen, ist nur die Spitze des Eisbergs. Der zweite große Block ist unerlaubter Datenabzug. Beides wird benutzt, um Geld zu machen. Das ist mittlerweile eine eigener Wirtschaftszweig, der bestens organisiert ist.“
„Meistens merkt man erst wie wichtig das Thema Security ist, wenn etwas passiert.“
Peter Gerdenitsch
Zero Trust als sichere Burg
Gerdenitsch vergleicht ein klassisches Security-System mit einer Burg mit einem Burggraben. Wenn man diesen einmal überwunden hat, dann ist man in der Burg drinnen und kann sich frei bewegen. Und man vertraut denjenigen, die sich innerhalb der Burgmauer bewegen. „Die gleiche Situation hat man heute in einem Netzwerk. Wenn man drinnen ist, kann man sich mehr oder weniger frei bewegen und keiner fragt mehr, ob man überhaupt die Berechtigung dazu hat.“ Zero Trust stellt genau diese Frage: Hat man überhaupt die Berechtigung, hier zu sein? „Diese Frage kombiniert man mit der Aufteilung auf mehrere kleine Burgen“, so der Experte, „und auch auf diesem kleinen Level muss man immer wieder nach der Berechtigung fragen.“ Diese beiden Komponenten – also die stetige Nachfrage und die Aufteilung auf mehrere Inseln – bilden das Zero-Trust-Konzept. „Auf den Punkt gebracht heißt das: never Trust, always verify.“
Die richtige Balance finden
Die Aufgabe des modernen CISO sei es, dass dieses Konzept für die Mitarbeiter auch benutzbar ist. „Es ist nicht zielführend, wenn der User dauernd sein Passwort eingeben muss. Auf der anderen Seite darf es aber auch nicht zu wenig sein.“ Diese Balance zu finden, ist für Gerdenitsch der richtige Weg und das wurde auch im Unternehmen so umgesetzt.
Und was bedeutet das für den Mitarbeiter? „Er klappt den Computer auf, authentifiziert sich mit zwei Faktoren auf dem Gerät und hat sicheren Zugriff auf die Applikationen. Und das unabhängig vom Ort“, so Gerdenitsch. „Damit schaffen wir eine höhere Sicherheit, eine bessere Usability und mittelfristig eine Kostenreduktion, weil die Komplexität des IT-Setups abnimmt.“
Wichtig ist dem CISO, dass man das Security-Bewusstsein in Unternehmen stärkt. „Denn meistens merkt man erst wie wichtig das Thema ist, wenn etwas passiert.“ Deshalb sei es extrem wichtig, dass IT und Security gemeinsam an einem Strang ziehen. „Je früher wir in allen IT-Prozessen auch Sicherheit implementieren, desto günstiger kommt es uns in der Folge.“
Be the first to comment