Mit Zero Trust zum „CISO of the Year“ 

Peter Gerdenitsch, Group Chief Information Security Officer (CISO) der Raiffeisen Bank International, wurde für sein Zero-Trust-Konzept, mit dem er die Informationssicherheit als ganzheitlichen Business Enabler in der Unternehmensgruppe positioniert hat, als "CISO of the Year 2022" ausgezeichnet. [...]

Peter Gerdenitsch, Group CISO der RBI, ist "CISO of the Year". (c) RBI
Peter Gerdenitsch, Group CISO der RBI, ist "CISO of the Year". (c) RBI

Peter Gerdenitsch hat die neu ins Leben gerufenen Auszeichnung „CISO of the Year“ erhalten. Die auf Informationssicherheit spezialisierte, staatlich akkreditierte Zertifizierungsorganisation CIS will damit herausragende Leistungen im Bereich Informationssicherheit würdigen und jene Personen, die sonst häufig anonym im Hintergrund für die Sicherheit vieler Betriebe arbeiten, ins Rampenlicht rücken. Gerdenitsch überzeugte die Jury durch die Definition und Einhaltung der gruppenweiten Security Governance sowie der Implementierung eines Zero-Trust-Konzepts für Enduser.

„Der CISO oder früher der IT-Security-Chef, war und ist immer noch die Person, die sich um die klassische Vorgaben und die Einhaltung der Vorgaben, also um die Governance, kümmert“, erklärt Gerdenitsch im Gespräch mit IT WELT.at. „Aber der moderne CISO hat zudem die Herausforderungen mit all der Technologie, die am Markt verfügbar ist. Er muss Lösungen finden, wie diese Technologien, die von den Kollegen in der IT aber auch in den Fachbereichen genutzt werden, im sicheren Umfang benützt werden können.“ Gerdenitsch hat diese Strategie in den letzten Jahren massiv vorangetrieben und einige »technologische Weiterentwicklungen bzw. architekturelle Sicherheitskonzepte« – speziell das Thema Zero Trust – umgesetzt.

Steigende Bedrohungslage erfordert innovative Konzepte

„In letzter Zeit ist vor allem das Thema Ransomware gewachsen. Und was wir in den Medien sehen, ist nur die Spitze des Eisbergs. Der zweite große Block ist unerlaubter Datenabzug. Beides wird benutzt, um Geld zu machen. Das ist mittlerweile eine eigener Wirtschaftszweig, der bestens organisiert ist.“

„Meistens merkt man erst wie wichtig das Thema Security ist, wenn etwas passiert.“

Peter Gerdenitsch

Zero Trust als sichere Burg

Gerdenitsch vergleicht ein klassisches Security-System mit einer Burg mit einem Burggraben. Wenn man diesen einmal überwunden hat, dann ist man in der Burg drinnen und kann sich frei bewegen. Und man vertraut denjenigen, die sich innerhalb der Burgmauer bewegen. „Die gleiche Situation hat man heute in einem Netzwerk. Wenn man drinnen ist, kann man sich mehr oder weniger frei bewegen und keiner fragt mehr, ob man überhaupt die Berechtigung dazu hat.“ Zero Trust stellt genau diese Frage: Hat man überhaupt die Berechtigung, hier zu sein? „Diese Frage kombiniert man mit der Aufteilung auf mehrere kleine Burgen“, so der Experte, „und auch auf diesem kleinen Level muss man immer wieder nach der Berechtigung fragen.“ Diese beiden Komponenten – also die stetige Nachfrage und die Aufteilung auf mehrere Inseln – bilden das Zero-Trust-Konzept. „Auf den Punkt gebracht heißt das: never Trust, always verify.“

Die richtige Balance finden

Die Aufgabe des modernen CISO sei es, dass dieses Konzept für die Mitarbeiter auch benutzbar ist. „Es ist nicht zielführend, wenn der User dauernd sein Passwort eingeben muss. Auf der anderen Seite darf es aber auch nicht zu wenig sein.“ Diese Balance zu finden, ist für Gerdenitsch der richtige Weg und das wurde auch im Unternehmen so umgesetzt.

Und was bedeutet das für den Mitarbeiter? „Er klappt den Computer auf, authentifiziert sich mit zwei Faktoren auf dem Gerät und hat sicheren Zugriff auf die Applikationen. Und das unabhängig vom Ort“, so Gerdenitsch. „Damit schaffen wir eine höhere Sicherheit, eine bessere Usability und mittelfristig eine Kostenreduktion, weil die Komplexität des IT-Setups abnimmt.“

Wichtig ist dem CISO, dass man das Security-Bewusstsein in Unternehmen stärkt. „Denn meistens merkt man erst wie wichtig das Thema ist, wenn etwas passiert.“ Deshalb sei es extrem wichtig, dass IT und Security gemeinsam an einem Strang ziehen. „Je früher wir in allen IT-Prozessen auch Sicherheit implementieren, desto günstiger kommt es uns in der Folge.“


Mehr Artikel

News

Lauf-Apps als Sicherheitsrisiko

Lauf-Apps sammeln Informationen über das eigene Training und tracken somit alle Fortschritte, die man beim Laufen gemacht hat. Allerdings benötigen sie um richtig zu funktionieren präzise Daten, darunter auch den Standort von Nutzern.
Diese Daten stehen oft öffentlich zur Verfügung. […]

News

Heimischer Seilbahn-Spezialist Doppelmayr wechselt zu IFS Cloud

Der Schritt hin zu einer zentralen Cloud bedeutet, dass die weltweiten Vertriebsstandorte von Doppelmayr ebenso wie die Produktionsstätten mit demselben System arbeiten können. Die Implementierung, die sofort beginnen soll, wird die meisten Funktionsbereiche des Doppelmayr-Geschäfts abdecken und mehr als 3.000 Mitarbeiter an mehreren Standorten betreffen. […]

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*