Mit Zero Trust zum „CISO of the Year“ 

Peter Gerdenitsch, Group Chief Information Security Officer (CISO) der Raiffeisen Bank International, wurde für sein Zero-Trust-Konzept, mit dem er die Informationssicherheit als ganzheitlichen Business Enabler in der Unternehmensgruppe positioniert hat, als "CISO of the Year 2022" ausgezeichnet. [...]

Peter Gerdenitsch, Group CISO der RBI, ist "CISO of the Year". (c) RBI
Peter Gerdenitsch, Group CISO der RBI, ist "CISO of the Year". (c) RBI

Peter Gerdenitsch hat die neu ins Leben gerufenen Auszeichnung „CISO of the Year“ erhalten. Die auf Informationssicherheit spezialisierte, staatlich akkreditierte Zertifizierungsorganisation CIS will damit herausragende Leistungen im Bereich Informationssicherheit würdigen und jene Personen, die sonst häufig anonym im Hintergrund für die Sicherheit vieler Betriebe arbeiten, ins Rampenlicht rücken. Gerdenitsch überzeugte die Jury durch die Definition und Einhaltung der gruppenweiten Security Governance sowie der Implementierung eines Zero-Trust-Konzepts für Enduser.

„Der CISO oder früher der IT-Security-Chef, war und ist immer noch die Person, die sich um die klassische Vorgaben und die Einhaltung der Vorgaben, also um die Governance, kümmert“, erklärt Gerdenitsch im Gespräch mit IT WELT.at. „Aber der moderne CISO hat zudem die Herausforderungen mit all der Technologie, die am Markt verfügbar ist. Er muss Lösungen finden, wie diese Technologien, die von den Kollegen in der IT aber auch in den Fachbereichen genutzt werden, im sicheren Umfang benützt werden können.“ Gerdenitsch hat diese Strategie in den letzten Jahren massiv vorangetrieben und einige »technologische Weiterentwicklungen bzw. architekturelle Sicherheitskonzepte« – speziell das Thema Zero Trust – umgesetzt.

Steigende Bedrohungslage erfordert innovative Konzepte

„In letzter Zeit ist vor allem das Thema Ransomware gewachsen. Und was wir in den Medien sehen, ist nur die Spitze des Eisbergs. Der zweite große Block ist unerlaubter Datenabzug. Beides wird benutzt, um Geld zu machen. Das ist mittlerweile eine eigener Wirtschaftszweig, der bestens organisiert ist.“

„Meistens merkt man erst wie wichtig das Thema Security ist, wenn etwas passiert.“

Peter Gerdenitsch

Zero Trust als sichere Burg

Gerdenitsch vergleicht ein klassisches Security-System mit einer Burg mit einem Burggraben. Wenn man diesen einmal überwunden hat, dann ist man in der Burg drinnen und kann sich frei bewegen. Und man vertraut denjenigen, die sich innerhalb der Burgmauer bewegen. „Die gleiche Situation hat man heute in einem Netzwerk. Wenn man drinnen ist, kann man sich mehr oder weniger frei bewegen und keiner fragt mehr, ob man überhaupt die Berechtigung dazu hat.“ Zero Trust stellt genau diese Frage: Hat man überhaupt die Berechtigung, hier zu sein? „Diese Frage kombiniert man mit der Aufteilung auf mehrere kleine Burgen“, so der Experte, „und auch auf diesem kleinen Level muss man immer wieder nach der Berechtigung fragen.“ Diese beiden Komponenten – also die stetige Nachfrage und die Aufteilung auf mehrere Inseln – bilden das Zero-Trust-Konzept. „Auf den Punkt gebracht heißt das: never Trust, always verify.“

Die richtige Balance finden

Die Aufgabe des modernen CISO sei es, dass dieses Konzept für die Mitarbeiter auch benutzbar ist. „Es ist nicht zielführend, wenn der User dauernd sein Passwort eingeben muss. Auf der anderen Seite darf es aber auch nicht zu wenig sein.“ Diese Balance zu finden, ist für Gerdenitsch der richtige Weg und das wurde auch im Unternehmen so umgesetzt.

Und was bedeutet das für den Mitarbeiter? „Er klappt den Computer auf, authentifiziert sich mit zwei Faktoren auf dem Gerät und hat sicheren Zugriff auf die Applikationen. Und das unabhängig vom Ort“, so Gerdenitsch. „Damit schaffen wir eine höhere Sicherheit, eine bessere Usability und mittelfristig eine Kostenreduktion, weil die Komplexität des IT-Setups abnimmt.“

Wichtig ist dem CISO, dass man das Security-Bewusstsein in Unternehmen stärkt. „Denn meistens merkt man erst wie wichtig das Thema ist, wenn etwas passiert.“ Deshalb sei es extrem wichtig, dass IT und Security gemeinsam an einem Strang ziehen. „Je früher wir in allen IT-Prozessen auch Sicherheit implementieren, desto günstiger kommt es uns in der Folge.“


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*