“Viele gehen zu sorglos mit Daten um”

Die paybox Bank AG steht zu 100 % im Eigentum der A1 Telekom Austria AG und gehört zur Telekom Austria Gruppe. Sie betreibt keine Zweigstellen und bietet M-Payment-Lösungen für Privat- und Firmenkunden am österreichischen Markt an. Die mobilen Zahlungsmittel mit den Varianten „paybox starter“, „paybox premium“ und „business paybox“ sind in Österreich gut etabliert und funktionieren flächendeckend mit jedem Mobilfunkanbieter. Seit November 2019 gibt es die A1 Mastercard im Portfolio der Bank. Zudem ist die paybox Bank Solution-Partner für eGeld- und Gutscheinlösungen – u. a. für EDEKA in Deutschland. Im Interview spricht Werner Dürr, Head of Governance & CISO bei der paybox Bank AG, über das Thema Cybersecurity, seine persönlichen Sicherheitsvorkehrungen und die Notwendigkeit, sich in Österreich mehr mit dem Thema Sicherheit auseinanderzusetzen.

Cyberattacken nehmen zu. Wie gehen Sie bzw. Ihr Unternehmen mit dieser Herausforderung um?

Gerade Banken sind in den letzten Jahren Ziel von Cyberattacken geworden. Es ist für uns daher enorm wichtig, Informationssicherheit und somit auch Cybersecurity sehr ernst zu nehmen. Neben umfassenden Richtlinien und laufender Awareness-bildender Maßnahmen wird unsere Infrastruktur technisch durch das Cyber Defence Center der A1 proaktiv überwacht.  Diverse technische Maßnahmen komplettieren das Maßnahmenpaket.

Welche Cyberbedrohungen sind Ihrer Erfahrung nach derzeit die häufigsten, speziell in Österreich (wenn geht Top 3), aber auch im internationalen Umfeld?

Die Top-3-Themen sind aus meiner Sicht Phishing, Ransomware und Malware.

Mit welcher weiteren Entwicklung im Bereich Cyberattacken bzw. Cyberkriminalität rechnen Sie? Und wie schützt sich Ihr Unternehmen davor?

IT-Sicherheit ist für unser Unternehmen ein wesentlicher Erfolgsfaktor, um die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität unserer Kundendaten sicherzustellen. Dafür benötigen wir eine klare Strategie, gut geschulte Mitarbeiter, den richtigen Partner und das entsprechende Budget. Durch den Einsatz von KI werden Intensität und Professionalität der Attacken stark zunehmen. Neben den organisatorischen Maßnahmen wird ein verstärkter Einsatz von technischen Maßnahmen – inklusive künstlicher Intelligenz (KI) – notwendig sein. Hierbei legen wir größten Wert auf die Ausgewogenheit der in der Strategie definierten Ziele und der umzusetzenden Maßnahmen.

Ist das Wissen um die Gefahren von Cyberattacken bei den Menschen schon richtig „angekommen“?

Leider ist das nötige Wissen noch nicht richtig bei den Menschen angekommen. Es wird weiterhin zu sorglos mit den eigenen Daten, aber auch den Daten in den Unternehmen umgegangen.

Welche Schulungsmaßnahmen setzen Sie in Ihrem Unternehmen in diese Richtung?

Kontinuierliche bewusstseinsbildende Maßnahmen sind ein wesentlicher Schlüssel, um auf die Gefahren von Cyberattacken aufmerksam zu machen. Neben Schulungen werden auch organisatorische Penetrationtests als Mittel zur Sensibilisierung eingesetzt

Was sind für Sie die wichtigsten Faktoren für IT-Security-Lösungen – sowohl IKT-infrastrukturell als auch im Mobil- bzw. Festnetz?

Gerade kleinen Unternehmen fällt es schwer, gebündeltes Know-how im eigenen Unternehmen aufzubauen und alle Aspekte der IT-Sicherheit zu betrachten. Es ist daher besonders wichtig, einen professionellen Partner an seiner Seite zu haben.

Wie gehen Sie privat mit dem Thema Cybersecurity um? Ist man da als CISO vorsichtiger als andere Menschen?

Privat bin ich sicher vorsichtiger als andere Menschen, die nicht unmittelbar mit dem Thema Cybersecurity zu tun haben. Man wird vielleicht auch schon ein wenig paranoid (lacht). Es kommt schon vor, dass ich im Freundes- und Bekanntenkreis auf neue Bedrohungen hinweise und mit Rat zur Seite stehe.

Welche IT-Security-Lösungen haben Sie beispielsweise privat im Einsatz?

Ich habe privat die unterschiedlichsten IT-Security-Lösungen im Einsatz. Das beginnt schon bei der Wahl des Betriebssystems und endet bei analogen Produkten wie RFID und NFC-abgeschirmten Geldbörsen.