Placeholder

Sicherheit

“Viele gehen zu sorglos mit Daten um”

  • Vorheriger
  • Artikel
Placeholder

Sicherheit

„Die Firewall zwischen den Ohren“

  • Nächster
  • Artikel

Lesedauer

5 Minuten

Sicherheit

„Balance halten und nicht Angst schüren“

"Man muss sich im Klaren darüber sein, dass jedes System, das im Internet hängt, auch sehr rasch attackiert wird." - Jimmy Heschl, CISO Red Bull GmbH, über die Gefahren der Cyberkriminalität.

Passwortklau und Phishing als Vorbereitung für weitere Aktionen als größte Bedrohungen. Jimmy Heschl, CISO Red Bull GmbH, über die Gefahren der Cyberkriminalität.

Cyberattacken nehmen zu. Wie gehen Sie bzw. Ihr Unternehmen mit dieser Herausforderung um?

Gefahren kennen und richtig einschätzen, aber nicht überbewerten! Man muss sich im Klaren darüber sein, dass jedes System, das im Internet hängt, auch sehr rasch attackiert wird. Das geht oft binnen einer Stunde. Die Systeme sind permanent unter Beschuss. Aber: Paranoia ist eine Krankheit und von der will ich mich nicht bestimmen lassen. Die Wirtschaft ist bestimmt durch Wachstum, vorzugsweise intelligentes Wachstum ohne Raubbau an Ressourcen, und einen ständigen Austausch – also faires Geben und Nehmen.

Angst ist hier nicht förderlich. Professionelles, aber unaufgeregtes Handeln ist nach meiner Einschätzung gefragt. So betrachte ich auch das Thema Cybersecurity von zwei Blickwinkeln aus: Wir haben es mit Angreifern zu tun, die oft mafiöse und gut organisierte Strukturen haben – gut finanziert, hoch arbeitsteilig, sehr kreativ und digitalisiert. Auf der anderen Seite ist das Thema auch für die Anbieter von Sicherheitslösungen sehr attraktiv. Das sind Tech-Experten, Start-ups, Berater und andere Marktteilnehmer. Als User sitzen wir in der Mitte und müssen danach trachten, uns so zu positionieren, dass unser Business sicher und rund läuft. Da sind alle Unternehmen gleich gefordert.

 

Welche Cyberbedrohungen sind Ihrer Erfahrung nach derzeit die häufigsten, speziell in Österreich, aber auch im internationalen Umfeld?

Die schiere Angst vor Cyberbedrohungen ist wahrscheinlich das größte Risiko. Sie schädigt nicht nur Unternehmen, sondern auch den Wirtschaftsstandort. Ein Produkt, das nicht auf den Markt kommt, kann für die Wirtschaft einen Schaden verursachen – aber es ist oft schwierig, die richtige Balance zu finden: Ein Social-Media-Dienst, in dessen App immer wieder Schwachstellen publik werden, geht bald einmal für 20-30 Mrd. USD über den Ladentisch. Künftige Werbeeinnahmen und Umsätze sind da gar nicht mit eingerechnet.

In Europa wäre ein solches Produkt gar nicht auf den Markt gekommen, weil wir uns – denke ich – oft zu sehr den Kopf zerbrechen und uns fürchten; das ist innovations- und wirtschaftsfeindlich. Speziell für den Bereich Cybersecurity sehe ich Passwortklau und Phishing als Vorbereitung für weitere Aktionen als größte Bedrohungen. Da muss man wachsam sein. Gezielte Ransomware-Attacken, wie wir sie zuletzt immer wieder erlebt haben, können da gleich einmal zu Millionen-Lösegeldforderungen führen.

 

Mit welcher weiteren Entwicklung im Bereich Cyberattacken bzw. Cyberkriminalität rechnen Sie? Und wie schützt sich Ihr Unternehmen davor?

Ich erwarte ein weiteres Wachstum der Bedrohungen und ich weiß nicht, was noch passieren muss, bis sich die Öffentlichkeit und die Politik hier ins Zeug legen und den Sumpf austrocknen. Ich meine damit keine Lokal- und Regionalpolitik –  da besteht ein globaler Handlungsbedarf, der abseits von wirtschaftlichen Interessen geführt werden müsste. Die Bereitschaft dazu sehe ich derzeit aber nicht. Vielmehr macht man den Menschen und den Unternehmen mit einer regelrechten Regulierungswut und Compliance-Vorgaben unnötig das Leben schwer. Angreifer halten sich auch an keine Regeln. Was wir derzeit in Europa machen, grenzt für mich ans Esoterische: Standards entwickeln und versuchen, Awareness zu schaffen, ist nicht falsch, aber schlicht zu wenig.

Derzeit behandeln wir bei Cyberattacken nur die Symptome, nicht die Krankheit selbst. Man könnte beispielsweise überlegen, alte Geräte schlicht vom Internet auszuschließen. Ein ungeschützter PC, also einer mit veralteter Software, muss raus aus dem Netz. Vielleicht muss sich unsere Gesellschaft erst daran gewöhnen, dass ein gewisser Grundschutz für uns alle nötig ist, nicht nur für den, der einen alten Rechner oder ein altes Handy nutzt.

Da sind wir beim Mindset: Ist das Wissen um die Gefahren von Cyberattacken bei den Menschen schon richtig „angekommen“?

Solange die Gefahren nur immaterielle Schäden anrichten, also wenn die Urlaubsfotos von der Mizzi-Tant weg sind, spüren wir das emotional und ärgern uns vielleicht punktuell. Aber wenn einer Anwaltskanzlei Klientendaten gestohlen werden, wird der Schaden materiell. Ich denke, man sollte langsam begreifen, dass Backups durchaus hilfreich sind. Hunderte Millionen sind in den letzten Jahren bei großen Firmen geklaut worden. Aber ich bin mir nicht sicher, ob die Allgemeinheit das versteht und wahrnimmt.

Doch was passiert, wenn wirklich die Riesentanker der Wirtschaft geschädigt werden? Und deswegen vielleicht zigtausende Arbeitsplätze wegfallen? Oder wollen wir erst warten, bis bei selbstfahrenden Autos ein Massenunfall mit vielen Toten durch eine Cyberattacke ausgelöst wird, bevor wir erkennen, in welcher Situation wir uns befinden? Derzeit scheint der Schmerz aber noch zu gering. Und natürlich fehlt es an Wissen, wie überhaupt ein Cybervorfall vonstatten geht, wie sich das anfühlt. Wir alle kennen Brandgeruch und reagieren fast instinktiv darauf. Dieses Sensorium fehlt aber bei Cyberattacken – das ist fast wie bei der Radioaktivität. Schmeckt nicht, riecht nicht, macht keinen Ton, ich seh sie nicht und angreifen geht schon gar nicht. Die Alarmsysteme sind noch immer was für Spezialisten, und wenn die dann „Feuer“ schreien, werden sie ungläubig angesehen. Da gibt es also noch einiges zu tun!

 

Weiter zu Teil 2:

Tipps für Unternehmen und wie Jimmy Heschl seine eigene Cybersecurity managt.

Artikelübersicht