„Die Firewall zwischen den Ohren“

Welche Schulungsmaßnahmen setzen Sie in Ihrem Unternehmen in diese Richtung?

Wir arbeiten da auf mehreren Ebenen – von den End-Usern über Service-Owner und Projektmanager bis zu Linien-Managern und deren Vorbildfunktion für ihre Teams. Wobei natürlich die positiv konnotierte Präsenz eines Security-Teams hilft, das Thema zu platzieren, ohne es zu wichtig zu machen. Wir schulen über mehrere Methoden: Einzelgespräch, Präsenzschulung – seit Corona verstärkt über Video-Konferenzen –, lokale Trainer in den Ländern, webbasiert oder auch gezielt über interne Phishings bis hin zu kleinen Botschaften, die hier und da auftauchen, um die Kernaussagen im Hinterkopf immer wieder aufzufrischen.

Wichtig ist aber, die Balance zu halten und nicht Angst zu schüren – entspannt, aber aware zu sein, ich nenne das gerne „relaxed awareness“. Wie beim Autofahren: Es kann jederzeit ein Unfall passieren, aber wenn ich nur mit Angst fahre, ist die Reise unangenehm und ich bin am Ziel müde, oder noch schlimmer: Ich fahre gar nicht los und sperre mich zu Hause ein. Die Schulungen sind freiwilliger Natur, wobei es uns ein Anliegen ist, dass jeder Mitarbeiter sich regelmäßig daran beteiligt. Es ist aber keine Folkloreübung, um compliant zu sein, und es darf keine „Hakerl-Liste“ werden, die ich gezwungenermaßen abarbeite. Es schützt das Unternehmen und man schützt damit auch sein Arbeitsumfeld.

Was sind für Sie die wichtigsten Faktoren für IT-Securitylösungen – sowohl IKT-infrastrukturell als auch im Mobil- bzw. Festnetz?

Zunächst einmal: Es gibt keine 100-prozentige Sicherheit. Wir arbeiten nicht in einem sterilen Raum.  Es liegt am Unternehmen, die jeweiligen Bedrohungen bestmöglich abzudecken. Technische Lösungen sind kein Allheilmittel, wichtiger ist es, verlässliche Partner für Infrastruktur und Betrieb sowie robuste Systeme im Back- und im Frontend zu haben. A1 Digital ist einer unserer guten Partner im Security-Bereich, um Schwachstellen zu erkennen und zu beheben, bevor sie ausgenützt werden können. Auch guter Schutz am Client und ordentliche Authentifizierung mit mehr als nur einem guten Passwort gehören dazu.

Und natürlich: die Firewall zwischen den Ohren – die User-Awareness. Aber noch wichtiger als die technische Absicherung sind Resilienz auf der einen Seite und Transparenz auf der anderen. Ich muss als Unternehmen widerstandsfähig sein, weil früher oder später etwas passieren kann und wohl auch wird. Ich muss rechtzeitig erkennen, wenn etwas passiert, also meine Systeme überwachen. Wichtig ist, dass erfolgreiche Angriffe schnell erkannt und angegangen werden, ohne dass das Unternehmen massive Auswirkungen spürt.

Wie gehen Sie privat mit dem Thema Cybersecurity um? Ist man da als Head of Digital Security vorsichtiger als andere Menschen?

Ein Virologe wird sich gründlicher die Hände waschen als der Durchschnitt, obwohl es ja auch Lungenfachärzte geben soll, die rauchen. Klar, ich lebe in einem Smart Home und verwende viel Technologie. Aber auch hier ist die Basis: Patchen und g’scheite Authentifizierung. Wer seinen Windows-Rechner nicht patcht und als Administrator ohne Passwort arbeitet, ist wie ein Fallschirmspringer ohne Fallschirm unterwegs. Dem würde ich vom nächsten Sprung auch dringend abraten.

Ich achte darauf, dass ich immer aktuelle Betriebs- und Anwendungssysteme habe, verwende einen Passwort-Manager, WLAN mit WPA3 und Jugendschutz sowie ein Storage-System mit Cloud-Backup. Das ist nichts Besonderes, sondern eigentlich nur die Basishygiene, damit mir und meiner Familie nichts passiert, wenn was passiert. Ich sehe IT-Sicherheit als Hygienefaktor – das muss sitzen, darf aber nicht behindern und schon gar nicht fehlen. Dafür benötigen wir intelligente Menschen, die unaufgeregt und professionell arbeiten. Und als Unternehmen legen wir größten Wert auf Agilität auf einer stabilen Basis.

Hier gehts zu Teil 1:

Welche Bedrohungen für Jimmy Heschl die schwerwiegendsten sind – und warum die Gesellschaft noch lernen muss.