
Wichtig ist aber, die Balance zu halten und nicht Angst zu schüren – entspannt, aber aware zu sein, ich nenne das gerne „relaxed awareness“. - Jimmy Heschl, CISO Red Bull GmbH
Welche Schulungsmaßnahmen setzen Sie in Ihrem Unternehmen in diese Richtung?
Wir arbeiten da auf mehreren Ebenen – von den End-Usern über Service-Owner und Projektmanager bis zu Linien-Managern und deren Vorbildfunktion für ihre Teams. Wobei natürlich die positiv konnotierte Präsenz eines Security-Teams hilft, das Thema zu platzieren, ohne es zu wichtig zu machen. Wir schulen über mehrere Methoden: Einzelgespräch, Präsenzschulung – seit Corona verstärkt über Video-Konferenzen –, lokale Trainer in den Ländern, webbasiert oder auch gezielt über interne Phishings bis hin zu kleinen Botschaften, die hier und da auftauchen, um die Kernaussagen im Hinterkopf immer wieder aufzufrischen.
Wichtig ist aber, die Balance zu halten und nicht Angst zu schüren – entspannt, aber aware zu sein, ich nenne das gerne „relaxed awareness“. Wie beim Autofahren: Es kann jederzeit ein Unfall passieren, aber wenn ich nur mit Angst fahre, ist die Reise unangenehm und ich bin am Ziel müde, oder noch schlimmer: Ich fahre gar nicht los und sperre mich zu Hause ein. Die Schulungen sind freiwilliger Natur, wobei es uns ein Anliegen ist, dass jeder Mitarbeiter sich regelmäßig daran beteiligt. Es ist aber keine Folkloreübung, um compliant zu sein, und es darf keine „Hakerl-Liste“ werden, die ich gezwungenermaßen abarbeite. Es schützt das Unternehmen und man schützt damit auch sein Arbeitsumfeld.
Was sind für Sie die wichtigsten Faktoren für IT-Securitylösungen – sowohl IKT-infrastrukturell als auch im Mobil- bzw. Festnetz?
Zunächst einmal: Es gibt keine 100-prozentige Sicherheit. Wir arbeiten nicht in einem sterilen Raum. Es liegt am Unternehmen, die jeweiligen Bedrohungen bestmöglich abzudecken. Technische Lösungen sind kein Allheilmittel, wichtiger ist es, verlässliche Partner für Infrastruktur und Betrieb sowie robuste Systeme im Back- und im Frontend zu haben. A1 Digital ist einer unserer guten Partner im Security-Bereich, um Schwachstellen zu erkennen und zu beheben, bevor sie ausgenützt werden können. Auch guter Schutz am Client und ordentliche Authentifizierung mit mehr als nur einem guten Passwort gehören dazu.
Und natürlich: die Firewall zwischen den Ohren – die User-Awareness. Aber noch wichtiger als die technische Absicherung sind Resilienz auf der einen Seite und Transparenz auf der anderen. Ich muss als Unternehmen widerstandsfähig sein, weil früher oder später etwas passieren kann und wohl auch wird. Ich muss rechtzeitig erkennen, wenn etwas passiert, also meine Systeme überwachen. Wichtig ist, dass erfolgreiche Angriffe schnell erkannt und angegangen werden, ohne dass das Unternehmen massive Auswirkungen spürt.