Helmut Waitzer ist CIO von Wolf Theiss. Als eine der führenden Rechtsanwaltskanzleien Österreichs ist man insbesondere im CEE Raum mit großem Erfolg aktiv. Cybersecurity hat für das Unternehmen dabei natürlich einen enorm hohen Stellenwert. Im interview spricht Helmut über das Sicherheitsrisiko Schatten-IT und den Spagat zwischen Usabilty und Sicherheit.
Beim kommenden Confare Webcast hören Sie Helmut Waitzer und IT-Entscheider aus Unternehmen wie Flughafen Wien und Porsche Informatik zur Gretchenfrage: Wie kann die IT sich aus dem Ransomware Würgegriff befreien? Die Teilnahme ist kostenfrei, und hier können Sie sich anmelden.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Cybersecurity hat nach langen Anlaufschwierigkeiten jene Akzeptanz erreicht, die sie verdient. Hat der mehrheitliche Enduser bis vor nicht allzu langer Zeit Security Maßnahmen als Einschränkung, teilweise auch als Belustigung gesehen, ist dieses Thema aufgrund der in den letzten Jahren publik gewordenen Vorfälle ein durchaus ernst genommenes. Daher wird in den Chefetagen die daraus resultierende Gefahr massiver Geschäftseinbußen nicht mehr als unwahrscheinlich abgetan und es stellt sich nicht mehr die Frage ob etwas passiert, sondern vielmehr wann.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Die Angriffsvektoren wurden in den letzten Jahren vielfältiger. Die Angreifer haben erkannt, dass der Enduser das schwächste Glied der Kette ist. Damit sind nicht nur 
Themen rund um div. Security Appliances, EndPoint Protection, ZeroTrust, Penetration Tests, etc. relevant, sondern auch regelmäßige verpflichtende Security Trainings. Leider ist auch die beste Security Lösung immer einen Schritt hinter einem Angreifer, wodurch bereits ein falscher Klick eines Endusers fatale Folgen für das gesamte Unternehmen haben kann, obwohl dieser mit einem zuvor durchgeführten Training einfach verhindert hätte werden können.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Gerade die Möglichkeit der vielen Schnittstellen und der raschen Bereitstellung verschiedener Services verleiteten Unternehmen zu deren unüberlegter Nutzung. Es muss, bzw. hat schon in vielen Unternehmen ein Umdenken in Bezug auf Skills der IT-Mitarbeiter begonnen. Es entstehen gerade neue Berufsbilder in der IT, die das Thema der sicheren Vernetzung von Services und deren Einbindung, die über unterschiedliche Kanäle bezogen werden, zum Inhalt haben. Wohlüberlegtes Handeln und nicht hudeln lautet die Devise!
Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Schatten IT ist ein großer Sicherheitsaspekt und muss unterbunden werden – keine Sonderregelungen, jeder ist gleich. Zero Trust! Generell gilt es eine möglichst geringe Angriffsfläche zu bieten, dies schließt allerdings auch meist Einschränkungen für den Enduser mit ein.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
Wichtig ist ein mehrstufiges Security System, das sich wiederum aus verschiedenen Herstellern zusammensetzen soll. Ist z.B. die erste Stufe eines Anbieters für den gerade vorhandenen Fall zu schwach, kann diese Schwäche aber hoffentlich die 2. Stufe eines anderen Anbieters eliminieren. Sich bei Security Themen ausschließlich nur auf einen einzigen Hersteller zu verlassen sollte daher tunlichst vermieden werden. Dies gilt auch für automatisierte Security Scans, sowohl intern als auch extern.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Durch Erfahrung, kompetente und interessierte Mitarbeiter, aber auch durch simple Marktbeobachtung. Es reicht hierbei nicht darauf zu warten bis etwas passiert um dann zu handeln, sondern auf Basis von bekannten Vorfällen zu erkennen, ob dies auch im eigenen Unternehmen passieren hätte können und wenn ja, welche Maßnahmen sich daraus ableiten. Zusätzlich kommt noch der Vertriebspartner seines Vertrauens ins Spiel, der das Unternehmen oft schon lange begleitet und die eigene Architektur kennt um darauf aufbauend auf passende Neuerungen kompetent hinzuweisen.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Es sollten entsprechende Pläne lt. Lehrbuch vorhanden sein. Der Haken an der Sache: die Angriffe haben in der Zwischenzeit viele verschiede Ausprägungen, sodass es defacto unmöglich ist, alle Eventualitäten im noch stressfreien Vorfeld zu bedenken. Jeder Angriff ist anders und fordert damit unterschiedliche Herangehensweisen, die im Fall des Falles zu definieren sind. Man braucht dazu ein gutes Team mit klarer Aufgabenverteilung, bzw. einen guten Security Partner dem man vertraut.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Geschäftszahlen! Die einfachste Rechnung dazu: Jahresumsatz dividiert durch die Anzahl der jährlichen Unternehmens-Arbeitstage ergibt den Verdienstentgang pro Tag Stillstand, dazu kommen noch etwaige Haftungs-, sowie Reputationsthemen. Hierbei kommen rasch Summen zusammen, die eine Cybersecurity Investition rechtfertigen, bevor etwas passiert.