„Die Kronjuwelen gehören in den Tower“

Interview mit Markus Ramoser, Senior Manager und Head of Risk Assurance bei PwC Österreich, über Cyber Crime und effektives Sicherheits-Management.


Alles spricht von Cyber Sicherheit. Ist das nicht teilweise Panikmache, weil dahinter ein Riesengeschäft steck?
Was diskutiert wird und was ja auch den Gesetzgeber zum Handeln veranlasst hat, ist die logische Reaktion auf das, was im Internet los ist. Da gibt es eine bestens organisierte Struktur, die das Geschäft des Cyber Crime hochprofessionell betreibt, eine – ich will nicht sagen mafiöse – Macht im Dunkeln, im Darknet, dem anonymen, nicht aufspürbaren Teil des Internet. Der Staat will da kritische Strukturen schützen, besser durchgreifen können und den Austausch von Informationen fördern.


Viele Unternehmen scheuen dennoch die hohen Investitionen in die Absicherung ihrer Netze und Daten ...
Diesen Unternehmen rufe ich zu: ‚Akzeptiert endlich, dass Ihr gehackt werdet. Sorgt erstens dafür, dass Ihr es so schnell wie möglich merkt, um vernünftig darauf zu reagieren. Und teilt zweitens Euer Wissen mit anderen Unternehmen und den Strafverfolgungsbehörden’.


Die geplante Meldepflicht für Vorfälle empfindet mancher als Teil staatlicher Totalüberwachung nach Vorbild des US-Geheimdienstes. Was kann eine große Unternehmensberatung, die einen amerikanisch klingenden Namen führt, vor diesem Hintergrund ausrichten?
PwC wird als hier als österreichisch wahrgenommen, mit östereichischen Partnern und österreichischer Mentalität. Wenn wir beim Mittelstand mit einer amerikanischen IT-Firma als Kooperationspartner ankämen, könnten wir allerdings gleich wieder gehen. Deshalb haben wir zusammen mit den deutschen Kollegen eigen Teams aufgebaut, mit 30 bis 40 Experten in Deutschland und rund zehn in Österreich. Da sind IT-Spezialisten, die jedes Protokoll auseinandernehmen können, da sind Hacker, die im Auftrag die Systeme des Kunden testen, da sind Berater, die den Schutzbedarf des Unternehmens systematisch analysieren und quantifizieren sowie die Forensik-Experten, die virtuelle und reale Gefahren richtig einschätzen und die im Schadenfall die Quelle des Übels aufspüren.


Trotzdem ist das Budget des Kunden begrenzt, und totale Sicherheit gibt es wohl nicht.
Genau deshalb muss der Kunde definieren, was seine „Kronjuwelen“ sind. So wie die Queen diese Schätze streng bewacht im Tower verschließt, sollte ein Unternehmen diese wichtigsten Daten und Systeme mit allen Mitteln schützen. Doch viele Firmen wissen gar nicht, was genau für sie am wichtigsten ist und wo diese Daten liegen. Oft schwirren sie wie freie Radikale durch das Unternehmen. PwC hilft bei einer strukturierten Analyse und zeigt auf, was allein mit Konsequenz und Sorgfalt an Schutz möglich ist.


Wenn man an die selbststeuernden Fertigungs- und Logistikprozesse denkt, die Industrie 4.0 mit sich bringen wird, vergrößert sich die Angriffsfläche der Unternehmen noch weiter ...
Natürlich. Früher waren die Maschinen isoliert, jetzt sollen sie miteinander kommunizieren. In den Fertigungsstätten finden wir aber oft noch sehr alte Technologie, ja sogar DOS-Systeme, die nur schwer zu vernetzen, geschweige denn zu schützen sind. Außerdem tauschen Sie als Unternehmer eine noch nicht voll abgeschriebene Fertigungsstraße auch nicht einfach so aus. Da sind kreative Lösungen gefragt. Nicht zu vergessen: In einer vernetzten Fertigungswelt müssen Sie den Mitarbeitern, Lieferanten und Kunden ein viel größeres digitales Vertrauen entgegenbringen als früher.


Das klingt nicht sehr ermutigend ...
Die Risiken sind da, aber die Chancen eben auch. Und schützen kann man fast alles. Es geht nur um die Prioritäten. Jedes Unternehmen muss sich fragen, wo seine Grenze liegt, was wichtig ist und wie im Ernstfall reagiert werden kann. Dafür sind auch eingeschliffene Prozesse infrage zu stellen. Und vor allem muss Sicherheit zu einem Teil der Führungsregeln, der Governance werden. Selbst wenn der oberste Chef sich ein iPad wünscht, um von jedem Ort aus beobachten zu können, ob in der Produktion alles läuft – die IT-Abteilung, der Sicherheitsbeauftragte, muss im Zweifel immer Nein sagen dürfen.

Contact us

Markus Ramoser
Senior Manager
Tel: +43 1 501 88-2129
Email

Folgen Sie uns