IT-Sicherheit: „Jedes Unternehmen hat Schwachstellen“

„Wenn ich weiß was in mir steckt, dann finde ich immer wieder die richtige Stelle, wo ich mich wirksam einbringen kann“, sagt Andreas Obermüller, Geschäftsführer der VACE Group: „Das ist der Grund, warum wir die Austrian Cyber Security Challenge unterstützen, um jungen Menschen die Möglichkeit zu bieten eine Cyber Security Leidenschaft in sich zu entdecken oder eben auch nicht. Denn nur was wir gerne machen, wird auch gut.“

Das 1200 Mitarbeiter starke IT-Security-Unternehmen VACE ist einer der Sponsoren der Austrian Cyber Security Challenge (ACSC). Bei diesem Wettbewerb werden die besten Nachwuchs-IT-Talente Österreichs gesucht. Im Interview sprechen Obermüller und  Florian Brunner, Head of Information Security Operations von VACE, über das Finden von Schwachstellen in Unternehmen und Strategien zur Beseitigung des Fachkräftemangels in Österreich.

futurezone: Bei der Auftakts-Pressekonferenz zur ASCS fiel mehrmals der Begriff „War of Talents“, also der Kampf um Fachkräfte. Ist der Fachkräftemangel in Österreich wirklich so groß, dass man einen Krieg um sie führen muss?
Andreas Obermüller: Erstens haben wir tatsächlich viel weniger IT-Fachkräfte als wir beschäftigen könnten. Gerade auch im Bereich IT-Security würden wir aufgrund der aktuellen Auftragslage gerne und gleich mehrere Consultants und Techniker zusätzlich einstellen. Wir glauben zweitens aber auch, dass wir diese Mitarbeiter nicht im Bild des „War of Talents“ finden können, wo sich Unternehmen um die besten Köpfe schlagen. Mit kriegerischen Mitteln und Drohungen haben wir noch keine Mitarbeiter gefunden, mit Verlockungen nur jene, die anderen Werten als wir nachjagen und mit aggressiven Werben und Abwerben werden unsere Werte gleich unglaubwürdig. Am Ende sehen wir den gewonnenen Krieg in der verlorenen Schlacht. Eine Studie der Universität Bamberg belegt, dass mittlerweile für eine Besetzung 43 Kandidaten im Sektor IT direkt angesprochen werden müssen. Selbst die Studienautoren sprechen bereits von einer Überfischung. Darum wollen wir von den Talenten, die wissen, was in Ihnen steckt und sich in diesem Wissen sehr bewusst für uns entscheiden, vor allem auch gefunden werden können.

Wie könnte Ihrer Meinung nach der IT-Security-Fachkräftemangel in Österreich behoben werden?
Wir glauben, dass dieser Mangel nicht ganz sprunghaft entstanden ist und sich auch nicht in einem Big Bang auflösen wird können. Eine einzige Lösung können wir nicht sehen, aber eine Doppelstrategie: Erstens, Zukunftsoptimismus und Marktvertrauen aus Selbstverantwortung in der Gesellschaft und aktiver Kommunikation der Leuchttürme der Digitalisierung stärken und zweitens mehr dort suchen wo Zukunftsoptimismus auch zu finden ist. Das heißt, wir glauben neben gezielter und selbstgewählter Um- und Einschulung in die IT auch an gesteuerte und gezielte Integration von IT-Fachkräften in ein schönes Österreich, das sich mit seinem kulturellen Angebot, landschaftlichen Reizen und staatlicher Stabilität auch nicht verstecken muss.

Sehen sie in der ACSC die Chance, zukünftige Mitarbeiter zu finden?
Wir sehen nicht nur die Chance zukünftige Mitarbeiter zu finden, viel mehr noch möchten wir dort auch so sichtbar sein, dass wir von zukünftigen Mitarbeitern gefunden werden. Das heißt wir wollen als interessanter Arbeitgeber für potentielle Talente attraktiv sein und Werte durch unsere Mitarbeiter authentisch verkörpern. Wir wollen Leistung und Ergebnisse über Ehrlichkeit, Integrität, Selbstverantwortung und Selbststeuerung ermöglichen. Wenn wir nicht mehr genau wissen können, was kommt, wird Führungsarbeit mehr zum Coaching und die Führungskraft vom großen Vordenker und -lenker zum Coach. In dieser Haltung wollen wir miteinander umgehen und sichtbar werden, weil wir glauben, dass auch auf der ACSC danach gesucht wird.

Was sind derzeit die größten IT-Security-Bedrohungen für österreichische KMUs?
Florian Brunner: Mangelndes Bewusstsein für die Notwendigkeit von Investitionen im Bereich des IT-Betriebs und der Informationssicherheit führen oft dazu, dass das Thema IT-Security vernachlässigt wird. Der Mensch stellt nach wie vor eine große Schwachstelle dar, aber auch die zunehmende Vernetzung und der Trend hin zum virtuellen Arbeiten, die Nutzung der Cloud und der mangelnde Fokus auf die zu schützenden Daten stellen große Risiken dar.

Werden mögliche Angriffe auf Smartphones von KMUs weiterhin ignoriert oder ist man sich der Gefahr mittlerweile bewusst?
Die Unternehmen wissen zwischenzeitlich, dass ein Mobile Device Management notwendig ist, um die Unternehmensdaten, -kontakte und E-Mails zu schützen. Auch die EU-DSGVO macht die Nutzung eines MDM erforderlich, da ohne hinreichendem Schutz der Verlust, der Diebstahl und Datenabflüsse nur mangelhaft unterbunden werden können. Manche, vor allem kleinere, ignorieren das Thema nach wie vor. Oftmals ist es eine Frage des Budgets, dabei gäbe es bereits kostengünstige Einstiegslösungen.

Was sind die Hauptprobleme von österreichischen Unternehmen mit der EU-DSGVO und wie kann VACE dabei helfen?
Auch wenn die EU-DSGVO seit 2016 in Kraft ist, sehen wir bei zahlreichen Unternehmen der unterschiedlichsten Größen noch Handlungsbedarf. Die Handlungsfelder sind sehr unterschiedlich und reichen vom Aufbau eines Managementsystems, über die Entwicklung von Prozessen, bis hin zur Umsetzung von technischen und organisatorischen Maßnahmen. Durch unsere reiche Branchenerfahrung können wie unsere Kunden dabei unterstützen konkrete Maßnahmen aus den Anforderungen der DSGVO abzuleiten und diese strukturiert und priorisiert umzusetzen. Durch die Nähe zur technischen und organisatorischen Informationssicherheit bieten wir auch in diesem Bereich praktikable Empfehlungen für Maßnahmen zur Datensicherheit am Stand der Technik.

Eines von den Services von VACE ist die Analyse eines Unternehmens auf Schwachstellen. Wie lange dauert so ein Prozess üblicherweise?
Die Analyse eines Unternehmens auf Schwachstellen hängt ganz klar vom notwendigen Umfang ab. Selten wird ein komplettes Unternehmen mit all den Prozessen, Systemen und Anwendungen überprüft. Vielmehr werden jedes Mal unterschiedliche Schwerpunkte gesetzt. So haben wir Kunden, die einmal jährlich die Unternehmensprozesse auf Mängel und Defizite hin überprüfen lassen und andere, die den Fokus beispielsweise auf das Netzwerk oder bestimmte Kernanwendungen legen. Je nach Umfang sind solche Analysen in wenigen Tagen bis mehreren Wochen oder gar Monaten abgeschlossen.

Wie viele Schwachstellen findet VACE durchschnittlich bei Unternehmen?
Diese Frage lässt sich nicht so einfach beantworten. Es gab noch kein Audit bei dem nichts aufgefallen ist, allerdings bereiten sich manche Kunden sehr ausführlich auf derartige Überprüfungen vor. Jedes Unternehmen hat aber Schwachstellen, man muss nur genau und lange genug hinsehen. Die Herausforderung ist es, auch das zu schützende Ziel, den Angreifer und die Bedrohungslage im Hinterkopf zu behalten. Einen hundertprozentigen Schutz gibt es nicht. Schwachstellen und der Umgang damit, in Form eines Risikomanagements, gehört zu jedem gesunden Unternehmen dazu.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.