"Kein Black Hat sucht den sportlichen Ansatz der stärksten Firewall"

Oft stehen die Personen im Schatten, die die Systeme für große, namhafte Unternehmen am Laufen halten. So ist es auch bei twinformatics. Sie gehört zur Vienna Insurance Group (VIG), einem der größten Versicherungskonzerne in Europa.

In Österreich kennt man die VIG wegen den Versicherungen Wiener Städtische und Donau Versicherung, sie ist aber in 30 Ländern vertreten. Die twinformatics ist für die IT der österreichischen Versicherungen der VIG verantwortlich und ist damit für die Cybersicherheit von Tausenden Mitarbeiter*innen und Millionen Kund*innen zuständig.

Zusätzlich zu der großen Verantwortung ist die twinformatics auch um den IT-Security-Nachwuchs bemüht. Sie unterstützt die Austria Cyber Security Challenge, Österreichs größten Hackerwettbewerb. Die futurezone hat mit Paul Varga von twinformatics darüber gesprochen.

futurezone: Warum unterstützt twinformatics die Austria Cyber Security Challenge?
Paul Varga: Weil in diesem Feld zu wenig unternommen wird. Es gibt viele Cybersecurity-Firmen, die eine große Zahl an Produkten anbieten. Aber Netz- und Informationssicherheit kann nicht einfach von der Stange gekauft und im Unternehmen „eingeschaltet“ werden.

Die Cyber Security Challenge deckt einen wichtigen Bereich ab. Technisch versierte Teilnehmer*innen messen hierbei ihre Fähigkeiten in unterschiedlichen Bereichen. In der Qualifikation müssen alle Teilnehmer*innen ihre Skills beweisen, im Finale ist dann Teamwork gefragt. Genau diese Kombination, sowohl als Expert*in an Problemen arbeiten zu können, als auch in einem Team Lösungen finden zu können, ist für Arbeitgeber*innen sehr interessant. Daher haben wir die Chance, uns hier als Unternehmen präsentieren zu dürfen, gerne wahrgenommen.

Wie viele 520 Mitarbeiter*innen der twinformatics sind für die IT-Security verantwortlich?
Alle! Natürlich ist nicht jede als Security-Techniker*in tätig. Trotzdem ist die Aufrechterhaltung der Cybersecurity ein Ziel, das nur mit gemeinsamen Anstrengungen erreicht werden kann. Wobei „erreicht werden“ der falsche Ausdruck ist. Sobald man sich im Klaren darüber ist, dass man nie damit fertig sein kann, hat man ausreichend verstanden, um beginnen zu können.

Dass alle Mitarbeiter*innen ihren Beitrag zu diesem Ziel leisten müssen, hat man in den vergangenen Jahren gut verfolgen können. Je besser technische Systeme wurden, desto ausgeprägter wurden auch Social-Engineering-Angriffe auf Mitarbeiter*innen. Kein Black Hat, der seinen Angriff schnell zu Geld machen möchte, sucht den sportlichen Ansatz der stärksten Firewall. Die Herausforderung ist, für alle Mitarbeiter*innen und jede Funktion das richtige Maß an Cybersicherheit zu finden.

Gibt es eigene IT-Security-Spezialist*innen bzw. ein eigenes Team dafür?
Ja – spezielle Systeme benötigen Spezialist*innen. Die Tätigkeiten für Wartung und Betrieb von Systemen, deren Kernaufgabe die Sicherstellung die IT-Sicherheit ist, kann nicht als weitere Nebentätigkeit durchgeführt werden. Selbstverständlich ist, dass automatisierte Systeme den Großteil ihrer Aufgaben 24/7 durchführen müssen. Hollywood hat das Bild gezeichnet, dass IT-Sicherheit immer mit einer möglichst großen Anzahl an Monitoren einhergehen muss, die im Matrix-Style Werte anzeigen. Die Aufgaben von IT-Security-Spezialist*innen sind jedoch vor allem: Die Systeme in gut managbarem Zustand zu halten, Alarmparameter zu definieren, Auffälligkeiten zu erkennen und zu behandeln und für individuelle Probleme individuelle Lösungen zu engineeren.

Wie wird das dafür nötige Fachpersonal üblicherweise rekrutiert und wie hat sich die Lage in den vergangenen Jahren verändert?
Die Suche nach gut ausgebildeten Fachkräften in der IT ist sehr schwierig, da es sich um einen sehr umkämpften Markt handelt. Wir haben, der Pandemie geschuldet, unser Recruiting 2020 komplett digitalisiert, eine neue Website gelauncht und unsere Präsenz in den sozialen Medien verstärkt. Wir suchen auf bekannten Job- und Karriereportalen wie karriere.at, sind auf einschlägigen IT-Karriereportalen unterwegs (We Are Developers) und arbeiten mit externen Headhuntern zusammen.

Eine wichtige Unterstützung für unser Recruiting sind unsere Mitarbeiter*innen, die uns mit Empfehlungen von Freund*innen und Bekannten immer wieder helfen, vakante Positionen zu besetzen. Um diesen „internen Recruitingkanal“ auszubauen, haben wir vergangenes Jahr ein neues, digitales Mitarbeiter*innen-Empfehlungsprogramm auf die Beine gestellt und eine neue konzernweite interne Jobbörse gestartet.

Was macht twinformatics zu einem attraktiven Arbeitgeber?
Bei uns liegt ein starker Fokus auf der Aus- und Weiterbildung unserer Mitarbeiter*innen. Einerseits unterstützen wir unsere Mitarbeiter*innen, ihre technischen Skills und ihr Fachwissen weiterzuentwickeln. Andererseits legen wir sehr viel Wert auf den Aufbau von Business-Knowhow, damit wir die Bedürfnisse unserer Kund*innen besser verstehen und in entsprechende technische Lösungen übersetzen können. Dies wird durch eine eigene interne Ausbildungsinitiative unterstützt.

Kurz zusammengefasst, attraktiv an der twinformatics ist die Kombination aus einem dynamischen, gleichzeitig aber stabilen Umfeld in einem Großkonzern. Dazu kommen viele herausfordernde und spannende Themen, die aus dem immer höheren Grad an Digitalisierung in unserer Branche resultieren - und einem modernen Technologiestack, mit dem wir arbeiten.

Was ist eines dieser spannenden Themen?
Derzeit arbeiten wir gemeinsam mit unseren Eigentümern und Kunden, der Wiener Städtischen Versicherung, Donau Versicherung und Vienna Insurance Group, am größten Digitalisierungsvorhaben in der Geschichte des Konzerns. MOVE läuft seit 2017 und befindet sich jetzt im Endspurt. Wir entwickeln und betreiben IT-Lösungen für mehrere Tausend Anwender*innen in unseren Versicherungsunternehmen und mehreren Millionen Endkund*innen der Versicherungen – von smarten Softwarelösungen, die das Leben der Versicherungsmitarbeiter*innen einfacher machen bis hin zu mobilen Apps, mit denen beispielsweise ein Kfz-Schaden mit wenigen Klicks gemeldet werden kann.

Twinformatics deckt nahezu alle Bereiche der IT-Welt ab, von Servern bis zu Apps: Wo sind hier derzeit die größten Herausforderungen in der IT-Security?
Eine der größten Herausforderungen ist es sicherlich, eine gute Kenntnis der eingesetzten Umgebungen und Lösungen sowie der eingesetzten Technologien zu haben. So trivial das auch klingt, so zeigt vor allem das Behandeln von Schwachstellen immer wieder, dass man die eigene Umgebung nie zu gut kennen kann.

Oft zitiert aber in vielen Firmen nicht ganzheitlich gelebt ist dabei, dass Prävention im Bereich von Systemen, Tools und Prozessen der wesentliche Faktor ist. Beispiel Softwarebibliotheken: Wenn man eine Möglichkeit zur Suche von verwendeten Software-Bibliotheken innerhalb der eigenen Entwicklungen hat – gut. Dazu noch Mitarbeiter*innen haben, die damit umgehen können – besser. Sollte man weder noch haben – schlecht. Das stellt man spätestens dann fest, wenn Firmen durch beispielsweise eine Log4J-Schwachstelle aufgeschreckt werden. Dann im Anlassfall rasch und richtig zu reagieren ist schwer oder unmöglich. Auf jeden Fall ist es sehr teuer.

Jedoch lässt sich nicht jede Herausforderung der IT-Sicherheit mit Tools und Geld begegnen. Mindestens genauso wichtig ist es, Security in sämtlichen Tätigkeiten des Unternehmens mitzudenken. Hier müssen wir auch unsere Software Engineers in die Pflicht nehmen. Niemand kann und darf sich darauf verlassen, dass die Security von einer Expert*innengruppe erledigt wird.

Wie viele Cyberangriffe werden durch die twinformatics vereitelt?
Nicht jedes gedroppte Paket an der Firewall ist ein erfolgreich abgewehrter Angriff – auch nicht jede durch das Mailsecurity System rausgefilterte Mail. Um hier zwischen dem Security-Grundrauschen, Verdachtsfällen und Incidents unterscheiden zu können, haben wir ein Managementsystem entwickelt, um das laufende Geschehen permanent bewerten zu können. Somit bekommen wir Werte, mit denen wir die IT-Sicherheit in den unterschiedlichen Feldern zielgerichtet steuern können. Dadurch wird nicht nur ein guter Überblick geschaffen, es wirkt auch der Vorstellung entgegen, dass Security tätig werden muss „falls mal was passiert“. Es passiert 24/7 etwas.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.