„Firewall ist x-mal aufgebohrt“
Ein Banker, der sich nach 30 Jahren als Berater für IT-Sicherheit selbstständig gemacht hat, sieht in der Anfälligkeit der IT-Systeme ein Risiko, das viele Unternehmen grob unterschätzen.
Die Coronakrise hat in vielfacher Hinsicht gezeigt, wie anfällig die gesamte Wirtschaft und viele Unternehmen sind – beispielsweise was die grenzüberschreitende Mobilität von Arbeitnehmern oder die Verlässlichkeit von Lieferketten angeht. Wie sicher die IT-Systeme sind, stand in der Coronakrise nicht im Fokus, anderes hatte Vorrang.
Einer, der das für gefährlich hält, ist Ulrich Kallausch, Geschäftsführer der Certitude Consulting GmbH, die auf die Sicherheit von IT-Systemen spezialisiert ist. Er verstehe, dass in der Zeit des Lockdowns andere Fragen im Vordergrund gestanden seien, da sei es für viele Betriebe darum gegangen, den Laden irgendwie am Laufen zu halten, sagt Kallausch. Aber nun gelte es zu erkennen, dass die Sicherheit des ITSystems schnell zur Überlebensfrage werden könne. Gerade das jetzt vielerorts so gepriesene Homeoffice
Ulrich Kallausch, Certitude Consulting
sei ein wunder Punkt, dessen sich viele Unternehmen gar nicht bewusst sind. Sobald die Verbindung über ein privates WLAN laufe, sei jede Abschirmung obsolet. Die Firewall, die Unternehmen zum Schutz ihrer IT-Systeme errichtet haben, „ist x-mal aufgebohrt“, sagt Kallausch. Es klinge eigenartig, aber Unternehmen müssten auch gegenüber ihren eigenen Mitarbeitern misstrauischer werden. „Bei jeder Zugriffsberechtigung muss das Zero-Trust-Prinzip gelten.“In Banken sei das längst Standard.
Kallausch muss es wissen, er war fast 30 Jahre im Banking tätig. Die Karriere führte ihn über mehrere Stationen in die Vorstandsetagen der Österreich-Dependancen von Sal. Oppenheim und der Deutschen Bank. Zuletzt war er Vorstand und Mitinhaber der Privatbank Semper Constantia (2018 von der Liechtensteinischen Landesbank übernommen) und für die IT-Sicherheit und das Risikomanagement verantwortlich. 2019 machte er sich mit drei anderen IT-Experten selbstständig.
Certitude helfe Kunden dabei, den Zugang zu IT-Systemen neu zu bauen, indem man Sicherheitslücken aufdecke, etwa durch Penetration-Tests. Zudem prüfe man die Software auf Schwächen, nicht nur die vom Unternehmen selbst entwickelte, sondern auch die von namhaften Herstellern zugekaufte. „Ein umfassender Security Audit nimmt zehn bis 20 Tage in Anspruch“, sagt Kallausch. Aber das zahle sich aus, denn „in der IT schlummert oft das größte Einzelrisiko eines Betriebs“.
Dass das nicht erkannt werde, habe damit zu tun, dass die IT oft noch immer als Service verstanden werde. Das sei sie in Zeiten der Digitalisierung schon lange nicht mehr. Mittlerweile seien die meisten Unternehmen IT-Unternehmen, viele Banken hätten dies schon realisiert. Daher müsse die Kompetenz für IT im Management verankert werden, sagt Kallausch. Dass sein Unternehmen ein Gewinner der Krise ist, gibt er freimütig zu. Das Geschäft laufe gut, man suche nach IT-Spezialisten, der Markt sei aber leergesaugt. Mit den auf Cyberkriminalität fokussierten Beratern großer Wirtschaftsprüfungsunternehmen wie
PwC, Deloitte oder KPMG komme man sich nicht in die Quere, sagt Kallausch – im Gegenteil. Eigentlich ergänzten sich die Geschäftsmodelle. Denn für die praktische Umsetzung fehle es dort an Expertise, „die haben wir“. Für manche Kunden übernehme man im Wege des Outsourcing auch interimistisch das Handling der IT. Kunden von Certitude sind – wenig überraschend – einige Banken, aber auch Industrieunternehmen, Autozulieferer und Gewerbetreibende, darüber hinaus bediene man auch größere Arztpraxen oder Rechtsanwaltskanzleien.
Das Know-how von Certitude sei auch bei Fusionen und Übernahmen gefragt. Bisher habe sich die Due Diligence auf Zahlen und rechtliche Risiken beschränkt, sagt Kallausch, „künftig gehört die Prüfung der IT auf Herz und Nieren dazu“.
„In der IT schlummert Risiko.“