Das Sicherheitsforschungszentrum SBA Research ist Österreichs größtes Forschungszentrum, das sich ausschließlich dem Thema Cybersecurity widmet. In seinem Talk wird Stefan Jakoubi darüber sprechen, warum Cybersicherheit mehr als nur eine technische Frage ist und warum sie Teil des strategischen Managements eines Unternehmens sein muss. Er wird spannende Einblicke in seine Arbeit mit Organisationen aus unterschiedlichen Branchen geben und die neuesten Trends mit uns teilen. Wir haben ihn im Vorfeld schon um ein kurzes Interview gebeten.

Stefan Jakoubi, als CISO, Berater und Geschäftsleiter haben Sie einen einzigartigen Blick auf Cybersecurity. Welche Herausforderungen sehen Sie aktuell als die größten für Unternehmen und wie hat sich die Bedrohungslandschaft in den letzten Jahren verändert? 

Der Grad der Vernetzung, die Abhängigkeit von IT-Systemen, die Geschwindigkeit von Entwicklungen und die schieren Datenmengen haben sich aus meiner Perspektive am meisten verändert. 

Die größte Sorge bereitet mir die so genannte "Technische Schuld". Unternehmen kommen nicht hinterher, ihre Basisaufgaben wie etwa Cyber Hygiene zu erledigen. Anstelle kommen laufend neue Systeme und Anwendungsfälle hinzu und werden auf eine oftmals fragile Basis aufgestülpt. In Zeiten von Fachkräftemangel im IT (Security) Bereich sowie einer angespannten finanziellen Situation ist das leider keine gute Kombination.

Welche Angriffsmethoden bereiten Ihnen die größten Sorgen?

Die Lieferketten-Herausforderungen und das Thema Supply Chain Security wurden in den letzten Jahren sicher nicht hirneichend betrachtet und sind schon mehrfach als Angriffsvektor erfolgreich ausgenutzt worden. Dies spiegelt sich auch in einer Stärkung dieser Thematik in internationalen Normen wie der ISO/IEC 27001 oder in Regularien wie NIS-2 oder dem Cyber Resilience Act (CRA) wider.

Der jüngste Cyberangriff auf Marks & Spencer hatte massive wirtschaftliche Folgen und führte zu einer Sammelklage. Marks & Spencer musste sein Onlinegeschäft vorübergehend einstellen, was zu einem Verlust von Hunderten Millionen Pfund führte. Was können wir daraus lernen und wie können Unternehmen ihre Geschäftskontinuität in solchen Fällen besser sichern?

Der beste Plan muss geübt werden. Ich habe gehört, dass es Pläne in den Schubladen von Marks & Spencer gab, diese aber nicht oder nicht hinreichend getestet wurden. Wichtig zu erwähnen ist, dass die Auswirkung zwar technisch war (Verschlüsselung durch Ransomware), aber der Eintrittsvektor über Social Engineering erfolgt ist. Wir können also aus diesem Vorfall einmal mehr sehen, dass der Faktor Mensch - bei all den unzähligen technischen Sicherheitsmaßnahmen - der Schlüsselfaktor in der Cyber-Resilienz eines Unternehmens ist.

Welche Maßnahmen sollte ein Unternehmen direkt nach einem Cyberangriff ergreifen, um den Schaden zu minimieren und das Vertrauen der Kunden wiederherzustellen?

Schadensminimierung kann nur durch entsprechende geübte Notfallpläne und geschultes Personal erfolgen. Im besten Fall habe ich die Kompetenz selber im Unternehmen, anderenfalls sollte ich ein entsprechendes Service (Incident Response Retainer) outgesourced haben.

Es hat sich bereits öfters gezeigt, dass Unternehmen, die recht offen über einen Cyberangriff kommuniziert haben, einen wesentlich geringeren Vertrauensverlust erfahren mussten. Ein Vorfall kann in jedem Unternehmen passieren - 100% Cybersicherheit gibt es nicht. Aber zu zeigen, dass man eine solche Krise gut meistern konnte, zeugt von einer guten Führung.

Glauben Sie, dass solche groß angelegten Angriffe in Zukunft häufiger vorkommen werden? Was müssen Unternehmen tun, um sich langfristig zu schützen?

Cybersicherheit ist ein Top-Management Thema, da in unserer digitalen und vernetzten Welt die Abhängigkeit derart enorm ist - ich würde meinen nahezu unabhängig der Branche. Dies ist allerdings noch nicht überall der Fall, oft wird es nur als Cost-Center oder notwendiges Übel angesehen. Um Cybersicherheit langfristig und nachhaltig verankern zu können, benötigt es eine dedizierte Sicherheitsorganisation und ein entsprechendes Managementsystem. Im Cybersicherheitsbereich spricht man hier von einem so genannten Informationssicherheitsmanagementsystem, welches auf Basis der internationalen Norm ISO/IEC 27001 aufgebaut und zertifiziert werden kann. Ich freue mich schon gemeinsam mit Interessierten über dieses Thema bei Expert Talk ausführlicher diskutieren zu dürfen.

Der Expert Talk mit Stefan Jakoubi findet am Donnerstag 12. Juni 205 von 18:30 bis 20:00 Uhr im SR Executive Learning Space, öffnet eine externe URL in einem neuen Fenster am TU Wien Campus Karlsplatz statt. Expert Talk in Englisch, Fragen und Diskussion gerne auch auf Deutsch, bitte melden Sie sich hier für die kostenfreie Teilnahme an.