Sie werden als Cybersecurity-­Experte oft zu Events eingeladen, um über IT-Sicherheit zu sprechen – wie etwa im Sommer beim European Forum Alpbach. Cybersecurity ist ein Begriff, den man öfters hört, meistens aber ohne klare Definition. Wie würden Sie Cybersecurity definieren?

Im Prinzip geht es da um eine Evolution der Begriffe. Vor vielen Jahren hat man IT-Security gesagt, damit war im engeren Sinne alles gemeint, was mit der Sicherheit von IT-Geräten und Netzwerken zu tun hat. Dann hat sich das weiterentwickelt zum Begriff Informationssicherheit, wo man gesagt hat, es reicht ja nicht, wenn nur die IT sicher ist, wir müssen auch unsere Daten und Prozesse schützen. Dann kam irgendwann der Begriff Cybersicherheit auf. Das ist wieder eine Weiterentwicklung, denn hier geht es um IT und Datensicherheit, aber ganz speziell im Kontext einer sehr vernetzten Wirtschaft und Infrastruktur, insbesondere über das Internet. Aber all das, was früher unter Informations- und IT-Sicherheit gefallen ist, gehört nach wie vor mit dazu.

Sie haben Erfahrung in der Privatwirtschaft, etwa aus Ihrer Zeit bei der Raiffeisen Bank International, aber auch im öffentlichen Sektor, als Berater der österreichischen Bundesregierung. Könnten Sie eine kurze Zusammenfassung Ihres Lebenslaufs geben?

Mein Studium hatte eigentlich wenig mit dem Thema Cybersicherheit zu tun – ich habe Technische Chemie studiert. Meine Dissertation habe ich aber zu einem IT-Thema verfasst, und habe dann nach dem Studium relativ rasch begonnen, in der IT-Beratung zu arbeiten. Diese Expertise habe ich dann in Richtung IT-Sicherheit weiterentwickelt. 2003 bin ich dann zu Raiffeisen gekommen und habe die Verantwortung für den ganzen ­Sicherheitsbereich übernommen. Seit dieser Zeit bin ich ausschließlich im Bereich Sicherheit und Risiko­management tätig und seit sechs Jahren auch selbstständig – mit einer Beratungsfirma wie auch mit einem Unternehmen, das Gütesiegel für Cybersicherheit vergibt.

Wie sah die Situation bei Raiff­eisen aus, als Sie angefangen ­haben? Und wie haben sich die Lage und Ihre Tätigkeit verändert?

Man kann es vielleicht so illustrieren: Als ich begonnen habe, hieß die Position „Teamleiter IT-Sicherheit“ und es gab ein Team - insgesamt drei Personen -, das für die IT-Sicherheit in Österreich verantwortlich war. Als ich weggegangen bin, hieß die Position Chief Security Officer – da war ich schon für die gesamte Raiffeisen-Gruppe und alle Themen der Informationssicherheit inklusive Business Continuity Management verantwortlich. Da gab es im Team 15 Personen in Österreich plus mehrere Hundert verteilt über Europa.

Nach zwölf Jahren bei der Raiff­eisenbank haben Sie sich entschieden, einen MBA an der WU Executive Academy zu absolvieren. Warum?

Ich wollte mich selbstständig machen, und ich wollte das Know-how, das ich in den zwölf Jahren aufgebaut hatte, auch anderen Unternehmen zugänglich machen. Ich versuche, immer wieder neue Dinge auszuprobieren, und wenn man zwölf Jahre etwas macht, selbst in einem großen Unternehmen, kehrt eine gewisse Routine ein. Ich habe das MBA-Programm an der WU Executive Academy unter anderem deswegen gewählt, weil es tatsächlich eine globale Perspektive anbietet – etwa durch die Auslandsaufenthalte.

Wohin sind Sie gereist?

Es gab insgesamt drei Residencies im Ausland. Die erste war in Südamerika, konkret in Argentinien und Brasilien. Die zweite war in Asien – in China und Indien. Die dritte war in den USA. Die Ziele dieser Residencies sind vielfältig: Einerseits, um vor Ort auch eine Zeit lang zu studieren und Vorlesungen zu besuchen, aber natürlich auch, um Firmen und die lokalen Wirtschaften kennenzu­lernen – das Programm ist ja ein Global Executive MBA. Der Anspruch war, über Österreich hinaus zu schauen und auch andere Volkswirtschaften und andere Kulturen kennenzulernen. Das macht einen großen Wert dieses Programms aus.

Thomas Stubbings
...war zwölf Jahre lang für IT-Sicherheit bei der Raiffeisen Bank International zuständig. Heute ist er Geschäftsführer zweier Cybersecurity-Unternehmen: der Beratungsfirma TS Management Consulting sowie von Cyber Trust Austria, welches Gütesiegel im Bereich IT-Sicherheit vergibt.

Neben dem Programm haben Sie gleichzeitig zwei Unternehmen geleitet. Könnten Sie kurz skizzieren, was diese beiden Unter­nehmen machen?

Das eine ist die Beratung TS Management Consulting, die es schon seit 2015 gibt, daher ist sie parallel weitergelaufen. Das zweite Unternehmen heißt Cyber Trust Austria, das habe ich dann 2020 gegründet. TS Management Consulting be­schäftigt sich mit der Unternehmens­beratung im Zusammenhang mit Cyber­sicherheit und Non-Financial Risk Management – beispielsweise der Einführung von Informationssicherheit, Managementsystemen oder der Entwicklung von Prozessen, Policies, Risiko­managementsystemen und Ähnlichem. Das zweite Unternehmen beschäftigt sich mit der Vergabe von Gütesiegeln im Bereich der Cybersecurity. Das heißt, Unternehmen können bei Cyber Trust Austria Gütesiegel beantragen – dann durchlaufen diese die entsprechenden Prozesse, und nach positiver Prüfung bekommt das Unternehmen dann das Gütesiegel.

Gab es so etwas in Österreich schon zuvor?

Das ist das erste – so etwas gab es bisher nicht. Wir haben das neu geschaffen, mit der Zielsetzung, mehr Breite in die Sicherheitslandschaft Österreichs zu bringen. Denn die großen Unternehmen wie die Banken und die großen Energieversorger haben sich mit der Thematik schon auseinandergesetzt, wir haben aber in Österreich auch 300.000 KMU, von denen viele wenig bis nichts in dem Bereich gemacht haben – diese sind aber wichtig für die Volkswirtschaft. Wenn diese Unternehmen alle ein Sicherheitsproblem haben, ist das auch ein Problem.

Warum ist es auch für ­kleine Unternehmen so wichtig, sich zu schützen?

Ein Beispiel: Eine kleine Druckerei ist Dienstleister für, sagen wir, eine Bank, vielleicht eine regionale Bank. Diese Druckerei bekommt von der Bank regelmäßig Kontoauszüge zum Drucken. Jetzt wird diese Druckerei gehackt, und auf einmal sind die gesamten Daten aus den Konto­auszügen an die Öffentlichkeit gelangt. Wer hat das Problem? Nicht nur die Druckerei – sondern auch die Bank, die diese Druckerei beauftragt hat und nicht drauf geachtet hat, dass der Dienstleister seine Prozesse und seine Sicherheit im Griff hat. Das zeigt, wie in einer vernetzten Welt kleine Ursachen große Wirkung haben können. Daher ist es wichtig, auch auf die Sicherheit in der eigenen Lieferkette zu achten, etwa mit einem verpflichtenden Gütesiegel für Lieferanten.

Und wie ist die Security-Lage in Österreich? Kümmern sich die Unternehmen um diese Fragen?

Es gab einmal eine Studie der Wirtschaftskammer im KMU-Bereich. Sie ist nicht mehr ganz aktuell, das war 2017; ich glaube aber nicht, dass sich seit damals dramatisch etwas geändert hat. Das Ergebnis der Studie: Über 50 % der KMU haben bisher gar nichts hinsichtlich Sicherheit gemacht – und die anderen lediglich ein bisschen etwas, aber auch viel zu wenig.

Woran liegt das?

Das liegt daran, dass KMU traditionell sehr auf ihr Kerngeschäft fokussiert sind. Sie haben oft sehr viele Schwierigkeiten, auf dem Markt zu bestehen, sowie einen hohen Preisdruck. Daher sind sie oft sehr kostensensitiv. Ergo fehlt nicht nur das Bewusstsein, sondern oft auch das Geld und damit die Bereitschaft, etwas in die Sicherheit zu investieren. Und wenn man nicht glaubt, ein Problem zu haben, dann investiert man in den Bereich auch nichts.

Was ist heutzutage die größte Cybergefahr?

Ich würde sagen, was die Breite der potenziell betroffenen Unternehmen betrifft, sind es mit Sicherheit Ransomware-Attacken, weil sie einfach ein extrem gutes Geschäftsmodell sind. Die Cyberkriminellen stürzen sich massiv darauf – die Angriffe werden immer gezielter und erfolgreicher. Was den möglichen Impact und die Auswirkung von Angriffen betrifft, sind es Attacken von staatlichen Akteuren – die dürfen wir auf keinen Fall unterschätzen. Mit der Notpetya-Attacke haben wir ja gesehen, was möglich ist. Das war in Wahrheit eine Cyberwaffe, die eingesetzt wurde. Da wurde enormer Schaden angerichtet, und es hätte noch schlimmer sein können. Staatliche Akteure sind deswegen gefährlich, weil sie üblicherweise über nahezu unbegrenzte Ressourcen verfügen. Die haben Möglich­keiten, von denen der durchschnittliche Cyberkriminelle nur träumen kann. Damit können Dinge umgesetzt werden, die wirklich gefährlich sind.

Text: Forbes Redaktion
Fotos: David Visnjic

Dieses Advoice erschien in unserer Ausgabe 9–21 zum Thema „Handel“.