Security-Serie Teil 4

"Angstmacherei ist nicht konstruktiv"

Uhr | Aktualisiert
von Simon Zaugg

Daniel Brunner, CISO bei der Leumi Private Bank, stuft das Bewusstsein, wie mit sensiblen Daten umzugehen ist, in der Schweiz hoch ein. Und er ärgert sich darüber, dass mit Demo-Hacks ständig auf Risiken beim E-Banking aufmerksam gemacht wird.

Daniel Brunner
Daniel Brunner

Ob ein Unternehmen die eigenen Mitarbeiter oder Angriffe von Cyberkriminellen als grösseres Risiko für die IT-Sicherheit einstuft, hängt stark davon ab, in welcher Art und wie aktiv es im Web präsent ist. Erfüllt die Website primär einen Repräsentationszweck und finden dort keine direkten geschäftlichen Aktivitäten statt, ist das Risiko entsprechend kleiner.

Dies zeigte sich im ersten Teil der Serie mit Roger Kappeler, IT-Leiter bei der Pestalozzi Rechtsanwälte AG. Das Unternehmen betreibt sein Geschäft vorwiegend Offline und ist Online ein vergleichsweise wenig attraktives Angriffsziel. Entsprechend grösser wird der Risikofaktor "Mensch".

Bei der Leumi Private Bank sieht es ähnlich aus. Sie bietet kein E-Banking an. Daniel Brunner, Chief Information Security Officer (CISO), sagt dazu: "Würde unsere Bank Dienstleistungen wie E-Banking anbieten, wären die externen Angriffe sicher ein viel höheres Risiko." Der Mitarbeiter sei das Hauptrisiko. Brunner ist indes wenig begeistert darüber, wie Exponenten aus der IT-Sicherheitsbranche mit Demo-Hacks ständig auf das Thema aufmerksam machen: "Angstmacherei ist nicht konstruktiv", so Brunner. E-Banking in der Schweiz sei sicher.

Höhere Loyalität der Mitarbeiter als Ziel

Aufgrund der Tatsache, dass Brunner keine Angriffe auf das E-Banking abwehren muss, liegt sein Fokus darauf, dass keine sensiblen Daten die Bank verlassen. Zum Fall des vor einigen Wochen bekannt gewordenen Datenklaus durch einen IT-Mitarbeiter, aufgrund dessen der Nationalbankpräsident Philipp Hildebrand zurückgetreten ist, meint er: "Dagegen kann man nichts machen."

Eine Lösung sieht er in Bestrebungen, eine höhere Loyalität der Mitarbeiter zum Arbeitgeber zu erreichen. Aufgrund des derzeitigen wirtschaftlichen Umfelds und der damit einhergehenden Sparbemühungen sei dies aber nicht nur im Bankenumfeld momentan "eher schwierig".

Diskretion das A und O

Trotzdem schätzt Brunner die Situation in der Schweiz nicht dramatisch ein: "Das Bewusstsein, wie man mit sensiblen Daten umgehen soll, ist in der Schweiz vergleichsweise hoch." Erfreuliches hat er auch bei einem internen Test festgestellt: Brunner hat USB-Sticks, versehen mit einem Trojaner, auf verschiedenen Schreibtischen gestreut und wollte herausfinden, wie viele Mitarbeiter diesen aus Neugier an den Computer anschliessen. "Es sind alle USB-Sticks unbenutzt bei mir gelandet", zieht er erfreut Fazit.

Weiterhin auf die Gefahren aufmerksam zu machen, bleibt indes ein Kernanliegen des Leumi-CISOs. Er veranstaltet intern Schulungen und setzt bei den Mitarbeitern regelmässig neue Bildschirmschoner auf, um sie auf bekannte Gefahren hinzuweisen. Für Brunner ist es wichtig, gegenüber den Mitarbeitern klar zu kommunizieren, präsent und sichtbar zu sein und Vertrauen aufzubauen. "Diskretion ist dabei das A und O."

Mehr Geld als früher

Brunner steht zudem im regelmässigen Austausch mit dem IT-Leiter der Bank, mit dem er auch IT-Sicherheitsveranstaltungen besucht, damit die beiden bezüglich neuer Gefahren auf dem neusten Stand bleiben. "Wenn er versteht, worum es geht, dann ist es auch für mich leichter."

Wie andere Sicherheitsverantwortliche in dieser Serie bereits berichtet haben, beisst auch Brunner in der Geschäftsleitung häufig auf Granit, wenn er mehr Budget für IT-Sicherheit verlangt. Dennoch tat er dies zuletzt mit Erfolg: "Das Management ist sich bewusst, dass für gewisse Vorhaben einfach Mittel bereitgestellt werden müssen und alles andere fahrlässig wäre."

IT will BYOD

Eher überraschend will bei der Leumi Private Bank die IT und nicht das Business den Bring-your-own-Device-Ansatz (BYOD) voranbringen. "Normalerweise sträubt sich die IT dagegen, weil das eine Menge Arbeit bedeutet. Bei uns jedoch denkt die IT, dass die mobilen Geräte Business-Enabler sind."

Brunner selbst versteht das Bedürfnis, spricht aber im Zusammenhang mit iPhone & Co. von den iTeufeln, die doch ein grosses Risiko für die Bank seien. Das Management setze heute mobile Geräte im Geschäftsalltag ein, für weitere Bereiche prüfe man derzeit den Einsatz.

Anmerkung der Redaktion: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen und erschien in der Netzwoche 8/12. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des «SecurityRadar 2011» der Ispin AG konfrontiert und ihnen den Puls gefühlt. Online bringen wir die Artikel in unregelmässigen Abständen.