Digitale Sicherheit ist nicht nur Nice-to-have: Interview mit Jimmy Heschl, CISO von Red Bull

BC: Sehr geehrter Herr Mag. Heschl, Sie sind Global Head of Digital Security bei Red Bull – möchten Sie uns eingangs kurz skizzieren, wie Sie Ihr bisheriger Weg dorthin geführt hat?

Jimmy Heschl: Ich habe meine IT-Karriere in Salzburg, während des Studiums Anfang der 1990er-Jahre in Linz begonnen. Anfänglich in Teilzeit, dann immer mehr. Unser Wirtschaftsprüfer hat mich dann gefragt, ob ich nicht die Seite wechseln möchte und so war ich 10 Jahre in der Wirtschaftsprüfung und Beratung tätig. Dort konnte ich viele Unternehmen in vielen Branchen und Größen und deren Zugang zur IT sehen und auch in unterschiedliche (Unternehmens-)Kulturen eintauchen. Einer der Kunden war ein Online-Glücksspielunternehmen, wo ich dann vier Jahre anfänglich als Group-Risk-Manager und dann für die Lizenzierung verantwortlich war; ein anderer war Red Bull, wo ich seit jetzt 10 Jahren für die digitale Sicherheit verantwortlich bin.

BC: Weiters sind Sie im Vorstand der ISACA Austria – beschreiben Sie uns bitte kurz, was die ISACA tut, wofür sie steht und was Ihrer Aufgaben dort sind.

Jimmy Heschl: Die ISACA ist eine internationale Vereinigung von IT-Revisoren, Wirtschaftsprüfer sowie Experten der Informationssicherheit und IT-Governance. Wir unterstützen unsere Mitglieder durch Angebote zur Aus- und Weiterbildung sowie die Entwicklung, Einführung und Nutzung von weltweit anerkannten Fachkenntnissen und Methoden wie COBIT, dem IT-Governance-Framework, wo ich seit 2003 maßgeblich mitarbeite. Wir sind in 188 Ländern aktiv und haben 188.000 Mitglieder. Im österreichischen Chapter sind wir mehr als 600 Mitglieder und wir kommen zum fachlichen und Netzwerkaustausch mehrmals im Jahr zusammen. Im österreichischen Chapter bin ich seit 2001 Kassier.

BC: Hacker vs. Security – das ewige Wettrennen. Mit Blick auf KI-gestützte Malware: Welche Bedrohungen erwarten Sie in den nächsten Jahren? Und wo sehen Sie Chancen, KI auch zur Abwehr solcher Angriffe einzusetzen?

Jimmy Heschl: Vorerst, Hacker sind ja nicht per se böse. Hacker sind clevere Menschen, die Dinge anders angehen und Lösungen finden. Wie immer gibt es gute und leider auch schlechte Menschen; gegen letztere müssen wir uns stellen. Nicht nur als FachexpertInnen sondern als Gesellschaft. Die guten, die die uns weiterbringen sollten wir unterstützten und auch weiterhin darauf achten, dass die Kuriosität, der Erfindergeist und der Veränderungswille bestehen bleibt und uns alle weiterbringt. Dass die Geschwindigkeit, mit der Malware entwickelt, verbreitet und verbessert wird, ist völlig klar, ebenso wird sich die Verteidigungsoption verbessern und das Katz- und Mausspiel wird weitergehen. In diesem Zusammenhang sehe ich KI, wie jede technische Entwicklung, als Enabler für neue, andere Möglichkeiten, den Status Quo zu verändern. Ich hätte gerne eine Glaskugel. Angriffe werden sicherlich individualisierter sein, etwa in dem Phishing-Mails nicht nur Fehlerfrei sind sondern noch mehr individualisiert werden, sodass Muster schwerer erkennbar sind und sie werden mehr personalisiert werden und auf das Zielunternehmen bis hin zur Zielperson besser zugeschnitten sein. Aber nicht nur bekannte Phishingmails, auch bösartige Telefon- und Videoanrufe werden sich häufen und wir brauchen eine entsprechende Medienkompetenz bei allen Menschen; nicht nur bei SicherheitsexpertInnen. Dazu kommt, dass die fachlichen Eintrittsschwellen sinken und die Lernkurven auf der Angreiferseite steigen wird, und der bereits  sehr lukrative „Markt“ weiter wachsen wird. Ich fürchte, schneller als unsere Wirtschaft. Der Schutz unserer Assets wird aufwändiger und wir müssen uns auch darauf einstellen, dass wir uns nicht gegen alles schützen können. Was hier wichtig ist: Resilienz. Wir müssen als Unternehmen und als Gesellschaft so aufgestellt sein, dass es verkraftbar ist, wenn ein System, eine Anwendung oder Daten von einem Angriff betroffen sind.

BC: Zum EU Cyber Resilience Act: Sehen Sie darin eine sinnvolle Unterstützung für Unternehmen oder eher eine zusätzliche Belastung durch Überregulierung?

Jimmy Heschl: Die geforderten Sicherheitsmaßnahmen sind, sei es in GDPR, NIS-2, CRA etc. sind ja kein Hexenwerk und nichts Neues. Seit mehr als dreißig Jahren besteht in der Security Einigkeit über ein Set von Maßnahmen, die sinnvoll sind. Nur die Multi-Faktor-Authentifizierung ist hier eine wesentliche Neuerung. Alles andere, von organisatiorischen Maßnahmen, Risikomanagement, Asset-Management, Awareness, Netzwerksicherheit, Berechtigungen, Softwareentwicklung und Tests, physischer Sicherheit bis hin zum Kontinuitätsmanagement und laufender Beurteilung und Verbesserung sind bereits 1995 als „Code of Practice“ vorhanden. Was immer noch fehlt ist die allgemeine Akzeptanz, dass diese Maßnahmen sinnvoll und hilfreich sind und dass die Sicherheit der Systeme ein wesentliches Qualitätsmerkmal für die digitalen Produkte sind; kein Nice-To-Have. Ich finde es gut, dass uns GesetzgeberInnen hier in die Schranken weist. Leider wird aber hier wieder das Erzählte reichen und nicht das Erreichte zählen. Wir werden uns wieder nur soviel anstrengen, dass die Zertifizierung und die Prüfindustrie nicht schimpft. Das ist aus meiner Sicht zu wenig. Extrinsische Motivation ist nicht nachhaltig. Es muss zur DNA der Gesellschaft gehören, gute, also sichere und resiliente, digitale Produkte zu haben.

BC: Unabhängig von der Gesetzeslage: Was sind aus Ihrer Sicht heute die wichtigsten Aufgabenfelder in der Informationssicherheit, die kein Unternehmen vernachlässigen darf?

Jimmy Heschl: Die Big-4: 1. Asset-Management. Wissen, was man tut und hat und wie kritisch diese Dinge sind. IT darf keine Black-Box sein, sondern die Systeme, Vorgänge, Abhängigkeiten, Datenflüsse, Risiken etc. müssen bekannt sein. 2. Berechtigung. Nur bekannte, autorisierte Vorgänge finden statt. Alles andere wird entweder blockiert oder analysiert. 3. Null-Toleranz von unsicheren Systemen. Das heißt Aufspüren und (unverzügliches) Schließen von Sicherheitslücken. 4. Vorbereitet sein. Ein Backup ist eine notwendige Basis, ein Resilienzkonzept - also wie überstehe ich auch größere Krisen – für kritische Bereiche und Systeme die Pflicht, für alle anderen die Kür. All das muss von verantwortungsvollen, professionellen und akzeptierten Personen getragen werden.

Das C in CISO ist nur in sehr wenigen Unternehmen wirklich ein C-Level-Rolle

BC: Sie sind auch Lektor und Vortragender: Was würden Sie jungen Security- und Privacy-Talenten raten, deren Traumjob „CISO der Zukunft“ ist?

Jimmy Heschl: Zuerst einmal mit schlechten Nachrichten: Das C in CISO ist nur in sehr wenigen Unternehmen wirklich ein C-Level-Rolle im Vorstand. Wenn ich ein FinTech gründe, in der Digitalwirtschaft tätig sein möchte etc., dann wird das eventuell so möglich sein; in allen – traditionellen – Wirtschaftsunternehmen ist das eine von vielen Rollenbezeichnungen. Und jedes Unternehmen hat (hoffentlich) genau den CISO, den es baucht oder verdient. Für mich ist der/die CISO ist die Person, die mit wehenden Fahnen durch das Unternehmen geht und dem Thema Sicherheit die für das Unternehmen richtige Bedeutung gibt. Das ist die wichtigste Aufgabe. Das basiert natürlich auf Kenntnis der Risiken, Angriffs- und Verteidigungstechniken und die entsprechenden Maßnahmen, die erkannt, priorisiert und sinnvoll umgesetzt sein und betrieben werden müssen. Hier ist das Aufgabenfeld sehr breit und geht auch technisch sehr oft in die Tiefe. Aus meiner Sicht ist die notwendige Abstraktion wichtig und auch die Fähigkeit, die Flughöhe zu wechseln. Wie ein Dirigent, der eventuell auch viele Instrumente spielen kann, sie aber zumindest kennt und – entsprechend seiner Interpretation der Partitur – für das entsprechende Orchester, den Saal, das Publikum etc. umsetzt. Stärken wie analytisches und auch strategisches Denken sowie Kommunikations- und Überzeugungsfähigkeit sind aus meiner Sicht wichtig. Viel wichtiger als detaillierte, technische Kompetenz.

BC: Abschließend: Sie begleiten die Prisec seit 2019 – was bewegt Sie, immer wieder mitzumachen und was ist für Sie das Besondere an dieser Konferenz?

Jimmy Heschl: Ich sehe zwei wesentliche Benefits: erstens der Austausch mit Gleichgesinnten. Die CISOs haben meist ähnliche Probleme und wir können vom Austausch profitieren. Zweitens die Verbindung zwischen zwei Bubbles: der Juristischen und der Security-Community. Da gibt’s viele Gemeinsamkeiten und Überschneidungen von denen wir profitieren können. Dass das Ganze seit jeher sehr professionell gemanagt wird und nicht nur ein breiter fachlicher Austausch stattfindet darf natürlich nicht unerwähnt bleiben. Man trifft sich dort und man trifft auch die, die man ansonsten nicht getroffen hätte.

BC: Sehr geehrter Herr Mag. Heschl, zunächst einmal vielen Dank für dieses tolle Feedback. Auch dieses ausführliche und aufschlussreiche Gespräch war eine Freude. Wir freuen uns, dass Sie auch heuer wieder auf der PriSec dabei sind.

‍