Wir stellen vor: unser neuer Informationssicherheits-beauftragter – ein Gespräch mit Turul Balogh
Im Rahmen des Cybersecurity Month haben wir unseren Informationssicherheitsbeauftragten, der unserem Team im Juli beigetreten ist, darum gebeten, einige Einsichten in seine Rolle und in den aktuellen Status von Cybersicherheit mit uns zu teilen.
Wie bist du zum Informationssicherheitsbeauftragen geworden?
Ich habe Wirtschaftsinformatik an der Corvinus-Universität in Budapest studiert und entwickelte vom zweiten Studienjahr an ein reges Interesse an Informationssicherheit und Datenschutz, weshalb ich eine wissenschaftliche Publikation (TDK) für einen akademischen Wettbewerb für Studenten verfasste, die die Sicherheit und den Datenschutz von Cloudanbietern analysierte. Zu diesem Zeitpunkt stolperte ich über Tresorit und führte ein Interview mit Giorgio (Gyorgy Szilagyi, Mitbegründer & CPO von Tresorit), denn einer meiner Kursleiter und meine Kommilitonen von den weiterführenden Studien hatten bereits vorher mit ihm Kontakt aufgenommen.
In dieser Studie analysierte ich die Datenschutzverfahren von globalen Anbietern und wie diese mit Daten umgehen. Das war der Beginn meiner Reise und von diesem Moment an hielt ich meine Augen stets und überall nach Informationssicherheit offen. Ich war ein sehr aktiver Student, hielt Vorlesungen zu Demonstrationszwecken, war Mitglied der Fakultät für Weiterführende Studien und der Studentenvereinigung und nahm an vielen Veranstaltungen teil, bei denen Technologie und Sicherheit im Mittelpunkt standen.
Im zweiten Studienjahr hatte ich bereits damit begonnen als Unternehmensberater zu arbeiten, um einen Einblick in weitere Branchen und Projekte zu gewinnen. Das war eine wirklich gute Entscheidung, da ich viel Erfahrung in verschiedenen Bereichen sammelte. Später arbeitete ich im Rahmen meiner Beratertätigkeit als Informationssicherheitsbeauftragter für Unternehmen, die finanzielle Dienstleistungen zur Verfügung stellten, und wurde zum Regionalen Sicherheitsprogrammleiter ernannt – eine Rolle, in der ich für fast zweieinhalb Jahre tätig war. Es unterlag meiner Verantwortung, lokale Tochterunternehmen dabei zu unterstützen, den aktuellen Reifegrad von Informationssicherheit zu verbessern.
Und damit begann meine berufliche Karriere. Während meiner Zeit an der Uni arbeitete ich auch für ITBN(einer der größten Infosec-Konferenzen und -Messen in der Region). Seitdem trage ich zum jährlichen ITBN-Veranstaltungstag für Informationssicherheit bei.
Örtliche Repräsentanten des IT-Sicherheitsmarkts schlossen sich im Jahr 2004 zusammen, um ein Forum zu schaffen, das die Interessen aller Marktteilnehmer unabhängig vertreten würde. Das ursprüngliche Ziel wurde von ITBN bei weitem übertroffen: Die Veranstaltung ist die Heimstätte für Innovationen und Ankündigungen brandneuer Produkte. ITBN präsentiert die tatsächlichen Meinungen von Regierungsbeauftragten und rechtliche, finanzielle und fachmännische Sphären des IT-Sicherheitsberufsstands. Jeder ist hier mit von der Partie: hochrangige IT-Sicherheitsexperten, Auditoren, CISOs, Anbieter, Entscheidungsträger, Berater, Vertreiber, CFOs und CEOs und IT-Beschaffungsmanager.
Dieses Jahr findet die Veranstaltung Ende Oktober statt: https://online.itbn.hu/
Letztes Jahr nahm der Urheber der “Have I been Pwned?”-Webseite und Websicherheitsexperte Troy Hunt meine Einladung an und kam zu dem Event. Es war sein erstes Mal in Ungarn und es hat mich fast zwei Jahre gekostet, ihn von Australien hierher zu locken. Ich trage zur Veranstaltung als Freiwilliger in meiner Freizeit bei und es gefällt mir so gut, weil man dort Experten der Branche treffen kann und man außerdem auf dem aktuellen Stand bezüglich neuer Entwicklungen, aktueller Themen und frischer Lösungen bleibt. Ich halte regelmäßig Präsentationen zum Thema Sicherheitsbewusstsein und gebe Fortbildungen. Mein Ziel ist es, das Bewusstsein für Informationssicherheit zu stärken und gleichzeitig Tresorits Mission zu verbreiten.
Warum bist du zu Tresorit gekommen und was sind deine wichtigsten Verantwortlichkeiten bei Tresorit?
Damals war Tresorits zentrale Botschaft, dass die Lösung Privatpersonen und Unternehmen dabei hilft ihre Privatsphäre zu schützen. Heutzutage leben wir in einer sogenannten Informationsgesellschaft. Das Leben jeder Einzelperson und das Profil jedes Unternehmens hat die Form von Bits und Bytes angenommen und jeder hat einen digitalen Fußabdruck. Das hat Vor- und Nachteile. Unternehmen bieten viele Produkte an, die nützlich sind, aber von denen einige auch versteckte Gefahren in sich bergen, wenn es um Datensicherheit geht. Offengelegte Daten erzielen außerdem hohe Preise auf dem Schwarzmarkt. Ich habe diesbezüglich einige Recherchen unternommen – du kannst Gesundheitsdaten für ein paar Dollar erwerben, Reisepässe, Passwörter, Führerscheine etc. Du fragst dich möglicherweise: Warum ist es ein Problem, wenn meine persönliche Identifikationsnummer oder mein Passwort bekanntwerden? Das Problem ist, dass, weil viele Datenschutzverletzungen stattfinden, viele Daten an die Öffentlichkeit gelangen und somit für viele Personen ein vollständiges digitales Profil erhältlich ist.
Daten-Broker-Unternehmen vermarkten sich damit, dass sie diese Daten zum Kauf anbieten. In unserer turbulenten Welt, in der wir als Individuen so viele Informationen über uns teilen, steuern wir dazu bei, dass Anbieter auf unsere Daten zugreifen können, um uns Vorteile zu bieten – aber es kann uns auch teuer zu stehen kommen. Tresorit hat von Anfang an für eine Lösung mit Zero-Knowledge-Protokoll geworben, was bedeutet, dass nicht einmal Tresorit auf die Daten seiner Nutzer zugreifen kann – im Gegensatz zu vielen gängigen Anbietern. Ich bin sehr stolz darauf, für dieses Unternehmen mit dieser Mission und Vision zu arbeiten.
Was hältst du vom aktuellen Stand der Informationssicherheit?
Unsere Kunden vertrauen uns mit dem Schutz ihrer Gesundheits- oder Finanzdaten, damit diese nicht in die falschen Hände geraten. Wenn z.B. eine Bank Tresorit verwendet, muss sie sicherstellen, dass die Angestellten sich ihrer Verantwortung bewusst sind, da sie ihren Kunden versprochen haben, neben den regulären Dienstleistungen auch Datensicherheit zu gewährleisten. Somit ist Sicherheit ein zentraler Aspekt dieses Services – eine Tatsache derer sich der Markt oftmals nicht bewusst ist. Einer der Gründe dafür ist, dass keine Aufklärung zu diesem Thema stattfindet, Familien sprechen darüber nicht zuhause. Da digitale Bildung nun aber gängiger geworden ist, richtet sich mehr Aufmerksamkeit auf diesen Bedarf.
Denkst du, dass sich die Meinung der Menschen, die sie bezüglich des Wertes und Schutzes ihrer Daten haben, positiv ändern wird?
Darum bemühe ich mich tagtäglich und ich glaube fest daran, ja. Mit einem Unternehmen wie Tresorit kann ich mehr dafür tun dies zu erreichen. Wir bieten Sicherheit und haben Kunden und Nutzer, die Wert auf Privatsphäre legen. Wir müssen mit gutem Beispiel vorangehen und demonstrieren, dass wir nach unseren Prinzipien leben.
Wie erging es dir mit deinem Onboarding?
Ich hatte sehr viel Glück, dass ich die Rolle von unserer vorherigen Informationssicherheitsbeauftragten übernahm – mit einem besonderen Schwerpunkt auf Governance, Risikomanagement und Compliance –, da der Wissensaustausch mit ihr extrem gut strukturiert und gründlich ablief: Alle Materialien waren verfügbar, wir hatten einen guten Zeitplan, es war ein wirklich bemerkenswerter Weg. Es fiel mir leicht, mich in das System einzuarbeiten. Mit dem bevorstehenden ISO27001-Audit haben wir die große Aufgabe, uns in den nächsten Monaten darauf vorzubereiten. Wir hatten viele Online-Meetings, manchmal für 6-8 Stunden pro Tag. Ich hatte mich darauf gefreut das Team kennenzulernen, da ich von Anfang an das Gefühl hatte, dass bei Tresorit eine offene und freundliche Atmosphäre vorherrscht.
Welche weiteren täglichen Verantwortlichkeiten hast du?
Wir haben ein sogenanntes Information Security Management System mit einem technologischen, praktischen, prozeduralen und dokumentarischen Aspekt. Ich bin für den Betrieb dieser Maschine zuständig. Die Ausbildung neuer Mitarbeiter im Bereich Informationssicherheit ist ebenfalls eine meiner Aufgaben, sowie das Vorantreiben von Störungsmanagement, Betriebskontinuitätsmanagement und der Organisation von Audits. Es gibt viele Regelungen, die aktualisiert, und einige neue, die detailliert ausgearbeitet werden müssen. Wenn ein Audit stattfindet, gibt es immer Empfehlungen, die wir befolgen sollten – Änderungen, die wir vornehmen müssen. Ich gebe immer mein Bestes, weshalb wir nicht einfach nur Dokumente erstellen und Trainings anbieten, sondern ich diese neuen Richtlinien auch in die Praxis umgesetzt sehen möchte.
Sogar in diesem Unternehmen besteht jedoch Verbesserungspotenzial. Ein solcher Wandel in der Unternehmenskultur ist nicht einfach und ein langfristiges Ziel. Dessen wurde ich in mehreren Firmen, in denen ich über meine berufliche Karriere hinweg gearbeitet habe, Zeuge. Mitarbeiter müssen verstehen, welche Auswirkung ein Vorfall auf Sicherheit und Business haben kann und das es im Interesse aller ist, Regelungen zu überdenken und zu befolgen. Der Job eines Sicherheitsbeauftragten ähnelt auf vielerlei Art dem eines Pastors. Einige befolgen die Regeln, andere hören zu, aber sind skeptisch, und andere hören nicht zu und glauben nicht an das Gesagte.
Wir erhalten auch viele Fragen bezüglich Informationssicherheit und ich coache meine Kollegen darin diese zu beantworten. Da das Wissen bezüglich Informationssicherheit stetig wächst, werden sie bald dazu in der Lage sein, diese ohne meine Hilfe zu beantworten. Außerdem gibt es noch weitere Zertifikate, neben ISO, für die wir unsere Cyber-Fertigkeiten weiterentwickeln müssen, bevor wir diese anwenden und von ihnen profitieren können.
Was siehst du als die größten Herausforderungen an, wenn es um Compliance und Informationssicherheit für Unternehmen heutzutage geht? Wozu würdest du raten?
Wir als Unternehmen, aber auch als Individuen, müssen mehr Verantwortung übernehmen, wenn es um den Schutz unserer digitalen Identitäten und wertvollen Daten geht. Der Wert unserer Daten ist oftmals schwer zu erkennen, weil diese nicht greifbar sind. Es ist nicht wie der finanzielle Wert von Maschinen oder anderen physischen Objekten in einer Fabrik vor 200 Jahren. Heutzutage befinden sich die Wertgegenstände von Unternehmen auf Computern in Form von Daten. Wir sind uns unseres digitalen Fußabdrucks bewusst, aber auch hier gibt es Vorteile und Bedrohungen. Wir müssen den Cyberspace aus einer neuen Perspektive betrachten und ihn mehr mit dem physischen Raum vergleichen. Um ein einfaches Beispiel zu geben: Wir überqueren normalerweise nicht die Straße, wenn die Ampel für uns rot ist. Denn wir könnten von einem Auto überfahren werden. Im Cyberspace gibt es ebenfalls Sicherheitsregeln, aber diese werden oftmals weniger anerkannt und angewendet. Das digitale und physische Immunsystem unterscheiden sich, sind sich aber dennoch ähnlich. Viele Menschen werden von Phishing-Versuchen online geködert. In der physischen Welt würden wir ganz anders reagieren. Die zwei Welten müssen sich einander annähern. Unsere instinktiven Reaktionen, wie das Schließen des Fensters, wenn es kalt ist, oder das Waschen unserer Hände, um eine Infektion zu vermeiden, gleichen dem Verwenden von 2-Stufen-Verifizierung, dem Backup unserer Daten, dem Ausführen von System-Updates etc. im Cyberspace. Ich könnte viele Analogien aufzählen, aber der Punkt ist, dass wir unsere Denkweise bezüglich der Online-Welt ändern müssen.
Ist es auch nötig, mehr über die verfügbaren Technologien zu lernen, um die richtige Lösung mit Fokus auf Sicherheit auszuwählen?
Definitiv. Wir alle haben unsere Smartphones mit vielen Apps, ohne wirklich genug über diese zu wissen. Wir müssen aufpassen, wozu wir unsere Zustimmung geben. Technologie ist schnell Teil unseres Lebens geworden, aber wir waren nicht dazu in der Lage, unsere Denkweise schnell genug anzupassen. Denk doch einmal daran, wie alle auf einmal Zoom verwendeten, als Remote-Arbeit zum neuen Standard wurde, aber viele waren sich nicht darüber bewusst, dass ohne die korrekte Ende-zu-Ende-Verschlüsselung wichtige Businessdaten gefährdet sind. Es steht eine große Anzahl von Technologielösungen zur Verfügung und es ist schwierig einen Überblick über dieses maßlose Angebot zu gewinnen.
Auch aus diesem Grund haben wir unser Information Security Management System entwickelt, um die Sicherheit für Privatpersonen und Unternehmen zu verbessern.