Cybersecurity-Consultants in Österreich : Cybersecurity-Berater: Schutzengel für die Industrie

Georg Beham ist Experte für Cybersicherheit und verantwortet den Bereich Cybersecurity & Privacy bei PwC Österreich. Er ist ein erfahrener Consultant, seit 1989 in der IT-Branche tätig und seit 2001 auf Security-Themen spezialisiert. Seine Karriere begann mit den Grundlagen: „Ich habe eine Lehre als Elektromechaniker gemacht und Commodore-64- sowie Atari-Computer repariert“, erzählt er.

Im Alter von 29 Jahren absolvierte er die Studienberechtigungsprüfung und studierte in Hagenberg, wo er einen Bachelor- und einen Master-Abschluss im Bereich Security erwarb. Seit 2005 berät er Unternehmen in den Bereichen Cybersecurity und IT-Forensik.

Lesen Sie auch: Die besten Unternehmensberater 2024

Vor seiner Beraterkarriere arbeitete Beham auch als Tauchlehrer. „Dort habe ich gelernt, was Sicherheit wirklich bedeutet – wie es ist, Pläne zu machen und konsequent danach zu handeln. Diese Erfahrung begleitet mich bis heute“, sagt er.

Zu Beginn seiner Beraterkarriere, bis etwa 2010, spielte IT-Sicherheit in den Unternehmensführungen kaum eine Rolle. „Uns Experten war die Relevanz des Themas bewusst“, sagt Beham rückblickend. „Aber das Management schenkte uns damals kaum Gehör.“

Was sich verändert hat, ist der wirtschaftliche Anreiz für Angreifer. Durch die Kombination aus Verschlüsselungssoftware und Kryptowährungen entstand ein funktionierendes Geschäftsmodell, das nicht mehr auf Expertenwissen angewiesen ist. „Das System wurde stetig optimiert, und so ist eine ganze kriminelle Industrie entstanden“, erklärt er.

Warum Lösegeld keine Lösung ist

Für Beham ist klar: Lösegeldzahlungen an Ransomware-Erpresser sind keine Lösung. „Cyberkriminelle sind keine verlässlichen Partner. Und selbst wenn sie einen Entschlüsselungsschlüssel liefern, sind die Probleme damit nicht gelöst. Die Daten müssen aufwendig entschlüsselt, das gesamte System forensisch untersucht und Sicherheitslücken geschlossen werden.“

Ein weiteres Problem sieht er in der Finanzierung der Cyberkriminalität: „Mit jedem gezahlten Lösegeld wird diese kriminelle Branche weiter finanziert. Solange Unternehmen zahlen, wird es Ransomware geben.“ 

Für die Zukunft rechnet Beham nicht mit einer Entspannung der Bedrohungslage – im Gegenteil: „Wir müssen uns mit Quantencomputern auseinandersetzen. Unsere heutigen State-of-the-Art-Sicherheitsmaßnahmen werden schon bald nicht mehr sicher sein“, warnt er.

Gottfried Tonweber leitet den Bereich Cyber Security und Data Privacy bei EYÖsterreich. „Ich war schon immer sehr technikaffin“, erzählt er im Interview. Sein Maschinenbau-Studium an der TU Wien, unterbrach er , um bei einem Start-up im Jahr 1999 die IT-Infrastruktur aufzubauen. „Damals begann auch meine Affinität für IT-Sicherheit“, erinnert er sich.

Bei EY liegt sein Fokus darauf, Unternehmen mit präventiven Maßnahmen widerstandsfähiger gegen Cyberangriffe zu machen und im Ernstfallgeeignete Response-Maßnahmen bereitzustellen. Dazu zählt auch die Zusammenarbeit mit speziell geschulten Rechtsanwälten. „Wir nennen sie Tech Lawyers – Experten, die hier gezielt hinzugezogen werden können.“

Regulatorik als Treiber für Cyber-Security

„Einer der größten Treiber zur Verbesserung der Resilienz von Unternehmen ist sicher die Regulatorik“, erläutert Tonweber. „Der Gesetzgeber hat erkannt, wie wichtig Cyber-Security auf europäischer Ebene ist. Deshalb gibt es Vorgaben wie NIS 2, die auch in Österreich umgesetzt werden müssen, oder auch DORA, die für das Banken- und Versicherungswesen entwickelt worden ist. Das Ziel ist es, dadurch das Cybersicherheitsniveau europaweit anzuheben.“

Was unterscheidet EY von anderen Anbietern? „Wir bieten unsere Dienstleistungen aus Österreich heraus für österreichische Unternehmen an – das ermöglicht uns ein tiefgehendes Verständnis für den Mittelstand“, erklärt Tonweber. „Gleichzeitig sind wir Teil eines globalen Netzwerks und können bei Bedarf auf Fachleute aus der ganzen Welt zurückgreifen. Zudem sind wir ein ganzheitlicher Cyber-Security-Anbieter und bieten Lösungen aus einer Hand – von strategischer Beratung über technische Absicherung bis hin zu rechtlicher Unterstützung.“

Deepfake-Demonstrationen zur Sensibilisierung

EY geht auch neue Wege,Unternehmen die Relevanz von Cyber-Sicherheitsmaßnahmen vor Augen zu führen und vor aktuellen Cyber-Bedrohungen zu sensibilisieren. „Wir können manipulierte Audio und Video-Kommunikation, sogenannte Deepfakes von Sprache und Video in Echtzeit simulieren und so Entscheidungsträger von derartigen Bedrohungen realitätsnah sensibilisieren.“, erklärt Tonweber. Doch wie können sich Unternehmen davor schützen? „Der wichtigste Faktor für mehr Sicherheit bleibt der Mensch selbst. Die Sensibilisierung der Mitarbeiter im Umgang mit Unternehmensdaten sollte für Unternehmen eine zentrale Priorität sein.“

Andreas Kronabeter ist Leiter des Geschäftsbereichs Security bei Accenture Österreich. Er studierte Wirtschaftsinformatik an der TU Wien und begann seine Karriere im IT-Audit bei Deloitte. „Das wurde mir dann aber zu langweilig“, erzählt er mit einem Schmunzeln. Also wechselte er in die Beratung und spezialisierte sich auf Risikomanagement sowie Sicherheitsstrategien. Seit 2021 leitet er den Security-Bereich von Accenture in Österreich.

Weltweit beschäftigt das Unternehmen 800.000 Mitarbeiter, in Österreich sind es 2.000 an den Standorten Wien, Linz und Innsbruck – und die Zahl wächst weiter. „In den letzten Jahren haben wir zahlreiche Akquisitionen von Top-Unternehmen im Security-Umfeld durchgeführt“, sagt Kronabeter. Accenture bietet ein Komplettpaket von der strategischen Beratung bis zur Umsetzung.

Corona schafft Nachholbedarf

Die Bedeutung von Cybersecurity hat sich laut Kronabeter grundlegend gewandelt: „Früher war Security ein reines Technology Risk, mittlerweile ist es aber ein Business Risk – und das hat sich in den letzten Jahren definitiv verändert.“ Die Corona-Pandemie habe diesen Wandel beschleunigt. „Für das Homeoffice mussten Unternehmen zunächst die gesamte Infrastruktur aufbauen und ihre Mitarbeiter vernetzen. Auf Sicherheit wurde dabei eher weniger geachtet.“ 

Das Bewusstsein für Cybersecurity sei inzwischen aber auch auf dem C-Level angekommen. „CISOs sind heute gestandene Top-Manager, die auf Augenhöhe mit den CEOs agieren.“ Doch kleinere Unternehmen seien deutlich anfälliger. „Oft fehlen die Ressourcen, um sich ausreichend zu schützen. Die Schere zwischen großen und kleinen Unternehmen öffnet sich immer mehr.“  Und das auch, weil regulatorische Anforderungen, wie die NIS2-Richtlinie sie unter Druck setzen.

Security als Innovationstreiber

Kronabeter betont, dass Security nicht nur als Versicherung gegen Cyberangriffe gesehen werden sollte, sondern auch ein Innovationstreiber sein kann. „Sicherheitsmaßnahmen können Innovationen ermöglichen – oder sie verhindern. Ohne die richtigen Sicherheitsvorkehrungen kann man neue Technologien wie KI nicht verantwortungsvoll in Unternehmen einführen.“

Sein Tipp für mehr Cybersicherheit? „Awareness ist nach wie vor das A & O. Viele Angriffe sind erfolgreich, weil Menschen Fehler machen. Man muss den Mitarbeitern näherbringen, warum dieses Thema wichtig ist.“

Georg Jeitler ist seit mehr als 20 Jahren in der Unternehmensberatung tätig. In seiner ersten beruflichen Karriere war er selbstständig im Marketingbereich tätig, engagierte sich in der Wirtschaftskammer und wurde schließlich Sachverständiger. Durch Tätigkeiten in verschiedenen Korruptionsverfahren befasste er sich zunehmend mit Wirtschaftskriminalität und digitaler Forensik. 2019 wurde er Partner und Head of Forensic Services bei Grant Thornton, einem internationalen Wirtschaftsprüfungsunternehmen.

In seiner Tätigkeit beschäftigt er sich auch mit eher untypischen Cybervorfällen, wie etwa Datendiebstahl bei Gesellschafterstreitigkeiten. Bei klassischen Ransomware-Attacken leistet er viel Detektivarbeit: „Man muss das Darknet monitoren, Hintergrundrecherchen durchführen und versuchen herauszufinden, wer die Täter sind“, erzählt er.

Unterstützung für das Management

Jeitler sieht sich zudem als Koordinator, der dem Management hilft, mit einem Vorfall umzugehen: „Wir übernehmen oft die Kommunikation mit den Behörden, besprechen Datenschutzthemen und koordinieren die Anwälte.“ Zudem hilft er der unternehmenseigenen IT, die Folgen des Angriffs zu beheben. „Ich halte das für Wesentlich sinnvoller, als nur mit dem eigenen Team auszureiten“, so Jeitler salopp.

Er warnt davor, an der Cybersicherheit zu sparen, und hat auch gleich ein mahnendes Beispiel parat: „Ein weltweit operierender Hidden Champion aus Österreich wurde Opfer einer Double-Extortion-Attacke. Die Geschäftsführung wollte Kosten sparen, die Systeme waren dadurch veraltet. Am Ende musste die gesamte IT-Infrastruktur praktisch global neu aufgesetzt werden.“

Zahlen von Lösegeld kann sinnvoll sein

Das Zahlen von Lösegeld kann laut Jeitler eine Option darstellen: „Man hat die Chance, dass die Veröffentlichung der Daten zumindest verzögert wird. Und alte Daten sind weniger schädlich als frische.“ Die Bezahlung berge jedoch deutliche Risken, die es im Einzelfall zu evaluieren gelte.

Ein großes Problem sieht er darin, dass in vielen mittelständischen Unternehmen sicherheitsrelevante Informationen nicht mehr in Papierform zugänglich sind. „Das Bewusstsein, dass gewisse Informationen zur Behebung eines Vorfalls auch physisch vorgehalten werden müssen, geht leider zunehmend verloren.“

Sein wichtigster Tipp für mehr Sicherheit? „Ich glaube, das Wesentlichste ist, nicht nur das eigene Team an Sicherheitsthemen arbeiten zu lassen. Oft gibt es eine gewisse Betriebsblindheit, oder die Teams sind schlicht zu klein.“

Georg Schwondra ist Partner bei Deloitte Wien und leitet den Bereich Cyber Risk. Schwondra ist Diplom-Ingenieur für Elektrotechnik und begann seine Karriere 1995 bei Siemens als Informatiker. „Irgendwann, so 1997 oder 1998, habe ich mich mit dem Security-Virus infiziert“, lacht er. „Ich habe an der Wirtschaftsuniversität Wien die erste sichere Signaturkarte auf den Markt gebracht – den Studentenausweis. Danach habe ich mich um das Zentralsystem des österreichischen Sozialversicherungssystems gekümmert und dort die Architektur verantwortet.“

Dem Thema Security blieb er treu. Bei Atos, dem Käufer von Siemens IT Solutions, übernahm er die Leitung des Bereichs Security in den Consulting Professional Services für Zentral- und Osteuropa. 2017 wechselte er zu Accenture und baute dort eine Cyber-Security-Abteilung mit 35 Mitarbeitenden auf. 2021 entschied er sich für einen weiteren Wechsel – diesmal zu Deloitte.

Ziel ist es das beste Team zum Kunden zu bringen 

Wie fast alle Beratungsgesellschaften ist auch Deloitte international aufgestellt. „Wir haben insgesamt über 21.000 Cyber-Professionals im Netzwerk. Gemeinsam mit unserer deutschen Member-Firm bringen wir 380 Cyber-Experten auf die Waage“, sagt Schwondra. „Unser Ziel ist es, immer das beste Team zum Kunden zu bringen – nicht nur das gerade vor Ort verfügbare.“

Künstliche Intelligenz hält er für eine große Chance – und auch für eine Notwendigkeit, um den Wirtschaftsstandort Österreich zu sichern. Allerdings betont er: „Man muss sich im Klaren sein: Welche Daten nutze ich im Kontext einer KI? Wie stelle ich sicher, dass keine Daten versehentlich abfließen und unwiederbringlich verloren gehen? Das ist dann, als würde man versuchen, ein Ei aus einem Kuchen zurückzubekommen.“

Manche Angreifer wollen  nur zerstören

Als besondere Bedrohung sieht er die geopolitischen Krisen: „Es gibt Angriffe, die rein auf die Zerstörung von Infrastrukturen ausgelegt sind.“ Und immer wieder zeigen sich Unternehmen zu vertrauensselig. „Wir sollten für einen Kunden einen physischen Penetrationstest durchführen. Wir hatten dazu weitreichende Vollmachten – aber die brauchten wir gar nicht. Wir fanden heraus, wer die Pflanzen gießt, und behaupteten, der Gärtner sei krank. Die angebliche Kollegin wurde anstandslos mit einer Zugangskarte ausgestattet und konnte sich dann völlig frei im Gebäude bewegen“, erzählt Schwondra. 

Er wünscht sich, dass Unternehmen Cyber-Security nicht als Kostenfaktor, sondern als Nutzenfaktor betrachten. „Hier zu investieren, stärkt die Resilienz und senkt die Wahrscheinlichkeit einer fatalen Inzidenz.“

Maximilian Scherr leitet die Strategy and Operations Practice im Wiener Büro von Arthur D. Little. Der Betriebswirt stieß 2018 zu dem Beratungsunternehmen, nachdem er bereits mehrere hochrangige Managementposten bekleidet hatte – unter anderem als Vice President bei der Deutschen Telekom. Scherr beschreibt sich selbst als nicht-typischen Security-Berater: „Ich arbeite gerne für jene, die hohe Ansprüche an sich selbst, ihre Organisation und ihren Berater stellen.“ Das wird honoriert:  Vor zwei Jahren wurde Scherr zu den Top 30 Security Consultants weltweit gezählt. 

Klare Worte statt bequemer Antworten

Scherr ist ein Freund deutlicher Worte – und das wissen seine Kunden zu schätzen. „Andreas Roth, damals CIO der OMV, hat einmal im Industriemagazin gesagt, er schätze an mir, dass ich nicht einfach Ja sage, sondern dagegenhalte und die unangenehmen Dinge ausspreche. Das ist so ein bisschen meine DNA – nicht nur bei Cyber-Security, sondern generell als Berater.“

Maximilian Scherr nutzt gerne Bilder und Geschichten, auch um seine Arbeit zu erklären: „Als wir von Deutschland wieder nach Österreich zurückkamen, haben wir ein Haus in Klosterneuburg gemietet“, erzählt er. „Ganz in der Nähe wohnte die Landeshauptfrau. Dort fuhr immer mal wieder die Polizei vorbei – da fühlt man sich sicher. Bis nach neun Monaten bei uns eingebrochen wurde. Ein Autodieb hat die Terrassentür aufgebrochen, während wir zu Hause waren, sich den Schlüssel genommen und ist mit dem Auto davongefahren. Es hätte einfache Möglichkeiten gegeben, das zu verhindern: eine Lenkradsperre, ein geschlossenes Gartentor, eine Alarmanlage. Wir waren nachlässig – und wurden bestraft. Mein Job ist es, meine Klienten davor zu bewahren, denselben Fehler zu machen – bei Themen, die weit größere Konsequenzen haben.“

Zwei Arten von Unternehmen

Nicht alle Unternehmen haben das richtige Bewusstsein für Sicherheit, findet Scherr: „Es gibt Organisationen, die kontinuierlich an ihrer Sicherheit arbeiten – so wie Menschen, die regelmäßig zum Arzt gehen, Krafttraining machen und auf ihre Ernährung achten. Und dann gibt es jene, die das nicht tun.“

Als positives Beispiel nennt er zwei ukrainische Unternehmen mit kritischer Infrastruktur, für die sein Unternehmen tätig ist. „Ihr Sicherheitsniveau ist nicht mehr mit dem typischen Standard vergleichbar. Es ist, als würde man mit einem Top-Skifahrer arbeiten, der auf der Streif in Kitzbühel unter die besten fünf kommen will. Unsere Herausforderung – und auch unser Anspruch – ist es, genau für diese Kunden zu arbeiten.“