CyberCompare sprach mit Dr. Florian Scheriau über IT Sicherheit.
Wie würden Sie Grant Thornton in 3 schlagfertigen Worten beschreiben?
Qualitätsanbieter, kundenorientiert, effizient.
Stellen Sie sich bitte kurz vor und erzählen Sie uns gerne etwas über Ihren Hintergrund.
Vielen Dank für die Möglichkeit, mich vorstellen zu dürfen. Mein Name ist Florian Scheriau, dissertierter Physiker und mittlerweile seit mehr als 10 Jahren in der IT-Sicherheit tätig. Bei Grant Thornton leite ich als Partner den Bereich IT-Sicherheit mit den Schwerpunkten Digitalforensik und Incident Response (DFIR), eDiscovery und Informationssicherheit.
Mein Team und ich können auf eine Vielzahl erfolgreicher Projekte zurückblicken, in denen wir unsere Mandanten verschiedenster Branchen zum Beispiel innerhalb der Themen Krisenmanagement bei Cyber-Angriffen, Datenschutz oder ISMS unterstützt haben.
Insbesondere schlägt mein Herz aber für die Incident Response, da hier alle Themen zusammenkommen.
Was zeichnet Grant Thornton aus?
Natürlich noch einiges mehr als nur die eingangs genannten Stichpunkte. Grant Thornton versteht die Bedarfe seiner Mandanten. Insbesondere im Ernstfall, zum Beispiel bei Cyber-Sicherheitsvorfällen können wir zeitnah reagieren und in der Zeit der Not mit unserem engagierten Team unterstützen. Als Wirtschaftsprüfungsgesellschaft sind wir nicht nur zu Unabhängigkeit verpflichtet – unsere Aussagen, zum Beispiel in Abschlussberichten, sind stets faktenbasiert. Unsere Fachexperten sind außerdem zu regelmäßiger Weiterbildung verpflichtet, sodass wir an den Fronten Prozesse, Technik und Organisation immer up-to-date sind.
Für mich persönlich ist Grant Thornton auch ein toller Arbeitgeber: Nicht zuletzt, da wir als Team und auch global super zusammenarbeiten. Unser Themenfeld IT-Sicherheit und Cyber ist eines der Fokus-Themen bei Grant Thornton, mit dem wir strategisch stark wachsen.
Wie hilft Grant Thornton anderen Unternehmen?
Gerne gebe ich hier einen kleinen Überblick über unsere Dienstleistungen. An erster Stelle steht immer der Mandant und dass wir diesen durch maßgeschneiderte Lösungen unterstützen können. Grant Thornton hat als Wirtschaftsprüfer und Professional Services-Anbieter ein umfangreiches Dienstleistungsportfolio aus den verschiedensten technischen und nichttechnischen Bereichen, um dieses Ziel zu erfüllen. Wir beraten und unterstützen unsere Mandanten umfangreich zu verschiedenen Themen innerhalb von acht Geschäftsbereichen, Service Lines und Fokus-Bereichen:
oAudit & Assurance
oAdvisory
oTax
oBusiness Process Solutions
oLegal
oTechnology Consulting
oSustainability / ESG
oInternational Expertise
Innerhalb der Advisory Service Line bieten wir insbesondere Unterstützungsleistungen bei IT- bzw. Cyber-Sicherheitsvorfällen („Cyber Incident Response“) und Managed Security Services („MSS“) mit Vulnerability Scanning, zum Beispiel Managed SOC („MSOC“). Zu unseren Beratungsdienstleistungen gehören weiterhin die Prüfung technischer und organisatorischer Prozesse anhand eines Cyber Security Checks, die Beratung zum IT-Notfallmanagement sowie Incident Response Readiness Assessments, Beratung zu ISMS und zu Datenschutz. Weitere Dienstleistungen umfassen Cyber Security Awareness Trainings, die Bestimmung monetärer Schäden nach Cyber-Sicherheitsvorfällen, vCISO Security Services sowie (digital)forensische Sonderuntersuchungen und eDiscovery. In Kooperation mit unserem globalen internen Netzwerk können wir außerdem Penetrationstests anbieten, Darknet-Monitoring betreiben und Kryptowährungen zurückverfolgen.
Was sehen Sie vielleicht etwas anders als vorherrschende Meinungen im Bereich Cyber-Security?
Nicht nur in den sozialen Medien wird in unserer Branche oft darüber gesprochen, wie teuer Cyber-Sicherheit ist. Natürlich insbesondere, wenn ein Cyber-Angriff bei einem Unternehmen erfolgreich war.
Cyber-Sicherheit ist aber durchaus bezahlbar – und seinen Preis wert. Es gibt viele Ansätze, um einfache und preisgünstige Initiativen in einem Unternehmen zu starten, die die Cyber-Sicherheit nachhaltig erhöhen. Selbstverständlich ist Cyber-Sicherheit immer eine Investition, die einen nicht direkt erkennbaren Mehrwert zum Normalzustand hat. Der Normalzustand soll aber im Vergleich zu einer zum Beispiel vollverschlüsselten IT-Infrastruktur bestehen bleiben und ist daher erstrebenswert. Eine frühzeitige Investition ist also nicht zwangsweise teuer, aber mit Sicherheit sinnvoll: Statistiken über Cyber-Angriffe zeigen nicht nur, dass die Anzahl an Cyber-Angriffen jährlich zunimmt, auch die dadurch verursachte Höhe der Schäden steigt stetig.
Welche Security-Toolkategorien sind Ihrer Ansicht nach über- bzw. unterbewertet? Würdest Du beispielsweise erst in ein NDR oder ein EDR-System investieren?
Die typische Antwort eines Digitalforensikers ist „es kommt drauf an“. So ist es auch hier. Um effektiv bei der Bewältigung von Cyber-Sicherheitsvorfällen unterstützen zu können, sollte man generell offen gegenüber Nischentechnologien sein. Viele Tools sind mittlerweile nicht mehr nur das eine oder nur das andere. So können Begriffe wie zum Beispiel „XDR“ entstehen, wo die Grenzen fließend sind, oder es entstehen Plattformen mit einem umfangreichem Toolset, das zum Beispiel SIEM, SOAR, EDR, NDR, Patchmanagement, Loganalyse und Datenakquise verbindet oder teilweise verbindet, auch abhängig von den Kosten für diese Plattformen und ihre in Modulen angebotenen Funktionen.
Es kommt ebenso darauf an, welche Cyber-Strategie unsere Mandanten verfolgen. Ist der Schutz des äußeren Perimeters wichtiger, als die Kronjuwelen selbst abzusichern? Ist eine Vollverschlüsselung schlimmer als ein Datenverlust? Man findet davon abhängig verschiedene Toolkits vor, die je nach Situation Vor- und Nachteile haben. Grundsätzlich existiert aber nicht die eine Lösung, die alle Bedarfe für alle Zeit abdeckt.
Aus Sicht des Forensikers gilt für das eigene Toolset insbesondere, dass eine gerichtsfeste Datenakquise und Datenanalyse sichergestellt werden können. Man benötigt also immer mehr als nur ein einziges Tool, um gleiche Ergebnisse, und somit die Korrektheit der forensischen Untersuchung, nachweisen zu können.
Wie geht es weiter – Was steht bei Ihnen technisch auf der Roadmap, was haben Sie sich vorgenommen?
Ich bin froh und stolz behaupten zu dürfen, dass wir als Team technisch super aufgestellt sind. Dennoch bin ich überzeugt, dass eine Roadmap nie leer sein sollte – wer rastet, der rostet.
Wir wollen uns als Team stets weiterentwickeln. Nicht nur in der Technik selbst, sondern auch das, was untrennbar von unserer technischen Arbeit ist, zum Beispiel Krisenkommunikation. Das Team wird an der Zahl wachsen, aber auch in seinen Fähigkeiten. Dies umfasst natürlich auch technische Trainings etablierter Anbieter.
Unser Toolset wird regelmäßig geprüft und aktualisiert sowie bei Bedarf erweitert. Auch interne Tools entwickeln wir weiter. Es gibt immer etwas zu tun.
Wenn Sie eine E-Mail an alle CISOs schicken könnten, um ein Sicherheitsproblem anzusprechen – was würden Sie wählen?
Die CISOs, die wir kennenlernen durften, waren stets sehr aufgeschlossen und interessiert gegenüber unseren Dienstleistungen, die nicht nur die Technik abdecken, sondern auch alle anderen Themenbereiche, die ein CISO zu verantworten hat.
Ein Sicherheitsproblem kann also zum Beispiel technischer Natur sein, aber durchaus auch viele verschiedene andere Ursachen haben, sodass ein technisches Problem entsteht. Oft sind die Einfallstore für schwerwiegende Cyber-Angriffe ein kurzer Moment der Unaufmerksamkeit, zum Beispiel beim Lesen einer Phishing-E-Mail.
Wenn ich eine E-Mail an CISOs schicken könnte, würde ich den Punkt aus eurer vorigen Frage hier wieder aufnehmen: es gibt effektive und kostengünstige Wege, die Cyber-Sicherheit drastisch zu erhöhen – dadurch wird die Arbeit eines CISOs wesentlich entlastet und die Märkte ein klein wenig sicherer, oder sogar viel sicherer.