BDO Schweiz lässt sich am GOHack23 hacken

Florian Muff, Certified Ethical Hacker und Absolvent des CAS Cyber Security & Digital Forensic, ist seit 2014 bei BDO in Zürich tätig. Seit rund 5 Jahren betreut er seine Kundinnen und Kunden in einer leitenden Funktion im Bereich Cyber Security. Florian ist Vorstandsmitglied des Vereins Allianz Digital Sicherheit Schweiz, wo er auch als Auditor des Gütesiegels CyberSeal im Einsatz ist.

Florian, wie bist du zur Cybersicherheit gekommen? Was hat dich dazu inspiriert?

Angefangen habe ich in der IT-Abteilung bei BDO. Ich wurde vermehrt zur technischen Unterstützung bei forensischen Untersuchungen des Teams «Unternehmensberatung» beigezogen. Diese Tätigkeit sagte mir sehr zu, weshalb ich vollständig im besagten Team eingestiegen bin. Dabei habe ich mitgewirkt, die bestehende forensische Dienstleistung mit neuen technischen Möglichkeiten und Prozessen zu erweitern.

Bei verschiedenen Untersuchungen stiess ich immer wieder auf Schwachstellen, die erheblichen Risiken für unsere Kundinnen und Kunden bargen und nachfolgende Untersuchungen erforderten. Darauf hat BDO verschiedene Services entwickelt, die insbesondere der Prävention dienen. Damit wollen wir Unternehmen helfen, frühzeitig Schwachstellen in den eigenen Netzwerken und den dazugehörigen Prozessen zu erkennen und in Zusammenarbeit mit unseren Experten geeignete Massnahmen zu implementieren. Meinen Weg zur Cybersicherheit führte also nicht über die klassischen Ausbildungsschritte, sondern die Anforderungen, mit welchen Unternehmen heute mehr und mehr zu kämpfen haben.

Was ist deine jetzige Aufgabe bei BDO und was gefällt dir besonders an diesem Beruf?

Ich bin für die Entwicklung und den Aufbau der Abteilung «Cyber Security Beratung» zuständig. Wir unterstützen Kundinnen und Kunden dabei, das Thema Cybersicherheit und dessen Relevanz für ihr eigenes Unternehmen besser zu verstehen und sich entsprechend zu schützen. Des Weiteren bietet mein Team technische Unterstützung bei forensischen Untersuchungen an. Genau diese Mischung macht unsere Arbeit so spannend.

Im Bereich Cybersicherheit gefällt mir besonders der Austausch mit den Unternehmen und den zuständigen Personen sowie die stetige Weiterentwicklung, die wir als Team gemeinsam mit unseren Kundinnen und Kunden erleben.

BDO ist Partnerin des diesjährigen GOHack23. Warum unterstützt BDO diesen Cyber Security Hacking Event?

Für BDO ist es selbstverständlich, sich stets mit den aktuellen Herausforderungen unserer Kundinnen und Kunden auseinanderzusetzen. Die Kenntnis über Risiken, denen Unternehmen im Bereich Cybersicherheit begegnen, sind für uns als Dienstleisterin von zentraler Bedeutung. Im Rahmen unserer bereits bestehenden Partnerschaft mit GObugfree freuen wir uns, den GOHack23 als Haupt-Partnerin zu unterstützen - und uns darüber hinaus auch selbst testen zu lassen.

BDO ist in Bereichen wie Wirtschaftsprüfung, Treuhand und Beratung tätig, die den Umgang mit sehr sensiblen Daten erfordern. Welche Herausforderungen ergeben sich beim Umgang mit solchen Daten? Und welche strategische Bedeutung hat die Cybersicherheit für BDO?

Die Herausforderungen im Umgang mit sensiblen Daten sind je nach deren Herkunft ganz unterschiedlich. Abhängig ist dies z.B. vom Datenschutzgesetz der jeweiligen Herkunftsländer. Wir arbeiten auch in Projekten, bei denen Daten nicht aus einem bestimmten Land herausfliessen dürfen.

Für BDO hat Cybersicherheit eine sehr starke strategische Bedeutung. Zum einen, weil wir uns als Unternehmen selbst gegen mögliche Angriffe schützen und verteidigen müssen. Zum anderen, weil wir für unsere Kundschaft eine langjährige Ansprechpartnerin sein möchten und beobachten, dass sich das «Waffenarsenal» der Cyberkriminellen in rasantem Tempo weiterentwickelt und an Perfidität zunimmt.

Seit 2014 bist du bei BDO. Wie hat sich die Bedeutung und der Ansatz von BDO im Bereich Cybersicherheit in dieser Zeit entwickelt?

Gerade die letzten zehn Jahre waren im Bereich Cybersicherheit eine sehr spannende Zeit. Durch die steigende Anzahl an aufgedeckten Schwachstellen in Systemen und Netzwerken und die Zunahme an Angriffen ist der Anspruch stärker geworden, die Kompetenzen und Ressourcen in diesem Bereich weiterzuentwickeln. Auch die Entwicklung der Dienstleistungen für unsere Kundinnen und Kunden hat sich in den letzten fünf Jahren stetig weiterbewegt und immer stärker dem effektiven Nutzen angepasst.

Wie siehst du die Rolle von forensischer Technologie in der heutigen digitalen Landschaft und welchen Einfluss hat dies auf die Cybersicherheitsstrategien von Unternehmen?

Wir sehen einen erheblichen Unterschied im Umgang mit forensischen Technologien, der sich zum einen bei den Unternehmensbereichen, zum anderen bei den Unternehmensgrössen abzeichnet.

Bei vielen KMU spielt Forensik keine grosse Rolle, da Dienstleistungen wie diese für sie oft nicht erschwinglich sind. Eine Ursache bis ins kleinste Detail aufzuklären, steht dem Fokus gegenüber, nach einem Vorfall wieder produktiv arbeiten zu können. Es wird mehr Energie in die Bewältigung und Vorbeugung eines erneuten Vorfalls gesteckt, als das Ereignis detailliert forensisch zu verarbeiten.

Somit sind die Cybersicherheitsstrategien, je nach Bedürfnis und Möglichkeiten, sehr verschieden. Es gibt Unternehmen, die sich auf jeden möglichen Fall vorbereiten und andere, die sich nur oberflächlich mit der Thematik befassen. Viele Unternehmen gehen davon aus, dass sich der interne oder externe IT-Dienstleister um die Cybersicherheit des Unternehmens kümmert. Leider ist das unserer Erfahrung nach oft ein Trugschluss.

Welche Karrieremöglichkeiten bietet BDO im Bereich Cybersicherheit?

Bei BDO bieten sich verschiedene Karrieremöglichkeiten im Bereich Cybersicherheit. Wir unterstützen sowohl junge Menschen, die nach Abschluss ihres Studiums bei uns arbeiten möchten als auch Menschen, die sich für einen Quereinstieg für den Bereich Cybersicherheit interessieren. Soziale Soft Skills, Neugier und der Wille, Top-Service zu leisten, gehören zu unseren Hauptanforderungen.

Im Bereich Cybersicherheit gibt es bei uns zwei Wege: Einerseits intern für BDO selbst tätig zu werden und andererseits als Beraterin oder Security Tester für unsere Kundinnen und Kunden - das sind unterschiedliche Karrierewege. Setzt jemand den Fokus bei den internen Dienstleistungen, steht der tiefe Einblick in die Thematik im Fokus. Im externen Bereich stehen die Mitarbeitenden im engen Kontakt mit unseren Kundinnen und Kunden und setzen sich intensiv mit den Herausforderungen und dem Umgang mit den Ressourcen auseinander.

BDO legt einen besonderen Schwerpunkt auf KMU. Wie unterstützt BDO KMU konkret in Bezug auf Cybersicherheit?

Wir unterstützen KMU als zuverlässige Ansprechpartnerin für alle Anliegen im Bereich Cybersicherheit. Am Anfang einer Zusammenarbeit steht oft eine Evaluierung der aktuellen Ausgangslage. Darauf kann eine gemeinsame Prüfung der technischen Punkte folgen, die eine Schwachstellenanalyse nach sich zieht. So können Schwachstellen identifiziert und beseitigt werden. Ein weiterer Schritt ist die menschliche Komponente. Mit verschiedenen interaktiven Massnahmen und Schulungen richten wir uns direkt an die Menschen eines Unternehmens, um das Bewusstsein für die Thematik zu schärfen und eine gesamtheitliche Kultur zu schaffen.

Wir unterstützen auch Kundinnen und Kunden und deren IT-Dienstleister, um die Weiterentwicklung zu fördern und den Fokus auf die Herausforderungen zu stärken.

Welchen Rat würdest du KMU geben, die sich der Bedeutung der Cybersicherheit bewusst sind, aber nicht genau wissen, wie sie starten oder ihr aktuelles Sicherheitsniveau verbessern sollen?

Ich rate jedem Unternehmen, sich mit der internen oder externen IT-Stelle zum Thema auszutauschen. So kann evaluiert werden, welche Schutzmassnahmen bereits vorhanden sind. Durch diesen Austausch erscheinen automatisch Handlungsfelder, die auch mit geringen Kosten bearbeitet werden können. Ein gutes Beispiel dafür ist die periodische Kontrolle der bestehenden Nutzeraccounts. So kann sichergestellt werden, dass keine Personen Zugriffsrecht haben, die nicht mehr im Unternehmen tätig sind. Unser Cyber Barometer kann als Einstieg in die Thematik genutzt werden, um solche Handlungsfelder zu erkennen. Wir arbeiten dabei mit einem kleinen Fragebogen und zwei technischen Checks, um in einem ersten Schritt oberflächlich zu eruieren, wie der Stand im Unternehmen ist. Dieser wird mit Hilfe des Barometers ganz ohne unverständliche technische Fremdwörter sichtbar gemacht. Schnell wird klar: Befinden wir uns im roten, gelben oder, hoffentlich, grünen Bereich?

Am GOHack23 werden auch neue Talente, Interessierte und Quereinsteiger erwartet. Welchen Rat würdest du jemandem geben, der an einer Karriere in der Cybersicherheit interessiert ist und vielleicht bei BDO anfangen möchte?

Bauen Sie sich ein möglichst breites Netzwerk an Personen auf, die in demjenigen Bereich tätig sind, der Sie interessiert. Im direkten Austausch entstehen meist die spannendsten Opportunitäten. Darum freue ich mich besonders, BDO und meine Arbeit im persönlichen Gespräch vertieft vorzustellen. Nach knapp zehn Jahren kann ich sicherlich den einen oder anderen Tipp auf den Weg geben. Vielleicht noch ein Geheimtipp zum Schluss: Zeigen Sie, dass Sie bereit sind, die Extrameile zu gehen. Genau das ist in unserem Bereich entscheidend. Zentral sind aktives Interesse und viel Eigeninitiative, wenn es darum geht, sich mit den immer neuen Herausforderungen auseinanderzusetzen.