Connect with us

Jack Cherkas, Globaler CISO bei Syntax – Interview-Serie

Interviews

Jack Cherkas, Globaler CISO bei Syntax – Interview-Serie

mm
Published

Jack Cherkas, Globaler CISO bei Syntax, ist ein Cybersicherheitsexperte mit tiefgreifender Erfahrung in den Bereichen Cloud-Sicherheit, Cyber-Resilienz, Unternehmensarchitektur und AI-Sicherheit. Er hatte leitende Positionen bei Syntax, PwC UK, Kyndryl und IBM inne, wo er half, Sicherheitsoperationen aufzubauen und zu skalieren, große Vorfallreaktionen zu managen und Cyber-Resilienz-Strategien für große Unternehmensumgebungen zu entwickeln. Bei Syntax leitet er die globale Cybersicherheit über die Menschen, Systeme, Rechenzentren, Managed-Cloud-Services und kundenseitige Sicherheitsangebote des Unternehmens, wobei er ein Team von über 65 Sicherheitsexperten in acht Ländern leitet.

Syntax ist ein globaler Anbieter von IT-Services und Managed-Cloud-Dienstleistungen, der sich auf mission-kritische Unternehmensanwendungen, insbesondere SAP- und Oracle-Umgebungen, spezialisiert hat. Das Unternehmen unterstützt Organisationen bei der Cloud-Migration, dem Managed-Hosting, der Cybersicherheit, dem Unternehmensanwendungsmanagement und den AI-gestützten Betrieben über hybride und Multi-Cloud-Infrastrukturen hinweg. Seine Arbeit konzentriert sich darauf, Unternehmen dabei zu helfen, komplexe Geschäftssysteme im großen Maßstab zu modernisieren, zu sichern und zu betreiben.

Sie haben Cybersicherheitsinitiativen bei IBM, Kyndryl, PwC und jetzt Syntax geleitet. Wie hat sich Ihre Perspektive auf die Sicherung von aufstrebenden Technologien wie künstlicher Intelligenz (KI) im Laufe der Zeit entwickelt, insbesondere wenn Organisationen von Experimenten zur Produktion übergehen?

Meine Karriere hat eine Reihe von Disruptionen verfolgt, von denen jedes erforderte, dass die Sicherheit auf eine neue Kontrollfläche reagiert. Bei IBM in den frühen Tagen der Cloud war die Frage, ob man jemand anderes’ Infrastruktur vertrauen konnte, um mission-kritische Workloads auszuführen. Die Antwort war ein Shared-Responsibility-Modell und eine Generation von cloud-nativen Kontrollen.

Dann kam die Ära der Erpressungstrojaner. NotPetya im Jahr 2017 hat Unternehmen in Stunden lahmgelegt, und die Branche hat gelernt, dass sich wormbare Malware über Nacht ganze globale Lieferketten lahmlegen kann. Die Reaktion bestand darin, sich auf den Fall vorzubereiten, dass (nicht wenn) ein Cyberangriff stattfinden würde, Netzwerksegmentierung, unveränderliche Backups und einen ernsthaften Schub für Identität.

Während meiner Zeit bei Kyndryl und PwC ist SaaS von der Peripherie in den Mittelpunkt jedes Anwesens gerückt. Workloads wurden aus Rechenzentren in jemand anderes’ Stapel verlagert, Identität wurde zum Umfang, und Zero Trust hörte auf, ein Diagramm zu sein, und wurde zum Betriebsmodell.

Jetzt bei Syntax befinden wir uns in der GenAI-Welle, bei der das System selbst begründet, generiert und handelt. Jede Welle hat uns eine neue Kontrollfläche gegeben, nicht genug Warnung und ein kürzeres Zeitfenster zwischen Experiment und Produktion. Die Cloud hat Jahre gedauert. SaaS hat Quartale gedauert. GenAI dauert Wochen. Die CISOs, die Schritt halten, sind diejenigen, die aufgehört haben, jede Welle als Ausnahme zu behandeln und begonnen haben, schnelle Einführung als Normalzustand zu behandeln.

Wie bewerten Sie das Risiko, dass Vertrauen, nicht nur Compliance, bei der Beschleunigung der KI-Adoption durch Organisationen beeinträchtigt wird? Was sind die frühesten Indikatoren dafür, dass dies beginnt?

Vertrauen ist die Grundlage jeder guten KI-Adoption. Die frühesten Indikatoren sind nicht im Prüfbericht zu finden, sondern in den operativen Signalen. Schatten-KI-Deployments, die niemand besitzt. Beschaffung, die GenAI-Anbieter ohne Sicherheitsprüfung genehmigt. Datenherkunft, die bricht, sobald man fragt, woher die Trainingsdaten stammen. KI-Agents, die Administratorberechtigungen erhalten, weil niemand das Projekt verlangsamen wollte. Wenn man diese vier Signale in einer Organisation sieht, wird Vertrauen bereits schneller ausgegeben als verdient. Die Führung ist normalerweise die Letzte, die es erfährt.

Viele Unternehmen adoptieren KI schneller, als sie sie sichern können. Welche realen Risiken sehen Sie heute, wenn die Governance hinter der Innovation zurückbleibt?

Wenn die Governance zurückbleibt, passieren drei Dinge, und keines davon zeigt sich als Sicherheitsvorfall, bis viel später. Erstens: Regulierungsrisiken summieren sich leise: Eine KI-Implementierung, die die Transparenzanforderungen des EU-KI-Gesetzes verletzt, löst keinen Alarm aus; es zeigt sich in einer Prüfung zwei Jahre später als Strafe. Zweitens: Das Vertrauen der Kunden schwindet in Transaktionen, die man nie sieht: Interessenten wählen Konkurrenten, die Governance nachweisen können, und das Vertriebsteam erfährt nie, warum. Drittens: Die Entscheidungsqualität verschlechtert sich: Die Organisation trifft mehr KI-gestützte Entscheidungen, kann sie aber nicht erklären oder prüfen, und schlechte Entscheidungen summieren sich an Orten, an denen niemand hinsieht. Die Kosten für eine schwache KI-Governance sind die langsame Erosion von Prüfung, Vertrieb und Entscheidungsqualität, die in einem reputationsgeschädigten Vorfall endet.

Aus Ihrer Erfahrung beim Aufbau und Skalieren von Managed-Sicherheitsdiensten und SOC-Betrieben: Wie sollten Organisationen ihre Sicherheitsmodelle anpassen, um KI-gesteuerte Systeme und autonome Entscheidungsfindung zu bewältigen?

KI ist ein neuer Angriffsweg, ein Bedrohungsmultiplikator und ein kritischer Verteidigungspuzzle, und das Sicherheitsmodell muss sich anpassen, um alle drei gleichzeitig abzudecken.

Als Angriffsweg werden GenAI-Plattformen selbst zu Zielen, die verteidigt werden müssen. Als Bedrohungsmultiplikator nutzen Angreifer GenAI, um Phishing im großen Maßstab zu erstellen, Exploit-Code zu generieren, Reconnaissance zu automatisieren und Schwachstellen mit Maschinengeschwindigkeit zu entdecken. Als Verteidigungspuzzle ist die gleiche Technologie, die in die andere Richtung gedreht wird, die einzige realistische Antwort: KI-gestützte Triage, automatisierte Bedrohungsjagd und Analysten-Ergänzung sind nicht mehr optional; sie sind die Art und Weise, wie ein SOC mit einem KI-gestützten Gegner Schritt hält. Wenn sie KI-gestützt sind und wir es nicht sind, summiert sich die Lücke mit jedem Zyklus.

Dadurch entsteht ein neuer Akteur, den das Modell regieren muss. Bei Syntax denken wir bereits über KI-Agents als Teil der Org-Chart nach, neben Menschen, was die Messlatte für die Sicherung setzt. KI-Agents benötigen alles, was wir menschlichen Benutzern geben (Identität, rollenbasierte Berechtigungen, Aktivitätsprotokolle, Verhaltensbaselines) plus die gleichen Eingrenzungshebel, die wir auf kompromittierte Konten anwenden: die Fähigkeit, zu deaktivieren, zu isolieren und zu widerrufen. Der Unterschied liegt in der Geschwindigkeit. Agents handeln in Millisekunden, sodass diese Hebel sofortig und automatisch sein müssen, nicht am Ende eines Vorfallreaktionsworkflows.

Bei Syntax hat unser Global Security Operations Center begonnen, sich so zu entwickeln, dass KI den menschlichen Analysten ergänzt, während unsere Mitarbeiter agierende Workflows und Agents innerhalb der Syntax-GenAI-Plattform aufbauen, die standardmäßig Schutz vor Voreingenommenheit, Giftigkeit und Kontrollen für Datenschutz und Sicherheit bietet.

Das ist die Neubewertung. KI als Ziel verteidigen. KI als Verteidiger einsetzen. KI-Governance umsetzen.

Gibt es oft eine Spannung zwischen Geschwindigkeit und Kontrolle. Wie können Organisationen Innovationsgeschwindigkeit beibehalten und gleichzeitig sinnvolle Kontrollen und Schutzmaßnahmen für KI-Systeme implementieren?

Geschwindigkeit und Kontrolle scheinen Gegensätze zu sein, bis man Governance entwickelt, die mit dem Projekt mitreist, anstatt es zu blockieren. Der Fehler liegt darin, Governance am Tor zu platzieren: ein Ausschuss, eine Freigabe, eine quartalsweise Überprüfung. Wenn das Tor geöffnet wird, hat das Team entweder einen Weg drumherum gefunden oder den Schwung verloren. Das Modell, das funktioniert, sind Prozesse, die mit Governance neu definiert werden. Klare und konsistente Kommunikation ist der Ausgangspunkt, gefolgt von vorab genehmigten Mustern, vorab freigegebenen Datenflüssen und vordefinierten Berechtigungsvorlagen. Teams erhalten Geschwindigkeit, Sicherheitsteams erhalten Sichtbarkeit, und der Kompromiss, den jeder annimmt, stellt sich als schlecht konzipierter Prozess heraus. Dies geht alles um das Ausbalancieren von Sicherheit mit Innovation gegen den Risikohunger jeder Organisation.

Sie haben an großen Cybersicherheitsstrategien und Vorfallreaktionen gearbeitet. Wie verändert die Einführung von KI die Natur von Cyber-Bedrohungen und die Art und Weise, wie Organisationen sich darauf vorbereiten sollten?

KI beschleunigt die Bedrohungen über verschiedene Vektoren hinweg. Skalierbarkeit: Phishing und Reconnaissance mit Maschinengeschwindigkeit gegen Tausende von Zielen gleichzeitig. Komplexität: Deepfake-gesteuerte soziale Manipulation, die Sprach- und Videoverifizierung überwindet. Identität: synthetische Identitäten, die Identitätsprüfungen bestehen, die für Menschen konzipiert sind.

Für die Vorfallreaktion haben die Auswirkungen operationale Bedeutung. Man benötigt Erkennung, die nicht auf menschliche Mustererkennung angewiesen ist. Man benötigt Verifizierungsprotokolle, die davon ausgehen, dass Sprache und Video gefälscht werden können. Und man benötigt Vorfallreaktions-Handbücher, die explizit KI-bezogene Vorfälle abdecken, da die Wiederherstellungsschritte nicht dieselben sind wie bei einem Erpressungstrojaner-Vorfall.

Bei Syntax, wie sieht “sicher durch Design” KI in einem komplexen, realen Unternehmensumfeld aus?

Bei Syntax bedeutet es, Innovation und Sicherheit durch die Einführung unserer GenAI-Plattform mit integrierten Schutzmaßnahmen, unsere genehmigten, eingeschränkten und verbotenen GenAI-Dienste und -Anwendungen, Modelle und Plattformen sowie durch die Förderung einer sicherheitsorientierten Kultur durch unser KI-Governance-Büro zu balancieren. Für unsere globale Sicherheitsorganisation bedeutet es, sich als Enabler für das Geschäft und nicht als Blockierer zu positionieren, das Geschäft bei seinen strategischen Prioritäten zu unterstützen, während wir Syntax im Einklang mit unserem Risikohunger schützen.

Es gibt eine wachsende Erzählung, dass Sicherheit und Compliance nicht mehr Blockierer, sondern Treiber des Wachstums sind. Was muss kulturell und operativ ändern, damit Organisationen diese Einstellung wirklich annehmen?

Der größte Wandel ist, was Erfolg aussieht. Sicherheitsteams wurden jahrzehntelang danach bewertet, was nicht passierte: keine Verletzungen, keine Vorfälle, keine Prüfungsergebnisse. Diese Metrik belohnt das Sagen von Nein. Teams, die als Treiber agieren, messen etwas anderes: Geschäfte, die wegen kontrollierbarer Sicherheit gewonnen wurden, Starts, die ihr Datum erreichten, weil Sicherheit den Weg freimachte, und Innovationen, die durch Governance gingen, anstatt drumherum.

Operativ benötigt es Prozesse, die mit Governance neu definiert werden, gepaart mit aktiver Unterstützung wie unserer GenAI-Plattform, die sichere den einfacheren Weg macht, und zugängliche KI-Bildung und -Programme, wie unsere KI-Champions-Initiative.

Kultur folgt dem, was man belohnt und ermöglicht. Ändern Sie, was man belohnt, und equippen Sie die Menschen mit den richtigen Werkzeugen und der richtigen Ausbildung zur richtigen Zeit, und Sie ändern, was sie tun. Dies ist die Reise, die Syntax unternimmt.

Da KI immer mehr in Unternehmensworkflows eingebettet wird, wie sollten CISOs mit KI-Führern, Datenwissenschaftlern und Produktteams zusammenarbeiten, um Verantwortlichkeit zu gewährleisten, ohne den Fortschritt zu behindern?

Der CISO, der wartet, bis er eingeladen wird, wird zu spät kommen. Der CISO, der frühzeitig erscheint, mit praktischen Mustern anstatt politischer Einwände, wird zum Partner, den KI-Projekte wirklich am Tisch haben wollen. In der Praxis bedeutet dies gemeinsame Design-Sitzungen mit KI-Teams, Sicherheitsabnahmen, die neben funktionalen Abnahmen sitzen, anstatt danach, und eine offene Türpolitik. Dies ändert das Gespräch von “Abteilung Nein” zu “Ja, aber” oder “Nein, aber” als williger und kooperativer Partner für das Geschäft.

Wenn man in die Zukunft blickt, glauben Sie, dass wir ein standardisiertes globales Rahmenwerk für KI-Governance sehen werden oder ob Organisationen ihre eigenen internen Vertrauensarchitekturen aufbauen müssen, unabhängig von der Regulierung?

Beides, in dieser Reihenfolge. Wir werden eine schrittweise Konvergenz auf eine kleine Anzahl regionaler Rahmenwerke sehen, das EU-KI-Gesetz zuerst, gefolgt von anderen mit lokalen Variationen. Wir werden in diesem Jahrzehnt keinen globalen Standard sehen, aufgrund der geopolitischen Fragmentierung. Organisationen werden also zwei Dinge parallel tun: sie werden der Rahmenwerkordnung entsprechen, die für ihren größten Markt gilt, und eine interne Vertrauensarchitektur betreiben, die den schwächsten Rahmenwerkstandard übertrifft. Die interne Architektur ist wichtiger als der externe Standard, weil Regulierungsbehörden langsam handeln und Bedrohungen nicht. Die Unternehmen, die interne Vertrauensarchitekturen jetzt aufbauen, werden das nächste Jahrzehnt damit verbringen, jedem neuen Regulator zu sagen: “Wir machen das bereits”.

Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten Syntax besuchen.

mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.