Expertin des Monats

Mai 2022

Andra Mertl, MSc

INTERVIEW MIT ANDRA MERTL

Was steht auf Ihrer Visitenkarte?
Andra Mertl, MSc
GCFA, ISO27001 Lead Auditor
Managerin im Bereich IT Advisory, Cyber Security bei KPMG Österreich

Was macht die KPMG Österreich genau?
KPMG in Österreich ist ein multidisziplinär aufgestelltes Prüfungs- und Beratungsunternehmen, das Dienstleistungen in den Geschäftsbereichen (Functions) Audit, Tax, Advisory und Law erbringt. In der Function Audit, also der Wirtschaftsprüfung, bietet KPMG die klassischen Jahres- und Konzernabschlussprüfungen genauso wie andere kund:innenspezifische Services an, die eine Zusicherung umfassen. Ergänzend werden rechnungslegungsspezifische Beratungsleistungen erbracht. Der Bereich Tax beinhaltet alle Leistungen im Rahmen der Steuerberatung. Der Bereich Advisory (Management Consulting, Risk Consulting und Deal Advisory) bündelt das Fachwissen zu betriebswirtschaftlichen, strategischen, regulatorischen, transaktionsorientierten und IT-Themen einschließlich Cyber Security. Unser Angebot im Bereich Law reicht von Beratungsleistungen für Mergers and acquisitions, Arbeitsrecht, Bank- und Kapitalmarktrecht, Finanzierung, Kartellrecht, Gesellschafts- und Unternehmensrecht, öffentliches Wirtschaftsrecht, Vergaberecht, Dispute Resolution, IT- und Datenschutzrecht bis zu Energierecht.

Als Verbund rechtlich selbstständiger, nationaler Mitgliedsfirmen ist KPMG International mit ca. 236.000 Mitarbeiter:innen in 145 Ländern eines der größten Wirtschaftsprüfungs- und Beratungsunternehmen weltweit.

In Österreich ist KPMG mit mehr als 1.800 Mitarbeiter:innen an 8 Standorten präsent.

Was machen Sie genau?
In meiner Position kümmere ich mich um die Ende-zu-Ende Leitung von kleinen und großen IT Security Projekten. Dabei stehe ich meinen Kolleg:innen sowie den Kund:innen als Fachexpertin für Fragen zu komplexen Aufgabenstellungen jederzeit zur Verfügung. Im Rahmen der Projekte übernehme ich dabei die Koordination und die Planung der Mitarbeiter:innen aus unserem Team und arbeite aber auch operativ bei der Ausarbeitung der Arbeitspakete mit. Im Projektabschluss verantworte ich Endberichte sowie -präsentationen und stelle sicher, dass sich meine Kund:innen gut beraten gefühlt haben.

Die typischen Projekte in meiner Pipeline reichen von kleinen Workshops im Gesamtumfang von wenigen Tagen bis hin zu monatelangen, strategischeren Beratungen.

Inhaltlich habe mich auf Incident Response & Digital Forensics (DFIR) spezialisiert. In diesem Bereich helfen wir unseren Kund:innen dabei sich besser auf drohende Cyberangriffe vorzubereiten, indem wir ihre Reaktionsmöglichkeiten und Resillienz auf technischer sowie organisatorischer Ebene verbessern. Dabei folgen wir den Leitfragen „Was muss getan werden“ und „Wie muss es getan werden“. Die Kund:innen erhalten somit Feedback und Input zu organisatorischen und technischen Lücken.

Neben Workshops stehen auch Notfallübungen an der Tagesordnung, bei denen wir gemeinsam mit den Kund:innen Cyberangriffe simulieren, um ihre Prozesse, Wissen und technische Möglichkeiten zu betrachten. Durch eine möglichst realitätsnahe Übung können gut Gaps identifiziert werden, die durch reine Workshops und Beratung nicht erkennbar wären.

Dies läuft typischerweise so ab, dass uns Ansprechpartner:innen seitens der Kund:innen zur Verfügung gestellt werden. Gemeinsam mit unseren Ansprechpartner:innen planen wir einen detaillierten, aber fiktiven, Angriffsplan. Anschließend führend wir mit den Fachexpert:innen der jeweiligen Organisation die Simulation durch. Im Anschluss der Übung gibt es eine Lessons-Learned-Session mit allen Übungsteilnehmer:innen, bei welcher die Abläufe und Inhalte nochmal reflektiert und Verbesserungspotentiale identifiziert werden. Das Ziel dabei ist, unsere Kund:innen auf die Beseitigung der Bedrohungen und die Rückkehr zu einem Normalzustand der Geschäftstätigkeit und -fähigkeit vorzubereiten.

Mein persönlicher Favorit in meinem Job ist aber das aktive Incident Response. Dabei kontaktieren uns Kund:innen, die akut von einem IT-Sicherheitsvorfall betroffen sind und Expert:innenunterstützung benötigen. Da kann es schon mal vorkommen, dass man mehrere Wochen damit beschäftigt ist herauszufinden, wie in das Netzwerk eingedrungen wurde, ob und welche Daten gestohlen wurden und wie Angriffe wieder sicher und vollständig entfernt werden können. Dabei sind eine Menge an Disziplinen erforderlich wie digitale Forensik, Netzwerksicherheit aber auch die Kenntnis von typischen Hacks und Angriffen auf eine Active Directory Domäne oder andere IT-Komponenten.

Was fasziniert Sie an Ihrem Job?
Die Entscheidung mich im Bereich DFIR zu spezialisieren habe ich getroffen, weil Cyberangriffe Realität sind und es jeden treffen kann, von Privatperson bis hin zu großen Organisationen. Aufgaben in diesem Bereich sind unheimlich abwechslungsreich. Gerade die Reaktion auf akute Sicherheitsvorfälle erfordert viel Erfahrung mit Cyberangriffen, Stress- und Krisensituationen sowie menschliches Geschick. Typischerweise herrscht in so einem Fall ein Ausnahmezustand, da ist es meine und unsere Aufgabe als Team diese Situation geordnet zu koordinieren und die Fragen „Was ist wie, wo und wann passiert?“zu klären. Der enge Kontakt mit unseren Kund:innen macht mir sehr viel Spaß und man lernt tolle Leute kennen. Mir gefällt die Balance zwischen einem geordneten Arbeitsalltag aber auch zu wissen, dass jederzeit ein Notfall gemeldet werden kann, der meine ganze Flexibilität erfordert. Jedes meiner Projekte gibt mir am Ende des Tages das Gefühl, eine wertvolle Unterstützung für die Kund:innen gewesen zu sein.

Wie hoch ist der Frauenanteil in technischen Positionen bei KPMG Österreich?
Der Frauenanteil in technischen Positionen bei KPMG Österreich liegt über alle Bereiche hinweg bei 22,5%, Tendenz steigend. Die Zunahme haben wir in den letzten Jahren deutlich gespürt, der Anteil ist fast um ein Drittel gewachsen. Die Anzahl von Mitarbeiterinnen im technischen Bereich weiterhin zu steigern, ist ein zentrales Ziel von KPMG. Hierfür haben wir verschiedene Programme und setzen an verschiedenen Stellen den entsprechenden Fokus darauf. Dabei spielen alle Kolleginnen in technischen Berufen eine wichtige Rolle als Vorbilder.

Was unternimmt die KPMG Österreich zur Förderung von Chancengleichheit in der Organisation?
Mit mehreren nationalen und internationalen Initiativen verfolgt KPMG seit vielen Jahren das Ziel zur Förderung von Chancengleichheit. Beispielsweise wurde mit dem internationalen Programm „Women in Cyber“ eine Community geschaffen, in der Frauen in der Cyber Security Branche gefördert werden. Dabei werden Projekte vorgestellt und ein regelmäßiger Austausch in Expertinnenrunden zu tagesaktuellen Themen findet statt. Das Programm soll vor allem auch neuen und jungen Expertinnen und Quereinsteigerinnen, den Zugang zu technischen Themen erleichtern und alle Möglichkeiten innerhalb von KPMG auf internationaler Ebene aufzeigen.

Ein Beispiel für eine nationale Initiative ist unser Business-Mentoring-Programm, welches sich an weibliche High-Potentials richtet. Ziel ist es, Frauen zu fördern und die Anzahl von Frauen auf Führungsebene mittelfristig zu erhöhen. Weiters setzen wir mit dem Programm KNOW (KPMGs Network of Women) auf die Stärkung des Bewusstseins für Diversität und unterschiedliches Führungsverhalten. Weibliche Führungskräfte werden gezielt unterstützt, ihre Ambitionen und Karriereziele bei KPMG zu verwirklichen. Das Format fördert den Austausch von Wissen und Erfahrung mit anderen Kolleginnen.

Außerdem haben wir im Jahr 2021 das KITE Programm, das KPMG Information Technology Education Programm, ins Leben gerufen. Das Programm gewährt praxisnahe Einblicke in Technologiethemen und bietet Quereinsteiger:innen den Zugang zu einem umfassenden Schulungsprogramm mit der Möglichkeit zur Spezialisierung im technischen Bereich. Das Programm zielt nicht explizit auf die Förderung von Frauen in technischen Berufen ab, allerdings konnten wir damit weitere Kolleginnen für uns begeistern.

Sie haben Wirtschaftsinformatik studiert, wie kam es zu dieser Entscheidung?
Ich habe mich für ein Studium der Wirtschaftsinformation entschieden, da ich nach der Hauptschule eine Handelsakademie besucht habe und mich die Kombination von Wirtschaftlichem und Technischem faszinierte. In diesem Fall fiel meine Entscheidung auf das Wirtschaftsinformatik-Studium. Oft ist es für Techniker:innen schwierig mit Betriebswirt:innen auf einer Wellenlänge zu sprechen und umgekehrt. Ich wollte das Bindeglied zwischen beiden Bereichen sein.Ich bin zuversichtlich, dass das Studium dazu beigetragen hat mich in meiner Rolle zu finden und mit unterschiedlichen Zielgruppen Gespräche auf Augenhöhe führen zu können. Dabei geht es in vielen Fällen auch darum, komplexe Sachverhalte für das richtige Zielpublikum aufzubereiten und wiederzugeben.

Fortgesetzt wurde das Studium in der Spezialisierung Informationsmanagement und Computersicherheit an der Fachhochschule Technikum Wien. Wie kam es dazu?
Daten und Informationen sind ein besonders schützenswertes Vermögen sowohl für Organisationen als auch für Privatpersonen. Mit dieser Prämisse und mit dem Gedanken die Lücke zwischen Technik und Wirtschaft zu schließen, entschied ich mich zu einer Spezialisierung im Bereich des Informationsmanagements und der Computersicherheit. Da ich grundsätzlich sehr neugierig bin, gefiel mir die Idee in diesem noch technischerem Studium verschiedene Dinge auszuprobieren. Mein Interesse, und die spätere Spezialisierung, an dem DFIR Bereich, wurde während meiner ersten beruflichen Erfahrung geweckt. Wir sprechen immer von Angriffen und was diese eigentlich für Auswirkungen in Organisationen aller Größen bewirken können, da wollte ich einfach auf Bit und Byte verstehen, wie so etwas funktionieren kann.

Was braucht es Ihrer Meinung nach noch, damit mehr Mädchen und Frauen in Naturwissenschaft und Technik Fuß fassen?
Meiner Meinung nach bedarf es ein gesamtheitliches Umdenken. Das bedeutet, dass wir auch als Gesellschaft Maßnahmen setzen müssen. Ich bin sicher, dass sich auch Frauen für technische Berufe interessieren würden, wenn man aber von Geburt an noch immer ständig mit klassischen Rollenbildern aufwächst, wird den Mädchen und Frauen diese Neugier Stück für Stück abtrainiert. 

Zusätzlich zum angesprochenen Umdenken, benötigen wir auch entsprechende Förderungen und Programme, um hier auch klassische Bilder zu durchbrechen. Die Programme können sich dabei unterschiedlich gestalten, meiner Meinung nach, müssen wir anfangen die Programme bereits im frühen Alter zur Verfügung zu stellen – angefangen bei der schulischen Ausbildung. Wir leben in einer Welt, in der digitale Systeme nicht mehr wegzudenken sind und entsprechend können die Pfade sehr individuell und vielfältig gelegt werden. Die breiten Möglichkeiten, die wir haben, sollten aufgezeigt werden – wie zB auch hier durch die FEMtech Expertinnen-Vorstellung.

Ich würde mir wünschen, mehr Frauen in technischen Berufen zu sehen. Das Feld ist unglaublich interessant und spannend und auch das Arbeitsumfeld empfinde ich als sehr angenehm. Das betrifft nicht ausschließlich die KPMG als Arbeitgeber:in. Die ganze IT Security Branche ist geprägt von einer lockeren Arbeitsatmosphäre, einem fairen und gleichberechtigten Miteinander und wenig Konfliktpotential.

WORDRAP MIT ANDRA MERTL

Womit ich als Kind am Liebsten gespielt habe:
Mit Puppen, draußen mit meinen Freundinnen und Freunden und das Computerspiel Mortal Kombat – ich besitze heute noch die Disketten :)

Dieses Studium würde ich jetzt wählen:
Ich würde den gleichen Ausbildungsweg wieder wählen – Handelsakademie, Studium der Wirtschaftsinformatik , IT-Security.

Mein Vorbild ist:
Meine Mutter mit ihrer Genauigkeit, ihrer Stärke und ihrer beruflichen Professionalität.

Was ich gerne erfinden würde:
Ein nicht-abgekapseltes Netzwerk an Systemen, dass zu 100% vor Angriffen sicher ist.

Wenn der Frauenanteil in der Technik 50 Prozent beträgt …
… ist dies ein Nachweis, dass die Maßnahmen gefruchtet haben, wir aber in diesem Bereich trotzdem noch viel zu tun haben.

Wenn der Frauenanteil in Führungspositionen 50 Prozent beträgt …
… ist die Welt ein Stück schöner und Entscheidungen werden nachhaltiger und langfristiger getroffen.

Was verbinden Sie mit Innovation:
Antworten auf Probleme durch kreative Lösungen zu finden.

Warum ist Forschungsförderung in Österreich wichtig:
Forschungsförderung ist wichtig, um den technologischen Fortschritt voranzutreiben und um Knowhow und Fähigkeiten in unserem Land zu entwickeln und zu halten. Es wäre schade, wenn es für die klügsten Köpfe unseres Landes keinen Anreiz gibt, ihr Wissen in die Schaffung von neuem Wissen zu investieren.

Meine Leseempfehlung lautet:
Kevin Mitnick – The Art of Deception – dieses Buch zeigt ganz gut auf, was vor Jahren galt und heute noch gilt, nämlich, dass jede und jeder einen bedeutenden Teil zum Erreichen und Bewahren der Sicherheit innerhalb einer Organisation beitragen kann.