Walter Hölblinger, CIO der Steyr Mannlicher GmbH leitet gemeinsam mit Jimmy Heschl und Franz Hoheiser-Pförtner beim Confare CIO SUMMIT 2018 die CIO Executive Arena zum Thema: Cybersecurity und Digitale Ecosysteme – So schaffen Sie den Spagat zwischen Offenheit und Sicherheit.
Im Blog spricht er mit uns über die wichtigsten IT-Security Risiken und welche IT-Security Hausgaben der CISO erledigen muss.
Welche Bedeutung hat der CISO für den Unternehmenserfolg im Digitalen Zeitalter?
Dazu muss ich ein wenig weiter ausholen, denn die Rolle des CISO ist in österreichischen Unternehmen immer noch eine sehr selten anzutreffende. Dies ist aber nicht verwunderlich, denn es handelt sich hier um eine organisatorische Evolution im Bereich der IT -Security. Während früher die Thematik nur sehr rudimentär behandelt wurde, ist IT-Security heutzutage eine ganz klare Aufgabe des CIOs. Da die Bedrohungen und deren Absicherungen aber so umfangreich geworden sind, ist eine „Auslagerung“ an eine explizit dafür geschaffene Stelle, sprich den CISO, einerseits unumgänglich und zugleich auch der nächste logische Entwicklungsschritt.
Der CISO wiederum versucht die Balance innerhalb der sogenannten CIA Triade (Confidentiality, Integrity und Availability) zu halten. Ein Geschäftsmodell kann im Digitalen Zeitalter ohne der permanenten Einhaltung von Vertraulichkeit, Integrität und Verfügbarkeit weder dauerhaft bestehen noch wachsen. Somit ist der CISO für den Unternehmenserfolg ein wesentlicher Faktor.
Angriffe bleiben immer öfter unbemerkt – wie kann man mit dieser diffusen Bedrohungslage umgehen?
Ein Lösungsansatz ist, auf neue KI Lösungen zu setzen. Diese lernen das Netzwerk, die Benutzer und deren Verhaltensweisen kennen. Verhält sich ein Anwender oder ein Client auffällig, so wird dies als Anomalie gemeldet. Letztendlich entscheidet dann aber wieder ein Mensch, ob es sich hier um eine tatsächliche Bedrohung handelt oder nicht. Faszinierend finde ich dabei aber die Tatsache, dass diese neuen Lösungen nicht mehr nur aufgrund einer rein technischen Logik, sondern auch aufgrund von mathematischen Modellen arbeiten.
Fakt ist jedoch, dass es niemals ein hundertprozentig sicheres IT-System geben wird. Deshalb ist es wichtig, dass man sich bereits vorab auf den Tag X vorbereitet.
Ein gut ausgearbeiteter und getesteter Business Continuity Plan (BCP) bzw. ein Disaster Recovery Plan (DRP) stellen sicher, dass im Fall des Falles alle notwendigen Maßnahmen effektiv und effizient durchgeführt werden. Dadurch können auch Ausfallszeiten und der damit verbundene monetäre Schaden minimiert werden. Dabei gilt es zu erwähnen, dass mittlerweile immer mehr Versicherungsunternehmen entsprechende Cyber Risiko Versicherungen, zur Absicherung des Restrisikos, anbieten.
Was sind die wichtigsten IT-Security Risiken, mit denen man sich als CIO befassen sollte?
Ich denke es ist wichtig, dass man dieses Thema möglichst global betrachtet und sich nicht auf eine Sache festlegt. Die Kunst dabei ist es, einen Überblick über all die unterschiedlichen Bedrohungen zu besitzen. Auch aus der Historie heraus kann man sehr viel lernen, denn das Vortäuschen einer falschen Identität (CEO Fraud) praktizierte die Hackerlegende Kevin Mitnick bereits weit vor der Jahrtausendwende sehr erfolgreich. Oder anders gesagt, man sollte nicht nur in eine Richtung blicken, sondern in viele.
Ein sehr guter Lösungsansatz dafür ist das sogenannte IT-Security Wirkungsnetzdenken.
Welche Investitionen sollte man auf jeden Fall beim CEO durchboxen, um als CISO noch gut schlafen zu können?
Eine hervorragende Frage, auf die es allerdings keine einzig wahre Antwort gibt. Viel zu unterschiedlich sind heutzutage die Geschäftsmodelle, die Anforderungen und die Bedrohungen der Unternehmen. Dass ein CISO heutzutage seine IT-Security Hausaufgaben – Firewall, mehrstufiger AV Schutz, Patch Management, BCP, DRP, … – erledigt haben muss, versteht sich von selbst.
Im Idealfall muss ein CISO aber beim CEO auch nichts durchboxen, denn der CISO sollte in der Lage sein, komplexe Dinge dem CEO verständlich zu vermitteln und dadurch ein Bewusstsein und ein Risikoverständnis zu schaffen. Der CISO wird dann auch als eine „echte C Level Person“ und nicht mehr nur als kostenverursachender Verhinderer wahrgenommen.
Abschließend möchte ich noch anmerken, dass das Feld der IT-Security ein spannendes und zugleich sich unglaublich schnell veränderndes ist. Man darf nie stehen bleiben und muss sich permanent an neue Herausforderungen anpassen. Und bei all diesen Bemühungen darf man jedoch nicht vergessen, dass das was wir heute tun immer nur die zweitbeste Lösung ist. Das Beste liegt – auch im Bereich der IT-Security – immer vor uns.
