Jürgen Renfer ist CIO und CDO der Kommunalen Unfallversicherung Bayern. Vertrauen und Sicherheit sind ein wichtiges Element für das Selbstverständnis des Unternehmens. Auch im IT-Umfeld! Im Zuge der Recherche für das kommende Confare Factsheet „Cybersecurity Update 2022“ in Kooperation mit T-Systems Alpine Region wollten wir von Jürgen wissen, wie Cloud, Digitale Transformation und moderne Bedrohungen die Rolle der IT-Security im Unternehmen verändern.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
In Anbetracht der aktuell weiter wachsenden Cyber-Bedrohungslage mit bedauerlich eindrücklichen Praxis-Beispielen – besonders in pandemisch geprägter Home Office-Arbeitskultur – kommt professioneller Cybersecurity-Implementierung im digital aufgestellten Unternehmensumfeld aller Größenklassen entscheidende, weil betriebsrelevante Bedeutung zu: ein einziger erfolgreicher Angriff kann im schlechtesten Fall ein ganzes Unternehmen in kürzester Zeit auslöschen.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Technische wie organisatorische Maßnahmen sind die zentralen Elemente ganzheitlicher Cybersecurity: herausragend sind Wahrnehmung bei allen Beschäftigten und ebenso des Managements im Unternehmen. Letzteres muss als gutes Beispiel vorangehen und damit seiner Promotoren-Rolle gerecht werden.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
Zunächst sind Verantwortlichkeiten zwischen CIO, CISO und iDSB zu klären und klar abzugrenzen, ohne Verantwortungslücken zu hinterlassen. Sodann wird sich die Cybersec-Architektur an der unternehmensspezifischen Gesamtarchitektur ausrichten müssen. Blue Prints oder one size fits all-Ansätze funktionieren in der Regel schon infolge der Asymmetrie zwischen individuellem – häufig historisch gewachsenen – Schutzgut und Vielfalt der Angriffsverktoren nicht.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Geschwindigkeit – Die Fähigkeit dazu erlangt man durch vorherige Strategiebildung und anschließend ständige Übung.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Spätestens als letztes Mittel: Haftungshinweise. Besser vorher sanfte Konfrontation mit einschlägigen, in der Presse bedauerlich häufig dokumentierten Praxis-Vorfällen und damit verbundenen wirtschaftlichen, rechtlichen und Reputations-Folgen, die durch Cybersecurity in der Regel deutlich minimiert aber nie verhindert werden können.
Weil sich Cyber-Viren recht ähnlich zu echten Viren verhalten, kann ein Gleichnis mit Impfen sowie Booster-Auffrischungen helfen, den Abstraktionsgrad der Diskussionen zu Cyber-Schutzmaßnahmen zu reduzieren: Infektionen sind trotz aller Vorsorge-Maßnahmen nie auszuschließen; jedoch lassen sich die Folgen durch geeignete Prävention deutlich mildern.