OUT NOW im #ConfareBlog mit Confare #ImpactChallenge Nominee Jürgen Renfer:
Wie CyberSec Profis aus Unternehmen einen gesellschaftlichen Beitrag leisten
CIOs und IT-Manager machen die Welt zu einem besseren Ort. Sie leben neue Führungsprinzipien vor, schaffen die Voraussetzungen für Nachhaltigkeit und Umweltschutz oder helfen gesellschaftlichen Herausforderungen mit Digitalisierung und Technologie erfolgreich zu begegnen. Sie verändern Unternehmen oder sogar ganze Branchen, helfen Menschen, die in Not sind und leben gesellschaftliche Verantwortung vor.
Die Gewinner werden beim Confare #CIOSUMMIT Frankfurt gekürt. Wollen Sie persönlich die besten Beispiele erleben? Melden Sie sich jetzt hier an.
Wir stellen Ihnen die Nominierten im Confare Blog vor: Jürgen Renfer ist CIO und CISO der KUVB in Personalunion. Eine organisatorische Positionierung, die gerne kritisiert wird. Schließlich ist der CISO mitunter auch ein Kontrollorgan für die interne IT. Doch wer Jürgen kennt, weiß, dass Sicherheit eine Herzensangelegenheit für ihn ist. Gleichzeitig ist Verwaltungsmodernisierung ein wichtiges Anliegen für ihn, das er mit derselben Begeisterung verfolgt. Es ist naheliegend, dass Jürgen einer der ersten ist, die sich ehrenamtlich engagieren um die Digitale Transformation der Gesellschaft sicher zu machen. Im Bloginterview beschreibt er, was CIOs und CISOs als sogenannte corporate citizen beitragen können.
Jürgen und weitere hochkarätige IT-Leader können Sie mit Ihrer Stimme beim täglichen Online-Voting aktiv unterstützen.
Wie siehst Du die gesellschaftliche Bedeutung von Cybersecurity?
Digitalisierung dominiert die Welt und hat auf nahezu alle Lebensbereiche existenziellen Impact: wir sind davon abhängig. Ohne Verfügbarkeit digitaler Systeme würden viele Lebensbereiche lahmgelegt: von der Grundversorgung mit Wasser und Energie über Transport- und Verkehrswesen bis hin zur Kommunikation. Das gilt insbesondere auch für viele Funktionen der öffentlichen Daseinsvorsorge, was bspw. während der Coronakrise im öffentlichen Gesundheitsdienst auffiel. Analoge Ersatzlösungen sind zwar möglich, erfordern jedoch enorme Kraftanstrengungen. Deshalb ist es unabdingbar, sich der Breite und Tiefe digitaler Abhängigkeiten nicht nur bewusst zu werden, sondern auch gesellschaftliche Resilienz für Störungen in gewohnten digitalen Prozessen zu fördern. Aufgrund der seit Jahren stark steigenden Cyber-Bedrohungslage sind zwangsläufig auch Digitalsysteme latent massiv gefährdet. In Verbindung mit den voraus skizzierten Abhängigkeiten muss der gesellschaftlichen Bedeutung von Cybersecurity zur Stärkung der Cyber- und damit auch der Digitale-Resilienz enorm hohe Bedeutung zugmessen werden:
einzelne Angriffe können massive flächendeckende Schäden zur Folge haben. Das erkennt übrigens zunehmend der Gesetzgeber auf EU-, Bundes- und Föderal-Ebenen, indem die CyberSec-Regulierung für private wie public sector stark novelliert und dabei grundlegend ausgeweitet wird, so insbesondere durch die sog. NIS2 EU-Richtlinie (Network and Information Security Directive) und weitere Regelungen wie bspw. den EU-CRA /Cyber Resiliance Act).
Bleibt zu beobachten, ob die damit erwarteten Effekte zum Nutzen stärkerer Cyber- und damit Digital-Resilienz gegen Störungen etablierter Prozesse im Rahmen der jeweils nationalen Umsetzungen rechtzeitig eintreten werden. Daneben sind wir natürlich alle aufgefordert, uns mit dieser neuen Form allgemeiner Lebensrisiken auseinanderzusetzen und ebenso wie gegen die Risiken der analogen Welt zu schützen.
Cybersecurity: Können Cyberrisiken den Fortschritt der digitalen Transformation in Wirtschaft und Gesellschaft gefährden?
Ja! Aus der massiv gestiegenen, sog. konkreten Cyber-Gefährdungslage erwachsen Gefährdungen hinsichtlich zweier grundsätzlicher Perspektiven. Einerseits erfordert eine wirksame Cyberabwehr erheblichen Aufwand in Soft- und Hardware als auch organisatorische, bspw. Sensibilisierungs-Maßnahmen. Derzeit sind CyberSecAbwehranteile von einem Viertel am Gesamtbudget für Digitalisierungs- und Transformationsmaßnahmen keine Seltenheit mehr. Neben klassischen technischen Schutzmaßnahmen gestalten sich bspw. Software-Entwicklungsprozesse deutlich aufwändiger, in dem die Software-Lieferkette detailliert analysiert und dokumentiert wird oder das DevOps-Modell zu DevSecOps erweitert ist. Es kommt deshalb darauf an, ob dafür erforderliche Mittel zusätzlich zum oder als Anteil vom Digital-Gesamtbudget in Ansatz gebracht werden. Im zweiten Fall fehlen sie dem Kernbereich, der dadurch weniger bzw. langsamer vorankommen wird.
Andererseits kann die Nutzungs-Akzeptanz digital transformierter Prozesse sinken, denn Sicherheit für und Komfort durch Digitalprozesse sind naturgemäß Antipoden: begonnen beim Handling notwendiger Zwei-Faktor-Authentifikation, weiter über lange, komplexe und kurzlebige Passworte bis hin zur generellen Verunsicherung aufgrund zunehmender Cyber Risiken und realer Vorkommnisse wie bspw. Datenabflüssen mit nachfolgender Veröffentlichung hochpersönlicher Informationen bzw. Identitätsdiebstahl können Nutzende zum verringerten Konsum digitaler Anwendungen und Verharren bei tradierten analogen Lösungen motivieren. Diese neue Form des sog. chilling effects, der ursprünglich als zurückhaltende Nutzungsfrequenz-Reaktion auf Massendatenüberwachungs-Vorhaben wie bspw. den NSA-Enthüllungen durch Edward Snowden in den 2010er-Jahren diskutiert wurde, lässt sich aufgrund der Cyberrisiken in ähnlicher Weise in Ansätzen beobachten: was nicht als hinreichend sicher gilt oder zur Herbeiführung hinreichender Sicherheit zu aufwändig erscheint, wird schlichtweg zurückhaltender genutzt.
Deshalb müssen digitale Sicherheitsmechanismen für die breite Anwendungspraxis ebenso einfach und selbstverständlich wie die Nutzung von Sicherheitsgurten, Knautschzonen, Airbags und intelligenten Warn-/Assistenzsystemen in Kraftfahrzeugen Produkt-inhärent designt werden. Das ist nicht alleine die Aufgabe der Infromatiker:innen und CyberSecExpert:innen, sondern erfordert interdisziplinäre Teams angereichert um bspw. Designer:innen, Soziolog:innen und Psycholog:innen, die Sicherheit ganzheitlich denken.
Wie wichtig ist Gemeinam.Besser.Machen im Security Umfeld?
Essenziell! Das hochvolatile Digitalisierungsgeschehen findet im CyberSec-Kontext nochmals weitere Beschleunigung, quasi von Überschall- in Warp-Geschwindigkeit. Umgekehrt ist Sicherheit immer auch eine Frage der Reaktionsgeschwindigkeit: Schäden werden verhindert oder zumindest vermindert, umso schneller zielgenaue Gegenmaßnahmen eingeleitet werden. Beide Geschwindigkeitsvektoren sind gegenläufig, also müssen Express-Reaktionen bei Hochgeschwindigkeit erfolgen. Erschwerend kommt die Asymmetrie zwischen breiten Angriffsflächen und begrenzten Präventions-, Detektions- und Reaktions-Ressourcen hinzu. Das Ergebnis dieses schwer beherrschbaren Mix lässt sich kalendertäglich beobachten: derzeit vergeht kaum ein Tag ohne nennenswerte CyberSec-Vorfälle, die querbeet Alle treffen: von Privatanwendenden bis zu Großkonzernen, ob unzureichend oder umfassend geschützt.
Daher ist eine starke, lebendige und eng vernetzte Community mit der daraus resultierenden Schwarmintelligenz wie Gemeinsam.Besser.Machen ein wichtiger Baustein neben weiteren Möglichkeiten, den Cyber-Gefahren zu trotzen oder zumindest Auswirkungen zu reduzieren.
Wie zufrieden bist Du mit der Zusammenarbeit in der CIO- und CISO-Community bei der Abwehr von Cyber-Bedrohungen? Wo gibt es noch Potenzial?
Das ist eine schwierige Frage, weil deren Beantwortung vom durchaus unterschiedlichen Verständnis der beiden Rollenbilder abhängt. Nach wohl überwiegender Ansicht ist der CIO für das Informationsgeschehen des Unternehmens verantwortlich, wozu insbesondere auch der hochverfügbare 24/7/365-Betrieb als „run the job“ zählt – daran wird häufig der Erfolg der CIO-Rolle gemessen; ohne hochverfügbarem und performantem Betrieb steht der Unternehmenserfolg, und vielleicht sogar die Unternehmensexistenz in Frage, mit fortschreitender digitaler Transformation umso mehr. Weitere CIO-Disziplinen werden kaum erfolgreich wahrgenommen werden können, falls der Betrieb nicht läuft. Nachdem Cyberrisiken eben (auch) diese grundlegende CIO-Verantwortung gravieren, zählt der Cyber-Schutz zwangsläufig zu den zentralen CIO-Interessen.
Dem gegenüber trat die CISO-Rolle in den letzten Jahren daneben. Ganz wesentliche Interessen- und damit Aufgabenfelder überlappen mit der CIO-Rolle. Daher stellt sich die Frage der Verortung der CISO- im Verhältnis zur CIO-Rolle, die in aller Regel unternehmensspezifisch zu beantworten ist. Da CyberSec spätestens mit Auftreten der Ransomware-Wellen in den Fokus Unternehmensverantwortlicher rückte, entwickelte die CISO-Rolle zunehmend Revisions-ähnlichen Charakter und mündet in entsprechenden Funktionsbereichen. Diese Entwicklung kann geeignet sein, den Abstand zwischen CIO und CISO organisatorisch zu vergrößern. Als Vorteil wird häufig angeführt, dass dadurch die Kontrollfunktion verbessert werde, was wiederum aus Haftungsgründen der Unternehmensverantwortlichen vorteilhaft ist.
Umgekehrt muss jedoch bedacht werden, dass sich einerseits Verantwortung überlappender Rollen-Elemente bekanntlich nicht teilen lässt und andererseits CyberSec von Geschwindigkeit lebt. Deshalb stellt sich die Frage, ob der Vorteil organisatorisch getrennter Verortung der Nachteil damit zwangsläufig veränderter Entscheidungs- und somit Reaktionszeiten hinreichend aufwiegt. Andernfalls wird die CISO-Rolle eher nahe der CIO-Rolle anzuraten sein. Hinzu kommen Fragen der knappen CyberSec-Ressourcen in Unternehmen und am Markt.
Zusammenfassend sehe ich daher noch einiges Potential beider Communities, die Rollenbilder weiter zu entwickeln und damit die Gemeinschaftskompetenzen im Interesse des Ziels der Bewahrung von Unternehmen vor Cyberschäden zu stärken.
Du engagierst Dich persönlich hier für mehr Austausch und Zusammenarbeit. Welche Möglichkeiten nutzt Du?
Zunächst bestimmt die CyberSec-Thematik nach meinen Beobachtungen zwischenzeitlich nicht nur (fast) alle Unternehmen und deren Verbände, sondern auch die einschlägigen Digital-Communities. Teilweise haben diese mittlerweile eigene Untergruppen für CyberSec gebildet, bspw. in Form sogenannter SIGs (Special Interest Groups) und CCs (Competence Center). Gleichzeitig etabliert sich daneben eine ganze Reihe spezialisierter Interessenverbünde. Daneben sind zilivgesellschaftliche Aktivitäten zu verzeichnen, die aus unabhängiger Perspektive „den Finger in die Wunde“ legen und darüber hinaus einen nicht zu unterschätzenden Anteil an der wachsenden Transparenz der CyberSec-Bedeutung haben – indem sie bspw. medienwirksam über Social Media Kanäle sowie Pressekontakte agieren.
Ich setze auf den persönlichen Austausch innerhalb und zwischen diesen Strukturen, zumal deren Ziele deckungsgleich auf die Stärkung der Cyber-Resilienz fokussiert sind. Wege und Methoden mögen unterschiedlich gewichtet sein, aber genau deshalb liegt der Wert im Austausch zwischen einzelnen Strömungen: noch ist kein Kraut gegen Cyberschäden gewachsen. Deshalb hilft steter Austausch wachsendem Erkenntnisgewinn. Das gilt umso mehr, als die rasante Informations-Geschwindigkeit bei CyberSec längt viel mehr als die Fokussierung auf einen bestimmten Kanal, Quelle oder Kontakt erfordert. Gleichwohl bleibt eine Initiative aus meiner Perspektive deshalb explizit hervorzuheben, weil sie sich von den anderen mir bekannten wesentlich unterscheidet: das Cybersecurity Network (CSN) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Beim CSN handelt es sich nicht nur um eine Initiative der zentralen nationalen Cyber-Sec-Behörde, sondern gleichzeitig um einen flächendeckenden Ansatz, wie Betroffene von Cyber-Sicherheitsvorfällen als Sofortmaßnahme schnelle und qualifizierte Einschätzungen sowie erste Handlungsempfehlungen auf kurzem Weg erhalten können. Als Teil des CSNs stehen dafür eigens geschulte Ersthelfer:innen als Sofort-Ansprechpartner:innen freiwillig „pro bono“ zur Verfügung (First Responder-Prinzip). Beruflich nachgewiesene CyberSecurity-Expertise bereitstehender Ersthelfender findet damit ehrenamtliche Verlängerung. Je nach Vorfall können CSN-Ersthelfer:innen bspw. auf weitere Vorfall-Praktiker:innen und Vorfall-Expert:innen des CSNs zurückgreifen. Deshalb bin ich – auch – im CSN sehr gerne persönlich engagiert.
Welche Tipps hast Du an CIOs und CISOs, die sich hier ebenfalls einbringen und engagieren wollen?
Zentraler Punkt scheint mir zu sein: ist für ein (pro bono) Engagement ausreichend Zeit und Interesse – auch neben dem Hauptberuf – verfügbar? Falls ja, startete bspw. mein Einstieg über Recherchen in den Communities, weshalb ich diesen Weg gerne weiterempfehle: schafft einen guten Überblick, welche Gruppierung am besten zu den eigenen Fähigkeiten, Vorstellungen und Zielen passt. Allerdings ist das schon ein paar Jahre her, die Vielfalt mittlerweile wesentlich größer und daher die Recherche aufwändiger. Deshalb kann Nachfragen bei einigen der bereits engagierten Akteur:innen schneller zur eigenen Meinungsbildung und einem Ergebnis führen.
Welche Rolle spielen Agilität und Geschwindigkeit, wenn es um Cybersecurity geht?
Diese Frage ist hochinteressant, weil sie den Kernbereich des Sicherheitskontextes trifft: ob Bremsweg, Feuerbekämpfung oder eben Cyber-Vorfälle – Sicherheit erfordert immer Geschwindigkeit, um Schäden abzuwenden oder mindestens zu reduzieren (Detektion und Reaktion). Um Agilität geht schon es einen Schritt vorher bei der Prävention: die Vermeidung von Cyber-Vorfällen benötigt deshalb „Beweglichkeit“ (von lat. agilis), denn Cyber-Angriffe leben von deren asymmetrischem und hochvolatilem Charakter. Oder kurz: Cyberschutz erfordert stets schnelles und flexibles, gleichwohl wohlüberlegtes und zielsicheres Handeln. Dafür helfen Handlungsleitplanken, innerhalb derer situationsgerechte Flexibilität. Dafür greife ich aufgrund persönlicher Erfahrungen gerne auf die lange bewährten Methoden des BOS- (Behörden und Organisationen mit Sonderaufgaben) bzw. sog. „Blaulicht“-Umfelds zurück: Tayloring derer Standard-Funktionen S2 (Lage), S3 (Einsatz) und S4 (Versorgung) gemäß den Führungsgrundsätzen in der KatS-DV 100 bzw. FW-DV 100 führt zu einfach und klar strukturierten Prozessen für Notfall-Situationen, die CyberSec-Aufgaben m.E. gut abbilden können.
Insoweit passt gerade bei CyberSecurity der bekannte VUCA-Ansatz: das „A“ dieses Akronyms beschreibt bekanntlich als Herausforderung „ambiguty“ (Mehrdeutigkeit) und schlägt „Agilität“ als Lösungsansatz vor. Nebenbei: deshalb funktionieren „gestaltende“ (proaktive) CyberSec-Methoden in aller Regel wesentlich besser als „verwaltende“ (reaktive) Ansätze. Reaktive Ansätze sind häufig durch umfassende Dokumentationen gekennzeichnet, denen hervorragende Bedeutung als haftungsbegrenzende Elemente zukommen kann. Vor dem Hintergrund knapper CyberSecRessourcen kommt es daher auf einen geeigneten Mix beider Ansätze an.
Wieviel gesellschaftliche Verantwortung trägt man als Führungskraft? Was bedeutet das für Dich in der täglichen Praxis?
Die Frage möchte ich weniger aus der Perspektive als Führungskraft sondern aus der Sicht eines testierten und praxiserfahrenen CyberSec-Akteurs mit einer Gegenfrage beantworten: Könnte knappe Verfügbarkeit hinreichender CyberSec-Fachkunde eine besondere Garantenstellung im gesellschaftlichen Kontext auslösen? Sollten die sich Kundige in besonderem Maß dafür engagieren, vorhandene Fachkunde in niederschwelliger Weise für die Gesellschaft verfügbar zu machen, damit das aktuell hohe Cyber-Gesamtrisiko dauerhaft beherrschbar bleibt?
Diese Frage kann natürlich nur individuell beantwortet werden. Für mich kam ich zu einem ja.
Welche Bedeutung hat die Confare #ImpactChallenge für Dich persönlich?
Die #ImpactChallenge basiert auf Vorschlägen aus der Community. Daraus erwächst aus meiner Sicht ein ganz besonderer Wert: nämlich aktives Bemühen kollegialer Expert:innen, mein konkretes persönliches pro bono Wirken alleine schon! durch das Formulieren einer Nominierung wertzuschätzen. Das motiviert großartig, denn bereits die Nominierung bestätigt die Anerkennung der Community für CIOs, CISOs, CDOs bzw. CTOs als sog. Corporate Citizens, also gesellschaftlich über den Hauptberuf hinaus pro bono engagierter Digital-Expert:innen – herzlichen Dank dafür als auch für Euer Voting, das den share&care-Gedanken weiter voranbringt!