CIO Martin Schellenberg über integrale Sicherheit und das IT-Risikomanagement bei Schutz & Rettung Zürich

Cyber-Resilienz für Blaulichtorganisationen

Martin Schellenberg CIO der grössten zivilen Rettungsorganisation der Schweiz über integrale Sicherheit und das IT-Risikomanagement bei Schutz & Rettung Zürich.

Schutz & Rettung Zürich vereinigt unter ihrem Dach Feuerwehr, Rettungsdienst, Zivilschutz, Einsatzleitzentrale und Feuerpolizei der Stadt Zürich. Ausserdem gehört auch der Flughafen Zürich mit seinen besonderen Aufgaben und Dienstleistungen zu ihrem Einsatzgebiet. Mit der Höheren Fachschule für Rettungsberufe betreibt Schutz & Rettung zudem eine Aus- und Weiterbildungsstätte für professionelle Rettungsberufe. Gerade in Zeiten der Corona-Krise verlassen sich die Menschen auf die Unterstützung dieser Organisationen, welche vom Kanton Zürich für die Bewältigung von Grossereignissen beauftragt ist. Sie verfügt somit über spezielle Einsatzmittel und ausgebildete Führungskräfte die es dafür benötigt. Ihre Einsatzbereitschaft sowohl im Alltag wie auch in ausserordentlichen Lagen ist deshalb besonders gefragt.

Martin Schellenberg ist preisgekrönt als Confare TopCIO und nominiert für die Auszeichnung #CIO2020 – CIO OF THE DECADE. Er verantwortet als CIO die IT-Unterstützung der Blaulichtorganisationen. Cyber-Resilienz spielt dabei eine wichtige Rolle. Es gilt die Einsatzfähigkeit sicher zu stellen, aber auch die Daten von Betroffenen, Einsatzkräften und von Einsätzen zu sichern. Für unseren Blog gibt Martin Schellenberg Tipps für das Risikomanagement und wie die Zusammenarbeit über Abteilungsgrenzen funktioniert.

Welche Rolle spielt Cyber Security (Cyber-Resilienz) für den Unternehmenserfolg tatsächlich?

Die Verfügbarkeit, Vertraulichkeit und Integrität der einsatzkritischen IT-Systeme im 24/7 Betrieb spielt in unseren Blaulichtorganisationen eine wesentliche Rolle, um den Leistungsauftrag «Wir schützen und retten Menschen, Tiere, Sachwerte und die Umwelt – rund um die Uhr» bestmöglich erfüllen zu können. Die Cyber-Resilienz ist dabei ein zentraler Faktor, den wir bei unserem integralen Sicherheitsansatz stark gewichten und ständig ausbauen. Gegenüber unseren Anspruchsgruppen lasse ich mich jeweils als Dienstabteilung vom Sicherheitsdepartement zu folgendem Statement hinreissen: “Wo Sicherheit draufsteht, muss auch Sicherheit drin sein”. Da auch sensible Personen- und Einsatzdaten vor Missbrauch geschützt werden müssen, ist Cyber Security für unseren Unternehmenserfolg und unsere Reputation essentiell.

Was sind Ihre wichtigsten Empfehlungen um Risiken in der IT zu beurteilen und zu managen?

Ich sehe vier wesentliche Dimensionen, um der Herausforderung der Cyber-Resilienz zu begegnen:

1. Bedrohungsschutz (Threat Protection)
2. Anpassungsfähigkeit & Maturität (Adaptability & Maturity)
3. Beständigkeit (Durability)
4. Fähigkeit zur Wiederherstellung (Recoverability)

Ein konsequent gelebter IT Risk Management Prozess ist essentiell, um die notwendigen Sicherheitsmassnahmen in den 4 Dimensionen zu erkennen und die vitalen Systeme der Unternehmung zu schützen. Der «Schlüsselfaktor Resilienz» muss dabei eine elementare Rolle innerhalb des Unternehmens und in der ganzen Wertschöpfungskette mit Partnerunternehmen und Endkunden spielen.

Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?

Durch die Digitalisierung verschmelzen IT-Umgebungen zunehmend mit IoT-Umgebungen, also der Betriebstechnik und der Steuertechnik kritischer Dienste, wie z.B. bei Versorgungsunternehmen. Angesichts des rasanten Anstiegs der Anzahl vernetzter Geräte und der Beteiligten, die darauf zugreifen, ist eine ganzheitliche und umfassende Cybersicherheit heute wichtiger denn je. Die IoT Elemente sind in der Regel mit dem Fokus auf ihre zentrale Funktion entwickelt und hierbei werden die Schnittstellen und mögliche Angriffsvektoren vorerst ausgeblendet. Eine entsprechende Sicherheits- / Zero Trust-Architektur und ein konsequent umgesetztes Zonenkonzept können Bedrohungsszenarien eingrenzen.

Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?

Nein, allein kann die IT die möglichen Szenarien sicher nicht abdecken, “nur gemeinsam sind wir stark.” Jedes Unternehmen und jede Unternehmenseinheit sollte sich die Frage stellen: Wie resilient sind wir tatsächlich? Nicht nur um aktuelle Bedrohungen abzuwehren, sondern auch, um das Gemeingut «sicheres Internet» zu erhalten. Der Grad der Digitalisierung ist so weit vorangeschritten, dass die Abwehr von Cyberattacken nicht mehr nur eine Aufgabe einer einzelnen Institution, Abteilung oder allein die Sache von einigen Sicherheitsunternehmen ist. Jeder muss seinen Teil aktiv dazu beitragen, damit die Onlinekriminalität erschwert wird. Wichtig ist für uns die enge Zusammenarbeit zwischen Behörden, Wirtschaft, Hochschulen und den Betreibern kritischer Infrastrukturen, um die Cyber-Risiken zu minimieren.

Wie sehen 2020 die wichtigsten Anforderungen an die Cyber Security Infrastruktur aus? Was sind die entscheidenden Elemente?

Zuerst muss ein klares Verständnis der kritischen Unternehmensprozesse, den schützenswerten Datenbeständen sowie der unterstützenden IT-Services erlangt werden, welche durch die Cyber Security Infrastruktur geschützt werden sollen. Dieses kann nur durch eine enge Abstimmung mit den Business Vertreten erlangt werden sowie mit einer detaillierten Inventarisierung und Pflege der Datensammlungen, IT-Assets und Patchlevels, etc. Der Betrieb der Cyber Security Elemente bedarf Spezialisten-Know-how, welches vielfach in den IT Abteilungen nicht in der notwendigen Tiefe und im 24/7 Betrieb vorhanden ist. Ich empfehle deshalb z.B. ein Security Operations Center (SOC) im hybriden Modell zu betreiben. Zudem sind klare Vorgehensweisen für diverse Szenarien zu definieren und zu trainieren (z.B. die Abschottung von Systemen und Zonen, die Konzipierung von einem Kill Switch, etc.) Neben dem Erkennen und Abwehren von Angriffen müssen auch im nachgelagerten Bereich Anpassungen vorgenommen werden um die Resilienz zu maximieren. Herkömmliche Ansätze sind beispielsweise für Ransomware-Attacken anfällig und deshalb muss auch die Backupstrategie überdacht werden.

Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?

Handlungsbedarf ist in allen Bereichen erforderlich und dieser muss im Normalbetrieb und in einer Sonderlage aufeinander abgestimmt sein. Denken wir nur an das aktuelle Beispiel der Pandemievorsorgepläne. Der Einsatz der eingesetzten Technologien muss hierfür ständig aktualisiert, die Restriktionen angepasst, die Organisation mit Simulationstrainings und Awareness Kampagnen fit gehalten werden, damit die Organisation beim Eintreten eines entsprechenden Szenarios nicht auf dem “falschen Fuss” erwischt wird. Ich denke hochaktuell an die ganzheitlichen Informationssicherheit Massnahmen im Home-Office, welche die Technologie, Restriktionen, organisatorische Aspekte wie auch Awareness Themen betreffen. Ein bekanntes Sprichwort von Konfuzius sagt: „Gib einem Menschen einen Fisch und du ernährst ihn für einen Tag. Lehre einen Menschen zu fischen und du ernährst ihn für sein Leben.“ Das Gleiche trifft auch auf Cyber Security-Trainings zu. Denn diese sind nur von vorübergehender Wirksamkeit, wenn Mitarbeitenden Verhaltensvorschriften auferlegt werden, ohne ihnen den dahinterliegenden, tieferen Sinn nahezubringen.

Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cyber Security geht?

Nebst den bereits etablierten Technologien wie Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM) sowie dem aktiven und passiven Threat Hunting, gilt es auch, neue Technologien und Methoden im Auge zu behalten. Ein noch nicht breit angewendeter Ansatz ist z.B., die Hacker durch Ködern und Täuschen abzuwehren, also Schutz durch Deception. Deceptions-Lösungen, welche auch als Managed Services bezogen werden können, locken Angreifer in Scheinnetze, wo sie keinen Schaden anrichten können, aber ihre Angriffsziele und Vorgehensweisen aufzeigen. Als Ergänzung zu herkömmlichen IT-Security-Massnahmen können diese einen grossen Vorteil bringen. Um angesichts immer zahlreicherer und immer raffinierterer Attacken Schäden zu vermeiden oder wenigstens zu minimieren, braucht es neue Herangehensweisen. Übliche IT-Security-Massnahmen leisten zwar gute Arbeit, aber sie benötigen Vorabinformationen, um optimal zu funktionieren. Gut ausgebildete oder interne Angreifer kennen ihr Angriffsziel und wissen, wie sie sich unentdeckt in der Unternehmensinfrastruktur bewegen.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.