Der User findet immer einen Workaround

ÖBB CIO Marcus Frantz über Cybersecurity im Digital Age

IoT, Cloud, KI, Digital Customer Experience, Home-Office – mit der Digitalisierung halten zahlreiche neue Technologien und Organisationsformen im Unternehmen Einzug. Dem CIO stehen inzwischen viele Mittel und Wege zur Verfügung, um mit Restriktionen und technischen Barrieren die Anwender zu zwingen, das richtige im Hinblick auf Cybersecurity zu tun. Doch wenn die Fachbereiche sich dadurch eingeschränkt fühlen, ist es nur eine Frage der Zeit, bis diese Massnahmen umgangen oder ausgehebelt werden.

ÖBB CIO Marcus Frantz ist daher überzeugt, dass in einer komplexer werdenden Arbeitswelt Awareness, Zusammenarbeit und Dialog entscheidend für die Sicherheit der Digitalen Assets im Unternehmen sein werden.

Welche Rolle spielt Cybersecurity für den Unternehmenserfolg tatsächlich?

Je mehr Unternehmen, Organisationen ihr Geschäftsmodell digital optimieren, auf Plattformen und digitale Interaktionen mit den Kunden bzw. Partnern abzielen, umso mehr kommt es darauf an, dass diese Wege für alle Beteiligten abgesichert werden, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist. Defizite hier wirken sich auf das Vertrauen der Partner in das Unternehmen aus und können zu massiven wirtschaftlichen Schäden führen. Und gerade in Zeiten von Corona, wo HomeOffice massiv gepusht wird, eine wesentliche Voraussetzung für die Aufrechterhaltung des operativen Betriebes ist, gilt der Schutz der Zugänge und Systeme noch viel mehr. Leider erleben wir ja jetzt, dass viele Profit aus dem schlagen wollen und auch nicht davor zurückschrecken, Unternehmen der kritischen Infrastruktur zu attackieren und zu erpressen.

Was sind Ihre wichtigsten Empfehlungen, um Risiken in IT zu beurteilen und zu managen?

Es geht darum die Informationssicherheit generell um den Aspekt des Information Risk Management zu erweitern, d.h. Prozesse, Werkzeuge und natürlich auch Kapazitäten dafür zur Verfügung zu stellen. Damit müssen dann die wesentlichen Prozesse sowie Capabilities des Geschäftes hinsichtlich ihres IT- und Informations-Risikos analysiert und bewertet werden, d.h. in der letzten Konsequenz, welches finanzielles Gefährdungspotential ist für den jeweils untersuchten Bereich und das Unternehmen gesamtheitlich gegeben. Dann kann ich mir ansehen, durch welche Massnahmen ich diese Risiken minimieren kann. Durch diesen strukturierten Prozess, durch das Abwägen des finanziellen Risikos und der notwendigen Investitionen, aber auch die Diskussion über Business Continuity Massnahmen (die ja nicht immer IT-technisch gelöst sein müssen, da geht auch manchmal einfach nur das gute Stück Bleistift & Papier) kann ich mit den Fachbereichen einen transparenten und für diese nachvollziehbaren Dialog führen. Wenn dieser regelmässig gelebt wird, dann etabliert sich dieses Verständnis tief in der DNA des Unternehmens. Wichtig ist es dabei klein anzufangen, mit den kritischen Bereichen des Unternehmens, und dann – ganz mit dem Ansteigen des Verständnisses, dieses immer weiter auszudehnen. Aber lieber die 80:20-Regeln anwenden als zu versuchen alles zu adressieren. Das ist Overkill.

Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?

Sie nehmen natürlich zu, keine Frage. Je mehr wir unser technisches Umfeld verändern, je mehr wie unsere Prozesse und Zusammenarbeitsmodelle digitalisieren, je mehr wir uns aus unseren (nur anscheinend so sicheren eigenen) Rechenzentren heraus in die Cloud bewegen, Edge etablieren, umso mehr nehmen die Bedrohungsszenarien zu mit denen wir konfrontiert werden. Das Umfeld wird ganz einfach komplexer. Hybride Welten halt. Aber das ist das, was geschieht, das sind Entwicklungen denen wir uns nicht verschliessen können und definitiv auch nicht wollen. Sie sind essentiell für unseren Unternehmenserfolg. Daher müssen wir uns mit Ihnen auseinandersetzen, sie aktiv angehen.

Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?

Nein, das kann sie nicht. Es braucht hierfür einen ganz intensiven Dialog mit allen Disziplinen im Unternehmen. Den Fachbereichen, der InfoSec, dem Informations- aber auch dem allgemeinen Risiko-Management sowie der IT. Wobei ich hier unter IT ganz eindeutig natürlich IT und auch OT verstehe, das wird hier zu einem Synonym. Nur gemeinsam kann man die Prozesse durchleuchten, die Abhängigkeiten von und zu IT aufzeigen, die Schwachstellen identifizieren, Workarounds (auch manuelle) identifizieren und dann die tatsächlichen Lösungsansätze mit Ihren Auswirkungen entwickeln.

Wie sehen 2020 die wichtigsten Anforderungen an die Cybersecurity Infrastruktur aus? Was sind die entscheidenden Elemente?

Es geht noch viel stärker darum die technischen Rahmenbedingungen für automatisierte Erkennung und Handhabung von Bedrohungen zu verbessern. Threat Intelligence, CDCs und SOCs zu professionalisieren. Und das mit starken Partnern, da kaum ein Unternehmen in der Lage sein wird, diese Kompetenzen im ausreichenden Masse selber aufzubauen und zu halten. Es geht um das Bündeln der Ressourcen, Kompetenzen und der schnellen Zusammenarbeit.

Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?

Ganz eindeutig bei Organisation und Awareness. Technologisch ist heute schon viel möglich, ich kann viel mit Restriktionen lösen, das schränkt aber sehr häufig den Nutzer in seinen Möglichkeiten ein, verkompliziert, vor allem wenn es um schnelle Interaktionen und Lösungen für das Geschäft geht. Daher ist es wichtig den Nutzer im sicherheits- und risikotechnisch tragbaren Rahmen zu flexibilisieren und den Fokus auf die Awareness zu richten. Hier entstehen die meisten Probleme, der User findet immer einen Workaround, und daraus entstehen die echten Bedrohungen. Daher ist es wichtig dieses Bewusstsein beim Nutzer zu schaffen, ihn zu sensibilisieren.

Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cybersecurity geht?

Da ist zum einen natürlich ganz besonders der Bereich KI, denn dieser wird einen erheblichen Einfluss darauf haben, wie wir mit den Themen Thread Intelligence etc. weiterkommen. Das gilt sowohl für uns als absichernde Unternehmen, aber natürlich auch für die kriminellen Organisationen, die sich diese Technologie schon heute sehr zu Nutze machen. Dann geht es um die Entwicklung der IoT – Endgeräte, die zunehmend in unsere Unternehmensnetzwerke eingebunden werden und die Fragestellung, wie diese Geräte gesichert werden, wie Edge abgesichert wird. Das ist die Frage nach “Security-by-design” oder “embedded security”, wo man sich viel früher einbringen muss. Und Cloud bzw. die Entwicklung der Cloud-Technologien wird uns natürlich auch weiterhin sehr intensiv beschäftigen, je mehr Cloud ein integrierter Bestandteil der Unternehmens- und IT-Strategie wird.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.