fbpx

Gottfried Tonweber: Cybersecurity und Digitalisierung gehen nur als Tandem: Raus aus den Silos!

by Anthony Torno

Die Zeit der Silos ist vorbei. Im Digitalen Zeitalter braucht Cybersecurity eine holistische Zugangsweise, ist Gottfried Tonweber, Cybersecurity Spezialist bei EY Österreich, überzeugt.  Persönlich treffen Sie die Cybersecurity Experten von EY rund um „TONi“ Gottfried Tonweber und Ali Aram beim Confare #CIOSUMMIT, dem größten und mit dem Confare #CIOWARD wichtigsten Treffpunkt für IT-Manager in der Österreich.

Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?

Cybersecurity und Digitalisierung bewegen sich im Tandem. Sprich, je größer der Digitalisierungsfortschritt in einem Unternehmen, desto größer die Anzahl der Angriffsvektoren.

Sich der Digitalisierung zu entziehen, ist aus ökonomischer Sicht ja nicht möglich. Somit bleibt nur die Option, die Widerstandsfähigkeit des Unternehmens im Bereich Cybersecurity den jeweiligen Wellen der Digitalisierung zeitnahe anzupassen und so schutzbedürftige Assets abzusichern. Entsprechende Schutzschirme zu spannen, die bei Versagen langfristig die wirtschaftliche Ertragsfähigkeit bedrohen, ist folglich von zentraler Bedeutung.

Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?

4 wesentliche Perspektiven müssen hier u.a. Berücksichtigt werden:

Governance: Eine effektive Governance besteht insbesondere aus einem Informationssicherheitsmanagementsystem, idealerweise ISO 27001 zertifiziert. Eine Inventur interner wie auch externer Stakeholder und ihre informationssicherheitsrelevante Bewertung für ein Unternehmen sind unerlässlich.

Protection: Sobald alle schützenswerten Assets identifiziert sind, gilt es, diese nun entsprechend ihrer Kritikalität abzusichern. Im Fokus stehen hier bei der IT-Architektur die System Konfiguration, Segmentierung sowie eine ausgeprägte Verschlüsselung. Weitere wichtige Bausteine sind hier die Benutzerverwaltung sowie eine zeitnahe Wartung.

Defense: Für die Behandlung eines Security Incident muss dieser überhaupt mal als solcher erkannt wie auch klassifiziert werden. Somit sind Logging und Monitoring essenzielle Bestandteile einer effektiven Verteidigung.

Resilience: Zur Vorbeugung eines Security Incident insbesondere die Abwehr hoher oder sogar existenzbedrohender Schäden schafft ein Business Continuity Management wie auch Desaster Recovery. Stichwort, das Anfertigen von Backups ist nicht ausreichend, wenn die Wiederherstellung von Backups nicht regelmäßig getestet wird und im Zweifel dann doch geschäftskritische Daten verloren sind.

Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?

Auch hier gilt es, die mit der Cloud Nutzung verbundenen IS Risiken zu identifizieren sowie entsprechende Sicherheits- und Datenschutzanforderungen auszuarbeiten und in weiterer Folge zu implementieren.

Wie bei der vorherigen Frage, benötigt es Monitoring, Logging aber auch Auditing, um den Impact auf das Unternehmen auf ein akzeptierbares Risikoniveau zu minimieren wie auch die Implementierung eines kontinuierlichen Verbesserungsprozesses insbesondere ein Change-Management.

Auch hier gilt, nur wenn die Sicherheitsrisikolandschaft des Unternehmens bekannt ist, wird das Prinzip Gießkanne vermieden. Der Markt bietet bereits einige wirksame Lösungen, hier gilt es, Ressourcen gezielt einzusetzen.

Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheitsstatus zu erhalten?

Auch hier gilt es, die mit der Cloud Nutzung verbundenen IS Risiken zu identifizieren sowie entsprechende Sicherheits- und Datenschutzanforderungen auszuarbeiten und in weiterer Folge zu implementieren.

Wie bei der vorherigen Frage, benötigt es Monitoring, Logging aber auch Auditing, um den Impact auf das Unternehmen auf ein akzeptierbares Risikoniveau zu minimieren wie auch die Implementierung eines kontinuierlichen Verbesserungsprozesses insbesondere ein Change-Management.

Auch hier gilt, nur wenn die Sicherheitsrisikolandschaft des Unternehmens bekannt ist, wird das Prinzip Gießkanne vermieden. Der Markt bietet bereits einige wirksame Lösungen, hier gilt es, Ressourcen gezielt einzusetzen.

Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?

Auch bei der IT-Sicherheitsarchitektur gilt menschliches Versagen nach wie vor als größtes Einfallstor, Stichwort Social Engineering. Es ist wichtig zu beachten, dass hohe Investitionen in Sicherheitssoftware und -hardware nicht ihre volle Wirkung entfalten, wenn die menschliche Komponente nicht ebenfalls harmoniert.

Als CIO ist es wichtig, eine offene, aktive Fehlerkultur zu fördern. Schwachstellen sollten daher nicht unter den Tisch gekehrt oder durch Quick Fixes gelöst werden, sondern für die Umsetzung nachhaltiger Sicherheitsmaßnahmen genutzt werden.

Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?

Hier gilt es, zuerst den eigenen Schutzbedarf für meine Assets im Unternehmen zu ermitteln. Nur wenn die Kritikalität des Schutzbedarfs und die entsprechenden Informationssicherheitsrisiken – die auf das Unternehmen wirken – aufliegen, kann das bereits erwähnte Prinzip Gießkanne vermieden werden.

Je reifer der Grad der Informationssicherheit des Unternehmens und somit auch die Bewertungstiefe der Prozesse, Assets und Risiken, desto besser die Beurteilung, welche Dienstleistungen und Produkte für das Unternehmen wirksam sind.

Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?

Zuerst stellt sich die Frage ob ein Security Incident überhaupt zeitgerecht erkannt wird und ob das Unternehmen die notwendigen Sicherheitsmaßnahmen implementiert hat, um einen Security Incident zu erfassen.

Wenn diese Vorrausetzung gegeben ist, macht es Sinn, sich mit dem Aufbau eines Business Continuity Management mit den notwendigen Aktivitäten in der Notfallbewältigung zu beschäftigen.

Leider ist oft traurige Realität, dass Sicherheitsvorfälle ein halbes Jahr unentdeckt bleiben, somit stellt sich die Sinnhaftigkeit eines Notfallplans für die Wiederherstellung eines Systems, z.B. innerhalb von fünf Tagen. Bei Setzen von Sicherheitsmaßnahmen ist der Reifegrad des Unternehmens immer zu berücksichtigen.

Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?

Governance, Compliance und Cybersecurity werden oft aus dem Blickwinkel betrachtet, was kann ein Unternehmen verlieren und nicht was es gewinnen kann. Sind die IS Risiken bekannt und die entsprechenden Sicherheitspakete geschnürt, erhöht sich der Handlungsspielraum. Das ermöglicht dem Unternehmen, neue Wege einzuschlagen und Umsätze zu realisieren, die mit einer weniger bekannten Risikolandschaft nicht durchführbar wären.

Investitionen in Cybersecurity sind unter diesem Aspekt nicht nur Maßnahmen zur Verteidigung schutzbedürftiger Assets, sondern auch Mittel, neue Geschäftsfelder zu erschließen und somit eine Steigerung der Rentabilität zu bewirken. Eine umfassende Risikoanalyse und insbesondere die quantitative Risikobewertung, erhöht die Chance die IS Risiken einzuordnen und zu steuern und damit auch die Chance auf satte Ertragssteigerungen.

CIOs mit Impact bewirken Gutes! Die Gewinner des Confare #ImpactAward

Für Sie ausgewählt

Leave a Comment