2022 rückt Cybersecurity verstärkt in die Aufmerksamkeit von Vorstand und Geschäftsführung. Als CIO der Uni Salzburg hat sich Herbert Lohninger dem Gestalten einer modernen, flexiblen Arbeits- und Lehrumgebung verschrieben. Dabei darf jedoch Cybersecurity nicht zu kurz kommen, verrät Herbert im Confare Talk.
Persönlich treffen Sie Herbert und etwa 600 weitere hochkarätige CIOs und IT-Branchenprofis beim wichtigsten IT-Management Treffpunkt Österreichs, dem Confare #CIOSUMMIT Wien.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Es muss ganz klarer Teil und fester Bestandteil in einem Unternehmen sein. Und 
natürlich auch ein Part der Digitalisierungsstrategie. Cybersecurity und der Umgang mit Datenschutz sind dafür essentiell. So stellt man sicher, dass diese beiden Aspekte eine Digitalisierungsstrategie nicht „ausbremsen“.
Cybersecurity betrifft aber nicht nur den CIO, den CISO, die IT-Abteilung, sondern auch klar die Geschäftsführung bzw. den Vorstand. Somit muss die Awareness auch „ganz“ oben im Management für das Thema da sein und auch das Verständnis. Dies hilft natürlich dann auch bei budgetären Themen im Bereich Cybersecurity.
Jedem ist klar, dass es einen 100% Schutz nie geben wird. Deswegen darf man hier nicht nachlässig werden. Gerade die letzten Jahre, aber auch Monate haben gezeigt, dass es ohne Investitionen in diesem Bereich (sei es in Personal oder Technologien) nicht möglich sein wird das Thema „halbwegs“ zu managen.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Risikoanalyse: Welche aktuellen Risks ergeben sich aktuell in meinem Setup/meiner Organisation – dies sollte kein einmaliger Task sein, sondern ein wiederkehrender – ev. auch mit externer Begleitung
Organisation: Wie ist meine Organisation in diesem Punkt aufgestellt bzw. wie sollte sie aufgestellt sein und wie komme ich (rasch) dorthin?
Lead: Wer hat in meiner Organisation „den Lead“ für das Thema? Kann der Lead auch seitens Organisation etwas „bewegen“? Dh diesem Lead müssen auch klare Kompetenzen übertragen werden Änderungen (rasch) herbeiführen zu können.
Technologie: Assessment der bestehenden technologischen Landschaft. Überblick über State-of-the-Art Technologien. Welche Quick-Wins können sofort umgesetzt werden, um die Risks zu verringern? Solche Quick-Wins sind meist auch nicht mit großen Investitionen verbunden. Erstellung einer technologischen Roadmap in Abstimmung mit den budgetären Möglichkeiten.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Die Produkte bzw. der Security Stack müssen zur technologischen Strategie des Unternehmens passen, ebenso wie die gewählten Dienstleister. Dabei ist nicht nur die Technologie der entscheidende Faktor. Wir müssen mit unseren Lieferanten und Dienstleistern das Thema Cybersecurity als Team bewältigen. Daher ist es entscheidend welche Menschen hier gemeinsam arbeiten, wie die Arbeitsstile und die Unternehmenskulturen zusammenpassen. Dann kann man sich auch im Ernstfall aufeinander verlassen können.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Die Organisation und der Lead müssen klar sein. Es muss ein Notfallskonzept und somit auch einen dokumentieren und v.a. bekannten Security Incident Handling Prozess im Unternehmen.
Die beteiligten Personen, die an dem Incident arbeiten, müssen sich auf die Arbeit konzentrieren können und müssen ohne laufende Anfragen und Störungen arbeiten können. Da macht es Sinn diese abzuschotten.
Es muss eine klare Kommunikationsstrategie im Notfallskonzept geben. Wer konzentriert sich auf die Arbeit und wer ist die Kommunikationsschnittstelle.