Im Digitalen Zeitalter braucht Cyber Security eine holistische Zugangsweise, ist Walter Hölblinger, CISO der SIGNA Gruppe, überzeugt.
Persönlich treffen Sie Walter und etwa 600 weitere IT-Profis beim Confare #CIOSUMMIT, dem größten und mit dem Confare #CIOAWARD wichtigsten Treffpunkt für IT-Manager in Österreich.
Welche Rolle nimmt Cyber Security in einem modernen Unternehmen ein?
In einem modernen Unternehmen hat Cyber Security nicht nur einen festen Stellenwert, sondern ist integraler Bestandteil aller Geschäfts- und Projektprozesse. Darüber hinaus wird Security nicht nur als Teildisziplin der IT verstanden, sondern aktiv von jedem Mitarbeiter / jeder Mitarbeiterin gelebt.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cyber Security Betrachtung einfließen müssen?
Eine ganzheitliche Cyber Security Strategie kann nur dann erfolgen, wenn man das 
Unternehmen als Ganzes betrachtet und versteht. Bildlich gesprochen muss man dafür die IT-Brille abnehmen und versuchen das Unternehmen aus Business Sicht zu sehen. Aus diesem ganzheitlichen Bild wird dann die Cyber Security Strategie abgeleitet. Essentiell dabei ist, dass die Betrachtung eben nicht (eingeschränkt) aus der IT heraus erfolgt, sondern – wesentlich globaler betrachtet – aus der Business Sicht.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Auch hier muss IT-Security von Anfang an ein integraler Bestandteil sein. Dadurch erfolgt auch von Beginn an eine Risikobetrachtung. Nicht nur aus technischer Sicht, sondern viel umfänglicher. Dadurch werden bereits von Beginn an sehr wesentliche Fragen gestellt: Ist der Anbieter vertrauenswürdig? Wird es den (Cloud) Anbieter auch in x Jahren noch geben? Wie sehr möchten wir uns diesem Anbieter anvertrauen/ausliefern? Man kann sich dem großen Lösungsangebot Cloud nicht mehr verschließen, aber man kann dieses Gebiet auch aus Cyber Security Sicht vernünftig erschließen.
Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Für ein möglichst ganzheitliches Bild ist es immer eine gute Sache, wenn man zu Beginn auf einen der IT-Security Standards setzt. Egal ob ISO 27000 Normenfamilie, BSI Grundschutz oder das Österreichisches Informationssicherheitshandbuch – all diese Fachwerke helfen ein solides Cyber Security Fundament zu schaffen. Ausgehend von diesem Fundament kann man bestimmte Bereiche dann natürlich anpassen und verschärfen. Wenn man auf eines dieser Fachwerke setzt, kann man auch nicht auf organisatorische Maßnahmen „vergessen“. Warum „vergessen“ – oft setzt man lieber auf technische Maßnahmen und vergisst absichtlich auf die wesentlich unangenehmeren organisatorischen Maßnahmen, wie z.B. Definition von Prozessen, verbindliche Policies, Aufbau einer IT-Security Personalstruktur …
Was sind die wichtigsten Elemente einer Cyber Security Architektur? Worauf muss man als CIO achten?
Ich bin nach wie vor der Meinung, dass es nicht die wichtigsten Elemente gibt, denn jedes Element für sich ist ein wesentlicher Bestandteil eines gesamtheitlichen IT‑Security Bildes.
Allerdings müssen manche Elemente stärker gewichtet werden als andere. Hier hat sich besonders in der letzten Zeit vermehrt gezeigt, dass auch nicht IT-technische Elemente immer stärker an Bedeutung gewinnen.
Wie beurteilt man, was am Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Die Kombination aus kritischer Hinterfragung „welchen Mehrwert (an Security) gewinne ich dadurch?“ und Proof of Concept haben sich sehr gut bewährt.
Besonders ein PoC gibt einem die Möglichkeit, hinter die tollen Marketing Slides zu blicken.
Was ist notwendig, um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Dass man bereits zuvor für einen solchen Fall vorgesorgt hat. Ein Notfallplan muss nicht bis ins letzte Detail perfektioniert sein, aber wenn dieser zumindest in groben Zügen vorhanden ist, kann dies eine sehr gute Hilfestellung sein. Denn Stress hat man in solch einer Situation ohnehin immer genug.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cyber Security Investitionen geht?
Die Sprache des Gegenübers zu sprechen und auf Augenhöhe zu kommunizieren, denn mit kryptischem Fachvokabular wird man mit großer Sicherheit keine Zustimmung und somit auch keine ausreichenden Mittel bekommen. Die Kunst liegt darin, auch die komplexesten Dinge verständlich zu vermitteln.
Hier ein kleiner Rückblick auf die besten CIOs und IT-Manager Österreichs: Die Gewinner des Confare #CIOAWARDs 2021
Mehr spannende Videos finden Sie auf unserem YouTube-Kanal.