Martin Schellenberg ist ausgezeichneter Confare #TopCIO und verantwortet die IT bei Schutz & Rettung Zürich. Unter einem organisatorischen Dach sind hier Feuerwehr, Sanität, Zivilschutz, Einsatzleitzentrale und Feuerpolizei der Stadt Zürich vereint. Cybersecurity ist ein entscheidender Faktor beim Betrieb von kritischen Infrastrukturen, damit auch im Krisen- und Katastrophenfall geholfen werden kann. Gerade Corona hat gezeigt, dass es von Seiten der Angreifer hier keine Zurückhaltung gibt und Spitäler, öffentlicher Dienst und Rettungsorganisation genauso attraktive Ziele sind, wie Privatunternehmen.
Als CIO setzt Martin seine Prioritäten genauso auf die Sicherheitsanforderungen wie auf Innovation und Digitale Transformation. Im Interview verrät er, was es braucht um beide Aspekte unter einen Hut zu bringen und wie sich die Rolle von Cybersecurity verändert hat.
Cybersecurity ist auch ein besonders wichtiges Thema bei den Confare CIOSUMMITs in Wien, Zürich und Frankfurt. Mehr als 500 CIOs und CISOs haben sich bereits angemeldet. Die Teilnahme bei den wichtigsten IT-Treffpunkten im DACH-Raum ist für sie kostenlos. Zahlreiche Meinungen, Tipps und Erfahrungen erfolgreicher IT-Manager aus Top-Unternehmen finden Sie in den Confare Factsheets – mit dem Factsheet Abo landen diese bequem bei Ihnen im Postfach. Aktuelle Themen sind dabei u.a. Cybersecurity, Cyber-Resilience, Customer Centric IT, Software-Strategien und vieles mehr.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Die Abhängigkeit von digitalen Technologien und die Gefahren aus der virtuellen Welt sind über die letzten Jahre exponentiell gewachsen. So ist es für die Unternehmen essentiell geworden, ihre Daten und digitalen Plattformen zu schützen. Cybersecurity ist weder ein Produkt noch ein Zustand, sondern ein fortwährender Prozess. Die Einführung innovativer Technologien bringt eine Reihe neuer und digitaler Risiken mit sich, was zwangsläufig eine Verhaltensänderung seitens der Unternehmen bewirkt. Dies betrifft die Anzahl und insbesondere die Art der Risiken, die sie einzugehen bereit sind. Cyber-Vorfälle sind heute ein wesentlicher Bestandteil der Geschäftsrisiken, der sich nicht alleine an die IT delegieren lässt. Es erfordert ein holistisches Verantwortungsbewusstsein für Gefahren, die man potenziell weder versteht noch kommen sieht: «Cybersecurity ist Chefsache!»
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Es gibt grundsätzlich zwei Ansätze bei der Cybersicherheit: den Compliance-orientierten und den risikobasierten Ansatz. Letzterer ist proaktiver und ressourcenschonender. Eine 
Organisation setzt dabei primär auf Tests, Threat Intelligence und Prävention. Für eine ganzheitliche Cybersecurity empfiehlt es sich, ein für die eigene Unternehmensbranche geeignetes Rahmenwerk beizuziehen. So zum Beispiel das Cyber Security Framework (CSF) des National Institute of Standards and Technology (NIST) aus den USA, das ursprünglich zum Schutz kritischer Infrastrukturen gedacht war. Es hat sich unterdessen ‒ dank viel Substanz sowohl bei den technischen und organisatorischen Massnahmen ‒ auch in der Privatwirtschaft als Standard etabliert. Das Framework deckt 360 Grad ab und besteht aus fünf grundlegenden Elementen: Identify, Protect, Detect, Respond und Recover.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Cloud-basierte Systeme und Managed Services beziehen sich grundsätzlich auf vier für die Sicherheit relevante Hauptbereiche: Anwendungs-, Infrastruktur-, Prozess- und Personalsicherheit, die jeweils eigenen Sicherheitsregeln unterliegen. «Darum prüfe, wer sich bindet»: Eine Auswahl an Prüfkriterien sind die ganzheitliche 360-Grad-Sicherheit, ein vollständiger Sicherheitszyklus, ein proaktives Sicherheitsbewusstsein, mehrschichtige Schutzstrategien (Defense-in-Depth) und nicht zuletzt ein 24h-Kundensupport. Um den Datenschutz zu gewährleisten, müssen firmeninterne Cloud-Richtlinien erarbeitet werden, die beschreiben, welche Datenkategorien anhand welcher Prüfkriterien einem externen Dienstleister anvertraut werden können. Qualifizierte SaaS-Anbieter können ausserdem eine Zertifizierung durch unabhängige Dritte vorweisen, beispielsweise nach dem Kriterienkatalog Cloud-Computing C5 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder nach dem ISO/IEC 27017 Standard – ein ausgezeichnetes Messinstrument hinsichtlich der vom Anbieter angewandten Risikomanagement-Strategie.
Welche organisatorischen Maßnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheitsstatus zu erhalten?
In zahlreichen Unternehmen setzt sich die aktuelle IT-Infrastruktur unter anderem aus virtualisierten, Cloud-basierten, containerisierten oder lokal betriebenen Komponenten zusammen. Dies führt dazu, dass Applikationen zunehmend auf solchen hybriden Infrastrukturen betrieben werden. Um überhaupt die Chance auf ein möglichst realistisches und ganzheitliches Bild zu bekommen – insbesondere um Anomalien im eigenen Firmennetzwerk aufzudecken ‒ gilt es, möglichst alle Komponenten der heterogenen Infrastruktur in ein Monitoring einzubeziehen. Unternehmen mit eigenen Fach-IT Abteilungen müssen regelmässig prüfen, welche Skills die aktuelle Bedrohungslage erfordert und entsprechende Weiterbildungen fördern. Zusätzlich ist es notwendig, innerhalb des Unternehmens zu vermitteln, dass Informationssicherheit nicht die Aufgabe von wenigen, sondern von allen Mitarbeitenden ist. Es empfiehlt sich auch, eigene blinde Flecken durch externe Security Assessments aufzudecken und die gewonnenen Erkenntnisse mittels priorisierten Massnahmen umzusetzen.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
Eine Cyber-Sicherheitsarchitektur beschreibt die Cybersicherheit auf zwei Ebenen: sie legt die Grundstrukturen fest und definiert Regeln, die das dynamische Zusammenspiel aller Cyber-Sicherheitskomponenten koordinieren. Mit den zwei Cyber-Sicherheitseigenschaften Robustheit und Modularität wird die Widerstandsfähigkeit gegen Cyberangriffe (Softwareschwachstellen, Ransomware, Malware usw.) deutlich vergrössert. Wichtig sind die Definition und die Einhaltung von Cybersecurity-Architekturprinzipien, die bereits in der Designphase einer neu zu implementierenden Lösung berücksichtigt werden müssen. Als Königsdisziplin gilt, die Cybersecurity-Architektur so zu gestalten, dass sie möglichst uneingeschränkt mit den dynamischen Veränderungen der IT-Architektur umgehen kann und so auch neue Businessanforderungen schnell umgesetzt werden können. Das regelmässige Alignement der Geschäftsstrategie mit der IT-Strategie, bis hin zur IT-Architektur, ermöglicht eine vorausschauende Planung.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Für die Marktbeurteilung müssen dem Unternehmen in erster Linie die IT-Landschaft, die Datensammlungen sowie die genutzten externen Dienstleistungen lückenlos bekannt sein. Die Relevanz von Managed Security Services und IT-Security Produkten lässt sich dann anhand der IT-Risikoanalyse und den mutmasslichen Angriffsvektoren ableiten. Dabei spielt auch die Risikobereitschaft eines Unternehmens eine entscheidende Rolle. Im Rahmen der digitalen Transformation ist ein Gleichgewicht zwischen dem Risikomanagement und dem Risikoappetit herzustellen, was wiederum einen Einfluss auf die gewählten Sicherheitsdienstleistungen und Produkte hat. Bei deren Bewertung helfen sicher unabhängige Marktanalysen und der Erfahrungsaustausch mit Unternehmen aus der gleichen Branche. Durch externe Sicherheits-Audits können dann alle Bereiche einer Organisation auf ihre Verwundbarkeit hin überprüft und so auch die Wirksamkeit der gewählten Cybersecurity-Produkte und Dienstleistungen validiert werden.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Früherkennung ist zentral, damit die Ausbreitung einer Malware innerhalb eines Unternehmens möglichst schnell gestoppt werden kann. Um den Schaden in Grenzen zu halten ist es wichtig, dass Unternehmen vorbereitet sind und schnell handeln können. Entscheidend ist auch, dass alle Mitarbeitenden auf IT-Sicherheitsthemen sensibilisiert werden. Zum Beispiel hilft eine erstellte Notfallkarte dabei, in einer Stresssituation die notwendigen organisatorischen und technischen Massnahmen strukturiert und effizient durchzuführen. Die nationalen Center für Cybersicherheit stellen bewährte Guidelines zur Bewältigung von Cyberangriffen bereit. Es lohnt sich, diese auf das eigene Unternehmen zu adaptieren. Die Simulation von Cyberangriffen hilft dabei, die Angriffsbewältigung zu optimieren sowie die Notfall- und Wiederanlaufpläne periodisch zu überprüfen. Auch hier gilt das bekannte Sprichwort: «Übung macht den Meister».
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Die transparente Kommunikation einer periodisch aktualisierten Geschäftsrisikobetrachtung mit der Bewertung von IT-Risiken in der ganzen Wertschöpfungskette des Unternehmens. Auch das Aufzeigen bestehender Sicherheitslücken im eigenen Unternehmen führen der Geschäftsführung und dem Vorstand die Dringlichkeit des Themas vor Augen. Dabei helfen konkrete Beispiele und Metriken, die Handlungsnotwendigkeit zu unterstreichen und Investitionen in die Cybersicherheit zu erzielen. Ein konkretes Beispiel sind die Ergebnisse eines Testversands von Phishing-E-Mails, die Reaktionszeit bei Zwischenfällen sowie die Effektivität von bereits getätigten Investitionen in die Cybersecurity. Regelmässig aggregierte Informationen über die potenziellen Risikofaktoren, zum Beispiel aus dem Reporting vom National Cyber Security Centre, schaffen die nötige Aufmerksamkeit und Awareness für das Thema Cybersecurity auf der Ebene von Vorstand und Geschäftsführung.