Die Swiss Life Gruppe ist der grösste Lebensversicherungskonzern der Schweiz mit dem erklärten Ziel, Menschen dabei zu unterstützen, ein selbstbestimmtes Leben zu führen. Vertrauen und Sicherheit sind Grundwerte, um diese Vision in die Tat umzusetzen. Auch im IT-Umfeld! Nikola Dinic, MSc ist Senior Manager IT Risk Assurance / IT Security. Im Zuge der Recherche für das kommende Confare Factsheet „Cyber Security Update 2022“ in Kooperation mit T-Systems Alpine – Confare wollten wir von ihm wissen, wie Cloud, Digitale Transformation und moderne Bedrohungen die Rolle der IT-Security im Unternehmen verändern.
Treffen Sie Sandra Hauser, CIO Zurich Insurance Group, Achim Baumstark, CTO bei Helvetia und zahlreiche weitere hochkarätige Vertreter der Schweizer Versicherungsindustrie beim Confare #CIOSUMMIT Zürich, dem mit der Verleihung des Swiss #CIOAward wichtigsten IT-Management-Treffpunkt der Schweiz.
Nikola Dinic, welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Cybersecurity hat in modernen Unternehmen einen langen Weg von der ausschließlich technischen Rolle bis hin zu einer holistischen, integrativen und multidimensionalen Disziplin gemacht, die mittlerweile als Enabler, aber gleichzeitig auch als ein kritischer Baustein der Geschäftsziele dient. Dazu hat vor allem die massive Verbreitung der Internet-Dienste sowie die damit verbundene Digitalisierung bzw. Automatisierung der Inhalte bzw. Vermarktungsprozesse beigetragen, die diese zugänglich für Millionen von Kunden, Unternehmen und Dritten machten. Dieses exponentielle und blitzschnelle Wachstum in Komplexität und Volumen der Prozesse sowie unterstützender Technologien ist heutzutage zu einer Normalität geworden, die Cybersecurity-Spezialisten, aber auch C-Suites weltweit in den kommenden Jahren beschäftigen wird.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfliessen müssen?
Neben dem klassischen Ansatz und Unterteilung der Cybersecurity-Aktivitäten in GRC-Teil sowie Incident Response hat sich meiner Meinung nach in den letzten Jahren der holistische Ansatz als unerlässlich bewiesen. Und das nicht nur auf der Ebene der mittlerweile mächtigen Security-Tools, sondern vor allem der Integration der Cybersecurity in alle relevanten Geschäftsabläufe sowie Produktsourcing/Lifecycle unabhängig von der Branche. Ein weiterer Aspekt, der wichtiger denn je zu sein scheint, ist der Faktor Mensch: beste Security-Strategien sowie Regelwerke scheitern oft an grundlegenden Lücken im Bewusstsein der Mitarbeiter, was wiederum zu einigen der grössten Breaches in den letzten Jahren geführt hat.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach aussen – was braucht es, um sich hier sicherheitsmässig gut aufzustellen?
Es ist mittlerweile klar, dass sich Zukunft im Cloud bewegen wird. Frage ist nun nur in welcher Form bzw. welche Richtung diese nehmen wird. Ein wichtiger Punkt dabei ist der klassische IT-Security-Compliance-Teil (z.B. diverse Security Zertifizierungen), der eine gewisse Absicherung für mittlerweile immer größer werdende Gemeinschaft der geschäftlichen Cloud-Nutzer fungiert. Weiterer Aspekt ist genaue Bezeichnung der eigenen Bedürfnisse bzw. Wege um das Verhältnis zu einem Managed Services Provider proaktiv zu steuern. Dazu gehören regelmäßige und detaillierte Risk Assessments, die als frühe Signale für potentielle Diskrepanzen in Security Soll/Ist-Werten darstellen.
Welche organisatorischen Massnahmen sind erforderlich, um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Breit aufgesetzte Mitarbeiter-Security-Trainings/Befragungen sind No-brainers in der Hinsicht. Allerdings müsste man auch bedenken, dass Erfahrung bisher gezeigt hat, dass diese normalerweise erst gute Ergebnisse zeigen, wenn sie dem Publikum in geeigneter Form, Detaillierungsgrad sowie passenden Zeitabständen angeboten werden. Infrastrukturelle bzw. Security-Status-bezogene Punkte können gut über sinnvolle Verwendung der gängigen Security-Tools, aber auch durch Marktvergleichswerte und (externen) Security Assessments erschlossen werden.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Diese kritische Frage wird in der Zukunft immer mehr an Bedeutung gewinnen, und der Grund ist einfach: Ein high-end Security-Tool ist so gewinnbringend, wie man es bedient und seine Funktionalitäten im Einklang mit der Erfüllung der Business-/Security-Ziele stehen. Um das zu erreichen, muss man vor allem verstehen, welche Risiken mit welchen kritischen Assets in Unternehmen verbunden sind. Danach ist der Sprung zu einem effektiven und operativen Einsatz von diesem eher ein kürzer.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity-Investitionen geht?
Meine Erfahrung zeigt, dass Boards schnell/kräftig reagieren, wenn ein Vorfall schon passiert ist. Und da ist genau das Problem – proaktiv agieren statt reagieren. Um einen akuten Security-Sachverhalt dem Board schmackhaft und verständlich zu präsentieren, bedarf es vor allem einer breiten Analyse der aktuellen Ereignisse am Security-Markt, die als Basis für konkrete Szenarien fürs betroffene Unternehmen dienen können. Hier ist der Schreckeffekt eher sekundär – oft ist der C-Suite gar nicht bekannt, was und wie durch Cyberattacken gefährdet werden kann sowie welche Konsequenzen zu ziehen wären.
Was ist notwendig, um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Man kann es nicht genug betonen – im Falle eines solchen Angriffs ist der durchdachte, gut und oft geübte sowie vor allem an alle kritischen Stakeholder kommunizierte IR-Plan kritisch. Neben Infrastrukturellen Aspekten (z.B. War rooms, verschlüsselte Kommunikationswege für relevante Entscheidungsträger usw.) ist in der letzten Zeit ebenso eine rechtzeitige Alarmierung der entsprechenden Behörden sowie ab einem bestimmten Zeitpunkt breiter Öffentlichkeit von Belang bzw. zwingend zu beachten.