Cybersecurity: CIO Rolf Herzog über Risikomanagement, Technologie und Security Awareness

Heute sicher, morgen wegen Sicherheits-Lecks in der Zeitung

Wer mit Kinos und Sport-Live-Berichterstattung seinen Unterhalt verdient, hat in Zeiten der Coronakrise kein einfaches Leben. In der CT Cinetrade AG nutzt man die Zeit des Lockdowns,  um den PayTV Bereich noch attraktiver zu machen und Grossprojekte abzuwickeln, natürlich vom Home-Office aus. Das bedingt auch entsprechende Cybersecurity. Rolf Herzog ist einer der Nominierten für die Auszeichnung #CIO2020 – CIO OF THE DECADE. Hier kann man ihn beim täglichen Voting unterstützen. Persönlich treffen Sie 150 hochkarätige IT-Entscheider beim 9. Confare SWISS CIO SUMMIT in Zürich. Für unsere Blog-Reihe zum Thema Cybersecurity haben wir mit ihm über Risikomanagement, Technologie und Security Awareness gesprochen.

Welche Rolle spielt Cybersecurity für den Unternehmenserfolg tatsächlich?

In der Informatik gibt es Pflicht- und Kür-Disziplinen. Die Kür befasst sich mit Themen, wo man sich durch Innovation und New Technology Ruhm und Ehre holt. Cybersecurity gehört zur Pflicht-Disziplin und man kann dabei weder einen Blumentopf gewinnen noch Lorbeeren holen.  Es gibt nur ganz wenige Unternehmen, welche dank extrem hoher Cybersecurity einen Marktvorteil herausholen können. Wird die Security aber vernachlässigt, kann dies zum Ruin und Konkurs des Unternehmens führen. Von dem her spielt Cybersecurity eine Schlüssel-Rolle für den Unternehmenserfolg.

Was sind Ihre wichtigsten Empfehlungen, um Risiken in IT zu beurteilen und zu managen?

Risiko-Management gehört zur Basis-Arbeit der IT. In der Rubrik „Security“ muss diese sogar intensiver und regelmässiger betrieben werden, da hier alles viel schnelllebiger ist. Was heute sicher ist, erscheint morgen schon in den Medien wegen Sicherheits-Lecks.

Wie sehen Sie die Bedrohungsszenarien in Zusammenhang mit Digitalisierung, IoT und zunehmender Vernetzung?

Früher konnte man Sicherheits-Lecks noch einfacher isolieren und das Firmen-Netz schützen. Ein möglicher Schaden war überschau- und einschränkbar. Mit der zunehmenden Digitalisierung und IoT macht das Risiko einen Quantensprung und wir kommen in neue Dimensionen der Gefahren.

Funktionalität vor Sicherheit gilt auch bei IoT nicht mehr und Sicherheitsthemen werden zu Standard-Anforderungen und dürfen nicht mehr vernachlässigt werden.

Mit dem Ausbau von 5G wird die Verbreitung von IoT-Geräten drastisch zunehmen und zum attraktiven und bevorzugten Tummelplatz von Cyberangriffen werden. IoT-Geräte mit Verbindung zum Unternehmens-Netzwerk und/oder RZ werden zur Bedrohung des gesamten Unternehmens.

Durch die heutige Vernetzung bis hin zu jedem Gerät nimmt die Bedrohung weiter ständig zu. Der Vergleich mit Militär, wo man mit Verteidigungswaffen eigentlich immer einen Schritt zu spät ist gegenüber den neuesten Angriffswaffen, kann hier gemacht werden. Eigentlich rennt man immer hinterher und kann eigentlich den Angreifern nur das Leben erschweren und die Hürden höher machen. Ganz vermeiden kann man das Risiko nicht.

Heute, wo man in Unternehmen bis zu 30% der Investitionen für Cybersecurity ausgibt, gilt aber der Mitarbeiter als schwächstes Glied der Abwehrkette. Ein grosser Teil der Angriffe kommt jetzt über Email, Social Engineering und unsichere Webseiten.

Kann die IT alleine diese Szenarien abdecken und welche Zusammenarbeit braucht es im Unternehmen für einen umfassenden Schutz?

Technisch ist die Vermeidung oder Reduzierung von Risiko mit dem vorhandenen Budget klar in der Verantwortung der IT. Die obersten Gremien in der Unternehmung sind aber auch in der Verantwortung und müssen sich mit dem Thema befassen. Der wichtigste Teil ist aber der Mitarbeiter, welcher das grösste Risiko darstellt, aber auch zum Verbündeten gemacht werden kann. Dies bedingt aber, dass jeder im gleichen Boot und bewusst ein Verteidiger der Firma-Sicherheit ist.

Wie sehen 2020 die wichtigsten Anforderungen an die Cybersecurity Infrastruktur aus? Was sind die entscheidenden Elemente?

Gemäss den identifizierten Risiken müssen die strategisch wichtigsten zu schützenden Komponenten gestählt und gesichert werden. Da man mit dem Thema Security bei den meisten Unternehmen kein Geld machen und nur verlieren kann, ist das Motto, soviel Investition wie nötig an den richtigen Stellen, so wenig wie möglich, da die Ressourcen limitiert sind.

100%ige Sicherheit ist nicht möglich. Die Hürden aber so hoch setzen damit der Aufwand für einen Angriff gross wird, ist jedoch Grundvoraussetzung. Wichtig ist, dass man mit den getätigten Massnahmen ruhig schlafen kann.

Technologie und Restriktionen vs. Organisation und Awareness – Wo sehen Sie am meisten Handlungsbedarf?

Je sicherer die Arbeitsumgebung, desto weniger produktiv kann der Mitarbeiter arbeiten. Also gilt es transparent und verständlich einen Mix von Restriktionen einzuführen und gleichzeitig organisatorische Massnahmen zu treffen.

Ein grosses Risiko ist das Social Engineering und somit beim Mitarbeiter. Hier ist es wichtig, immer wieder die Awareness zu schärfen und zum Thema innerhalb der Firma zu machen.  Die Mitarbeiter sind mittlerweile die letzte Verteidigungslinie und müssen fit auf dem Thema sein.

Wenn ich aber sehe, wie viele Mitarbeiter in verantwortungsvollen Positionen immer noch an öffentlichen Orten oder über jedes verfügbare gratis W-LANs geschäftskritische Funktionen abwickeln, muss noch einiges an der Awareness in der Gesellschaft gearbeitet werden.

Mit welchen Technologien muss man sich 2020 auf jeden Fall befassen, wenn es um Cybersecurity geht?

Scareware, Malvertising, CEO Scam oder SQL-Injection, die Angriffsmöglichkeiten werden täglich mit neuen Begriffen und Risiken erweitert. Der Anspruch ist nicht, dass man sagen kann, hier fokussiere ich mich. Die Anforderung ist breit, kosteneffizient, risikobasierend und bedingt vor allem flexible und angepasste Betrachtung. Was innerhalb der letzten Wochen wegen Corona in der Arbeitswelt geändert hat, verändert sofort den Fokus und die Angriffsmöglichkeiten. Plötzlich stehen wegen HomeOffice alle Büros leer und ergibt neue Vorort Angriffsmöglichkeiten. Beim ganzen Thema Cybersecurity muss man sich eingestehen, dass man Inhouse nicht alle Technologien abdecken kann und man zu speziellen Punkten auf externe Spezialisten zurückgreifen muss.

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.