„TTTech aus Wien wird Unicorn: 250 Mio. Euro Investment von Aptiv und Audi“, diese Schlagzeile hat im Februar für Aufsehen gesorgt. Von Raumfahrt bis Automobil-Industrie, das Softwareunternehmen TTTech ist überall dort aktiv, wo revolutionäre technische Entwicklungen passieren. Daten- und Informationen sind wesentliche Faktoren für den Wert des Unternehmens. Ihre Sicherheit spielt daher eine besondere Rolle für den Unternehmenserfolg. Sascha Hönigsberger ist CISO der TTTech Gruppe. Im Interview verrät er uns, was für ihn die entscheidenden Faktoren von Cybersecurity-Strategien, -Architekturen und -Schutzmaßnahmen sind.
Cybersecurity ist auch ein besonders wichtiges Thema bei den Confare CIOSUMMITs in Wien, Zürich und Frankfurt. Mehr als 500 CIOs und CISOs haben sich bereits angemeldet. Die Teilnahme bei den wichtigsten IT-Treffpunkten im DACH-Raum ist für sie kostenlos.
Zahlreiche Meinungen, Tipps und Erfahrungen erfolgreicher IT-Manager aus Top-Unternehmen finden Sie in den Confare Factsheets – mit dem Factsheet Abo landen diese bequem bei Ihnen im Postfach. Aktuelle Themen sind dabei u.a. Cybersecurity, Cyber-Resilience, Customer Centric IT, Software-Strategien und vieles mehr.
Welche Rolle nimmt Cybersecurity in einem modernen Unternehmen ein?
Wie uns die immer größer werdende Anzahl von, auch in den Mainstreammedien präsenten, Sicherheitsvorfällen immer stärker vor Augen führt, ist Cybersecurity, durch die Digitalisierung und IT gestützte Optimierung der Geschäftsprozesse, zu einem zwingend notwendigen Fundament für eine nachhaltig erfolgreiche Unternehmensentwicklung geworden. Unter dem Titel der Lieferkettensicherheit findet die Cybersecurity auch zunehmend in den Verträgen zwischen Kunden und Dienstleistern Berücksichtigung und bekommt durch die steigende Vernetzung der Lieferketten auch zunehmend eine gesamtgesellschaftliche Dimension.
Was sind die wichtigsten Elemente, die in eine ganzheitliche Cybersecurity Betrachtung einfließen müssen?
Wenn die vielen technischen Einzelaspekte einmal beiseitegelassen werden, dann geht es beim Thema Cybersecurity vereinfacht gesagt darum die selbst betriebenen Geschäftsprozesse, sowohl in der eigenen, als auch der fremdbetriebenen Infrastruktur ausreichend zu sichern, und darüber hinaus auch die Sicherheit in den ausgelagerten Geschäftsprozessen sicher zu stellen. Es muss also sowohl die On-Premise, als auch die Cloud basierte Infrastruktur bedacht werden und auch die Partner und Zulieferer im Ökosystem des Unternehmens.
Cloud und Managed Services erzeugen sehr viel Abhängigkeit von anderen und öffnen Schnittstellen nach Außen – Was braucht es, um sich hier sicherheitsmäßig gut aufzustellen?
Aufgrund der großen Anzahl an potentiell beteiligten Partnern besteht der erste Schritt zu einer wirtschaftlich angemessenen Sicherheit sicher darin, die eigenen Kernprozesse und deren Sicherheitsanforderungen gut zu kennen und schon hier auf eine ausreichende Segmentierung, also den Aufbau von Feuermauern, auf Basis des Schutzbedarfs der jeweiligen Prozesse, zu achten. Dadurch besteht die Möglichkeit auch bei den Zulieferern und Partnern den Fokus auf jene zu legen, die zu den wichtigen Kernprozessen beitragen, und jene Teile des Ökosystems die keine großen Risiken verursachen können, auch in weniger Tiefe zu betrachten.
Für die effektive Umsetzung eines sicherheitsintegrierten Lieferantenmanagements gibt es dann eine Vielzahl von Tools, angefangen von klassischen Sicherheitszertifizierungen, über detailliertere Nachweise der Umsetzung von Sicherheitsmaßnahmen wie ISAE Berichten, hin zu Cloud-App Datenbanken, die einen grundlegenden Überblick über wichtigsten Sicherheits KPIs von Clouddiensten bieten, bis zu Services die kontinuierlich den Sicherheitszustand von Lieferanten und Partnern raten.
Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?
Die wichtigsten organisatorischen IT-Themen sind wohl die Fragen wie Cybersicherheit in Projekten berücksichtig ist, wie schnell, vor allem kritische, Schwachstellen beseitigt werden können, und wie viele sicherheitsbezogene Tests vor dem Go-Live von selbst entwickelten Applikationen durchgeführt werden. Hinzu kommt die Frage der 
Leistungsfähigkeit des Kennzahlen-Reportings, um schnell auf entsprechende Prozessschwächen reagieren zu können. Diese Themen sind natürlich auch in Bezug auf das in der IT zur Verfügung stehende Sicherheits-Know-how sowohl bei den Architekturrollen, den Software-Engineers und den betrieblichen Rollen zu sehen. Wichtig in diesem Kontext ist natürlich auch die grundlegende Fähigkeit des Unternehmens transparent und offen mit Risiken umzugehen, und hier nachvollziehbare, zeitnahe, Entscheidungsprozesse zu entwickeln.
Auf Basis dieser Vorsorgemaßnahmen kommt dann natürlich noch die Notwendigkeit von Security Incident Response Prozessen, und regelmäßiger Übungen von Sicherheitsszenarien im Rahmen eines Business Continuity Managements.
Was sind die wichtigsten Elemente einer Cybersecurity Architektur? Worauf muss man als CIO achten?
Zuerst ist es wichtig zu verstehen, dass eine Cybersicherheits-Architektur nicht sinnvoll losgelöst von einer grundlegenden Enterprise-IT-Architektur entwickelt werden kann, da sie nur ein Bestandteil eben dieser ist. Und dann ist es wichtig, dass sowohl auf der technischen als auch der organisatorischen Ebene, die Aspekte der Angriffs- bzw. Ereignisvorsorge, -erkennung und -abwehr, sowie der Überprüfung der der Maßnahmenwirksamkeit in einem ausgewogenen Verhältnis zueinanderstehen. Hier haben viele Unternehmen, historisch bedingt, noch einen Überhang auf den Vorsorgemaßnahmen, und sind nicht ausreichend auf die Schaden-minimierende Abwicklung der erwartbaren Vorfälle vorbereitet.
Beim Design der Cybersecurity Architektur ist es auch wichtig sich an den Zielen des Unternehmens und der durch das Geschäftsmodell, die Märkte und die Positionierung des Unternehmens definierten Risikotragfähigkeit zu orientieren, um die wirtschaftliche Angemessenheit sicher zu stellen.
Wie beurteilt man, was im Markt an Dienstleistungen und Produkten für das eigene Unternehmen wirklich relevant ist?
Ein wichtiger Kernaspekt eines Architekturmanagements ist, dass zwischen den für die Erreichung der geschäftlichen Ziele notwendigen Fähigkeiten und den Lösungen, die diese Fähigkeiten zur Verfügung stellen, unterschieden wird. Nicht jede neue Lösung bietet Verbesserungen bei jenen Fähigkeiten an die benötigt werden. Es ist hier natürlich sinnvoll sich stets über aktuell verfügbare Lösungen zu informieren, es sollte aber in einem zweiten Schritt gegen die Cybersecurity-Architektur geprüft werden, ob die von der Lösung angebotenen Fähigkeiten benötigt werden oder, ob Verbesserungen bei diesen Fähigkeiten benötigt werden.
Was ist notwendig um im Fall eines erfolgreichen Angriffs schnell handeln zu können?
Auch wenn kein Angriff dem Anderen gleicht und natürlich auch nicht den beübten Szenarien exakt entspricht, ist es entscheidend, dass das Notfall- oder Krisenmanagementteam eingespielt ist, dass die Kompetenzen und die Kommunikation zu den regulären Entscheidungsträgern klar geregelt und auch geübt sind. Nur so ist es möglich in der notwendigen Gelassenheit und Ruhe die Lagebilder zu erstellen, zu analysieren, Entscheidungen vorzubereiten und zu exekutieren. Da meist nicht sämtliche notwendige technische oder Kommunikationsexpertise im Unternehmen vorhanden sein wird, ist es wichtig auch hier Ressourcen von zumindest zwei erfahrenen Partnern bereits vertraglich vorfixiert zu halten um im Bedarf schnell auf diese zugreifen zu können. Auf keinen Fall unterschätzen darf man an dieser Stelle, dass Notfälle und Krisen praktisch immer als Marathon und nicht als Sprint zu verstehen sind. Es ist also wichtig mit den zur Verfügung stehenden Ressourcen nachhaltig um zu gehen, und auch in Diskussionen und Entscheidungsprozessen immer auf eine wertschätzende Kommunikation zu achten.
Welche Argumente zählen bei Vorstand und Geschäftsführung wirklich, wenn es um Cybersecurity Investitionen geht?
Hier gibt es kein Patentrezept, da die Wahrnehmung von Risiken und der Umgang mit diesen, auch bei gesetzlichen Grundlagen, wie der Sorgfaltspflicht, sehr eng mit der Persönlichkeitsstruktur und den Erfahrungen der jeweiligen Entscheider zusammenhängt. Die allgemeine Empfehlung kann hier also nur lauten entsprechend in die Beziehungsebene mit den Entscheidern zu investieren, um die für sie wichtigen Argumente zu identifizieren.