Von WhatsApp bis zum Videoconferencing: Cloud-, Remote und Social Media Anwendungen werden zum Compliance- und Cybersecurity Risiko

by Fernando Ducoing

Jürgen Renfer ist CIO und CISO der Kommunalen Unfallversicherung Bayern. In Vorbereitung des neuen Cyber Security Factsheets 2021, das Confare in Zusammenarbeit mit T-Systems veröffentlicht, wollten wir von Jürgen wissen, was für ihn die wichtigsten GRC (Governance, Risk, Compliance) Trends sind und welche organisatorischen, technischen und menschlichen Faktoren für mehr Schutz wirksam sind.

Aktuellen Austausch zu GRC Trends an Hand von Praxisbeispielen gibt es auf Österreichs wichtigstem IT-Treffpunkt, dem Confare #CIOSUMMIT 2021 oder im Rahmen des Digitalen Confare CIO ThinkTanks.

Confare Digital CIO THINKTANK -T-Systems
Welche Fragen sollte man sich im Cloud-, Remote und Social Media Zeitalter rund um Infrastruktur und Netzwerk stellen, wenn es um Cyber Security geht?

Netzwerke und dahinter liegende Infrastrukturen erfahren zunehmend immanente Lücken durch Einsatz von Cloud-, Remote und Social Media Anwendungen. Bspw. hat das prominente WhatsApp-Beispiel zur Folge, dass Kontaktdaten Dritter übertragen werden können. Pandemie-bedingt wachsende Kollaborations-Nutzung wie bspw. Videoconferencing läuft häufig Cloud-basiert und kann zu ähnlichem Kontrollverlust über Datenflüsse führen. Generell führt das „always on“-Paradigma zu vielfältigen neuen Angriffsvektoren im Cyber-Raum, die mit herkömmlichen Mittel nicht mehr beherrschbar sind und zwangsläufig die Inhaltkontrolle von Datenströmen erfordert, was wiederum mit Grundsätzen der informationellen Selbstbestimmung kollidieren kann. Letztlich stellt sich daher die Frage der Güterabwägung.

Jürgen Renfer, CIO&CISO -Wie kann man sich den nötigen Überblick über Cyber-Risiken und Schwächen verschaffen?

In Anbetracht erheblich quantitativ wie qualitativ wachsender Informationsfülle zu abstrakten wie konkreten Cyber-Bedrohungslagen erscheinen Maßnahmen wie (externe) Schwachstellen-Tests, Einrichtung von oder Zusammenschlüsse mit Computer Emergency Response Teams (CERTS) bzw. Security Operation Center (SOCs) und nicht zuletzt modere Cyber-Versicherungen geboten, deren Abschluss zwangsläufig die individuelle Cyber-Risikolage von Unternehmen ausleuchtet.

Was sind 2021 die größten Herausforderungen bei der IT-Compliance?

Soweit man IT-Compliance als Gesamtheit aller einschlägiger gesetzlicher Regelungen und untergesetzlicher Normen versteht, besteht die Herausforderung zunächst darin, den Überblick zu erhalten und gesamtheitlich abgestimmte Maßnahmen einzuleiten, die Zielkonflikte tlw. gegenläufiger Zielbilder ausgewogen bedienen können.

Was braucht es, um eine ganzheitlichen Governance, Risk & Compliance Betrachtung zu erhalten?

Interdisziplinäre Kompetenz und gesamtheitlichen Überblick, was in Anbetracht der Herausforderungen zunehmend schwer zu finden sein wird, denn GRC darf nicht nur verwaltet, sondern muss aktiv und Branchen- wie Unternehmens-spezifisch gestaltet werden.

Welche organisatorischen Maßnahmen sind erforderlich um ein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status zu erhalten?

Ohne Einsatz geeigneter Werkzeuge zur Zusammenführung der Informationsmengen geeignet platzierter Hard- und Software-Sensoren sowie Ableitung auf wenige aussagekräftige KPIs wird kein ganzheitliches Bild über Infrastruktur, Angriffe und Sicherheits-Status entstehen können.

Was sind die entscheidenden Faktoren für eine Cyber Resilienz?

Als entscheidend Faktor dürfte die Zielgruppen-gerechte Sensibilisierung von Anwender*innen-, Administrator*innen und Entscheider*innen gelten. Neben klaren Cyber Security-Prozessen und deren regelmäßig wiederholter Einübung, was übrigens ein langjährig bewährtes Vorgehen bei vielen etablierten BOS (Behörden und Organisationen mit Sicherheitsaufgaben) -Organisationen des Zivil- und Katastrophenschutzes in der analogen Welt ist.

Welche Maßnahmen können dazu beitragen sich vor noch unbekannten Bedrohungen zu schützen?

Hinreichend ausgeprägte Digital-Kompetenz und gesunder Menschenverstand: wo neue Risiken ihren Nährboden finden, ist vlt. eher durch eine ausgewogene Mischung aus Organisations-Soziologie bzw. –Psychologie und Technologieverständnis als durch Soft- oder Hardware-basierte Werkzeuge mit prädiktiven KI-Ansätzen zu erwarten.

Nachhaltigkeit, Leadership, Collaboration, Data-Driven Business, Cyber Security, Kulturwandel sowie die wichtigsten IT-Management Events im DACH-Raum. Wir halten Sie auf dem Laufenden.

Confare Newsletter

Interessante Videos zu diversen Themen finden Sie auf unserem YouTube-Kanal.

Für Sie ausgewählt

Leave a Comment