OUT NOW im #Confare Blog alles über Technologie, Arbeitswelt, Prozesse und Informationssicherheit
Matthias Harrer verantwortet als Chief Information Security Officer das Thema Cybersecurity an der WU Wirtschaftsuniversität Wien (WU). „Information-Security ist my Passion!“ ist das Motto auf seinem LinkedIn Profil. Matthias ist überzeugt: Digitalisierung darf nicht bei der Informationssicherheit halt machen.
In der Recherche für das kommende Confare Factsheet „Cyber Security Update 2023“, das Confare in Zusammenarbeit mit T-Systems Austria veröffentlicht, haben wir mit Matthias über die Rolle des CISO und das Zusammenspiel zwischen Cybersecurity und CIO gesprochen.
Kein Factsheet verpassen? Einfach das Confare Factsheet Abo bestellen!
Mehr als 500 hochkarätige CIOs und CISOs sind bereits angemeldet beim Confare #CIOSUMMIT, dem größten und wichtigsten IT-Management Treffpunkt des Jahres. Haben Sie schon Ihren Platz gesichert?
Inflation, Pandemie, Krieg – Welche Herausforderungen bringen die aktuellen Unabwägbarkeiten für die Unternehmens-IT?
Digitalisierung ist eines der zentralen Themen der letzten 10 Jahre. Dabei geht es nicht nur um die Einführung von Tools, sondern auch darum, Arbeitsprozesse zu transformieren und den Arbeitsplatz digital zu gestalten. Dabei wird oft vergessen, dass auch die Informationssicherheit digitalisiert werden muss. Es reicht nicht mehr, nur die Büros abzusperren.
Die Pandemie brachte zwei Herausforderungen: 1. Digitalisierung musste beschleunigt, und 2. Angreifer, waren sich der Situation bewusst.
Viele Unternehmen stehen vor der Situation, dass sie zwar eilig digitalisiert haben, jedoch wieder, ohne die Informationssicherheit berücksichtigt zu haben. Hauptsache die Mitarbeiter*innen konnten wieder arbeiten. Das ist verständlich. Jedoch muss die Sicherheit nachgezogen werden.
Der russische Angriffskrieg bringt eine weitere Herausforderung, da er nun auch eine hybride Kriegsführung mit sich bringt.
Es besteht nun für viele ein großes Risiko, Millionenbeträge für die Aufarbeitung von Hacker-Angriffen bezahlen zu müssen.
Widerstandskraft (also Resilienz) ist in unsicheren Zeiten zu einem entscheidenden Faktor für die Unternehmens-IT geworden. Was sind die wichtigsten Faktoren dabei?
Informationssicherheit darf nicht einfach als Verhinderer angesehen werden, sondern auch als echter „Enabler“. Gute Sicherheitslösungen helfen Unternehmen in verschiedenen Bereichen, nicht nur in der Cybersicherheit. Ein Beispiel: Identity-Management-Systeme sind ein wichtiger Unterstützer der Cybersicherheit. Sie helfen beispielsweise Geschäftsgeheimnisse zu bewahren und heikle Personaldaten richtig zu schützen. Es hilft aber auch Workflows wie Urlaubsanträge oder Kostenstellenverantwortung, einfacher abzubilden.
Die Grundsatzfragen sind:
1) Was will ich schützen?
2) Wie gehe ich dabei vor?
3) Wie kommt man rasch in die Umsetzung?
Leider wird meist bei Punkt 2 aufgehört, da bis ins kleinste Detail diskutiert wird. Aber alle Pläne sind noch so nett, solange nicht auch etwas davon umgesetzt wird: Better done than perfect.
Welche Rolle kommt der Cybersecurity zu, wenn es um Resilienz geht?
Da inzwischen fast kein Unternehmen ohne IT-Landschaft überleben kann, ist es umso wichtiger diese zu schützen. Hier kommt die Cybersecurity ins Spiel. Ohne sie können die meisten Unternehmensprozesse nicht mehr funktionieren.
Welche sind die wichtigsten Compliance- und Regulierungstrends 2023? Worauf müssen CIOs und CISOs achten?
Es gibt große Änderungen in 2 wichtigen Bereichen: der ISO-Norm für Informationssicherheit ISO27001 sowie die dazu passende Norm für die Informationssicherheits-Controls ISO27002, sowie die „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ (NIS).
In der ISO27002 haben sich die Prioritäten stark geändert. Es geht mehr um Themen wie Supplychain Management, Threat Intelligance und Entwicklung von Software. Unternehmen müssen wegen der geänderten Standards ihr Infomationssicherheitsmanagementsystem anpassen.
Bei NIS2 wurde mit der Veröffentlichung Mitte Dezember die Rahmenbedingungen klar. Trotzdem sind viele Themen noch nicht spezifiziert. Was jedoch bereits klar ist: Die Anforderungen haben sich nicht so sehr geändert. Die Geschwindigkeit und der Umfang jedoch schon. Es werden mehr Unternehmen betroffen sein und es muss schneller umgesetzt werden.
Wie verändern sich die Rollenbilder von CIO und CISO, wenn es um Cybersecurity 2023 geht?
Oftmals wurde Informationssicherheit als lästiger Beiwagen der IT gesehen. Der CISO schreibt Maßnahmen vor die viel Geld kosten und Anwender*innen sehen davon nur, dass Dinge komplizierter werden. Diese Ansicht galt sowohl für die Vorstandsebene als auch für viele IT-Leiter.
Dieses eindimensionale Denken muss sich 2023 verstärkt ändern. CISO und CIO sollten gemeinschaftlich Herausforderungen bewältigen. Solange Unternehmen an dem Gedanken festhalten, dass der CISO „irgendetwas“ mit IT zu tun hat und deshalb unter dem CIO angesiedelt sein soll, können beide Parteien ihre Aufgaben nicht erfüllen. CISOs müssen verstärkt ihrer Governance-Aufgabe nachkommen, um Transparenz zu schaffen und Informationssicherheit weiterzuentwickeln. Auf Seiten des CISO geht es auch darum, realistische und pragmatische Anforderungen zu schaffen, die von der IT auch umgesetzt werden können. Dazu muss es auch technisches Verständnis und einen Sinn für neue Technologien geben.
Es geht aus meiner Sicht darum, dass sich CIO und CISO auf Augenhöhe begegnen. Mit Verständnis für die jeweils andere Rolle und dem Willen, gemeinsam die großen Herausforderungen der Digitalisierung zu meistern.
Agilität, Kundenorientierung und Geschwindigkeit sind Erfolgsfaktoren in einem hoch dynamischen Umfeld. Wie lässt sich das mit Forderung nach Stabilität, Widerstandsfähigkeit und Sicherheit unter einen Hut bringen?
Oft wird Agilität und Kundenorientierung als Ausrede verwendet, um zu tun und lassen zu können, was man will. Doch damit Agilität auch gelebt werden kann und einen unternehmerischen Vorteil, benötigt es Regeln und Prozesse.
Informationssicherheit ist ein Unterstützer, denn wie auch Agilität benötigen beide klare Spielregen, klare Kommunikation und Transparenz. Möchte man beides leben, ist dies kein Widerspruch. Sondern eine gelungene Partnerschaft.