web analytics

„In der Security geht es vor allem um Resilienz“ – Source: www.csoonline.com

„in-der-security-geht-es-vor-allem-um-resilienz“-–-source:-wwwcsoonline.com
Rate this post

Source: www.csoonline.com – Author:

Julia Mutzbauer

Interview

3. Juni 20257 Minuten

Daten- und Informationssicherheit

Es gibt zahlreiche Tools, um Unternehmen vor Cyberangriffen zu schützen. Für Timo Wandhöfer, CISO bei Klöckner, zählt jedoch etwas anderes.

Timo Wandhöfer, Klöckner-CISO
Timo Wandhöfer verantwortet als Group CISO beim Metallverarbeiter Klöckner & Co den Bereich Informationssicherheit und Business Continuity Management (BCM).

Klöckner & Co SE

Ransomware-Attacken zählen nach wie vor zu den größten Cyberbedrohungen in der Industrie. Wie schützen Sie Ihr Unternehmen vor solchen Angriffen? Und worauf kommt es dabei besonders an?

Wandhöfer: Ja, das ist richtig. Auch bei Klöckner sehen wir Ransomware als eines der größten Risiken. Um das Thema ganzheitlich anzugehen, werden bei uns Informationssicherheit und Business Continuity Management (BCM) zusammen gedacht. Bei einer Ransomware-Attacke geht es vor allem um Resilienz und nicht nur um Schutz. Deshalb haben wir eine Cyber Security & Resilienz-Strategie entwickelt.

Sie rechnen also damit, von einer Ransomware-Attacke getroffen zu werden und bereiten sich gezielt darauf vor?

Wandhöfer: Ja genau. Wir alle wissen, dass sich so ein Angriff fast nicht verhindern lässt. Infolgedessen müssen sich Unternehmen so resilient wie möglich aufstellen, um den Schaden möglichst gering zu halten und die Geschäftsfortführung zu gewährleisten. Entscheidend ist, dass man akzeptiert, jederzeit getroffen werden zu können, ohne dann überrascht zu sein.

Dazu haben wir uns mit den folgenden Fragen auseinandergesetzt: Was ist der größtmögliche Schaden? Wo wären wir betroffen? Anschließend haben wir ein Programm aufgesetzt, in dem alle notwendigen Themen bei der Prävention, Angriffsbewältigung, im Krisenmodus und bei der Wiederherstellung mit einbezogen wurden.

Wir erhöhen dabei unseren Reifegrad zwar auf allen Ebenen, aber man kann sich nicht von heute auf morgen in allen Bereichen perfekt aufstellen. Das ist auch nicht notwendig. Es geht um Risikoabschätzung und Priorisierung. Deshalb ist es wichtig, dass man seine Schwachstellen kennt und seine kritischen Geschäfts-Prozesse und Systeme definiert. Das ist auch ein Teil unseres Programms. Wir haben dazu eine Struktur mit Security & Resilienz-Prozessen sowie Rollen und Verantwortungen aufgebaut, damit jeder weiß, was zu tun ist.

Wichtig ist überdies, dass das Programm natürlich nicht funktioniert, wenn es nur von einer Person erstellt wird. Hier sollten alle Stakeholder beteiligt werden, ihr Commitment abgeben und Unterstützung leisten. Alle Ideen der Beteiligten sollten in die Planung mit einfließen.

„Es kommt auf die richtige Kommunikation an“

Viele CISOs klagen, dass das Budget für die Cybersicherheit zu gering ist. Wie sorgen Sie dafür, dass die Ausgaben sinnvoll eingesetzt werden?

Wandhöfer:  Es ist tatsächlich ein Trend, dass das Budget stärker hinterfragt wird. Das ist auch richtig aus meiner Sicht. Man sollte Ausgaben für die Security nicht einfach blind leisten, sondern erst nach dem Purpose fragen. Im Prinzip geht es um die Fragen, was ich am Ende als Unternehmen kriege und wie die Ausgaben die gesamte Risikosituation für meinen Geschäftsbetrieb und die Unternehmensstrategie optimieren. Diesen Ansatz finde ich sehr wichtig, aber viele CISOs kommen erst einmal mit Forderungen. Bei uns wird jedoch zunächst einmal geprüft, ob die Ausgaben überhaupt erforderlich sind und welche priorisierten Handlungsfelder sie bedienen.

Der Purpose für Investitionen  hängt jedoch von der Branche ab. Im Vergleich zum Finanzsektor funktioniert es in der Industrie etwas anders. Banken müssen schon allein aus regulatorischen Gründen vieles stringenter umsetzen und arbeiten eher Governance-getrieben. Die Industrie ist davon nicht so sehr betroffen. Dort wird eher ein Tool beschafft und dann die Governance nachgezogen. Egal welche Branche – es kommt vor allem auf die richtige Kommunikation an, damit Einigkeit über den Zweck von Ausgaben besteht.

Worauf sollte man bei der Kommunikation achten? Welche Maßnahmen können helfen?

Wandhöfer: Bevor ich das Gespräch führe, mache ich mir Gedanken darüber, wie ich mein Anliegen verständlich und nachvollziehbar darlegen kann. Das heißt, ich muss Adressatengerecht kommunizieren. Wenn ich beispielsweise vom Board finanzielle Freigaben benötige, muss ich die aktuelle Situation beschreiben und aufzeigen, was sich dadurch mit Bezug auf die übergeordnete Zielstellung, verbessert.

Zudem sollte ich im Vorfeld mit den unterschiedlichen Abteilungen gesprochen haben, die die Investition dann tragen müssen. Zum Beispiel die IT, der wichtigste Partner eines CISO. Es reicht aber nicht aus, wenn ich dabei nur mit dem CIO spreche. Deshalb wende ich mich auch an alle Experten, die für spezielle Themen wie Backup und Desaster Recovery zuständig sind, um ein ganzheitliches Meinungsbild zu erhalten.

„CISOs müssen in verschiedenen Sprachen sprechen“

Darüber hinaus ist Kommunikation besonders wichtig, um Mitarbeiter zu erreichen. Sie sind Teil der Lösungsfindung und des Schutzes. Mitarbeiter sind aber auch entscheidend, wenn es zu einem Vorfall kommt. Nur mit ihrer Hilfe können Unternehmen die schwierige Situation bewältigen.

Dazu muss ich erst einmal erklären, was wir brauchen und wie wir uns vorbereiten. An dieser Stelle reicht ein typisches Awareness-Training nicht aus. Deshalb müssen wir eine Kultur etablieren, in der jede Person weiß, was Resilienz bedeutet, wie sie das Unternehmen stärkt, und was sie selbst dazu beitragen kann.

Dabei sehe ich Kommunikation als wichtigstes Mittel an, da ich in verschiedenen Sprachen sprechen muss. Diese sollten speziell auf die entsprechende Abteilung zugeschnitten sein. Ich muss zum Beispiel mit der Personalabteilung anders sprechen als mit der IT. Wenn wir erreichen, dass alle Mitarbeitenden verstehen, worum es geht, dann erreichen wir auch unsere Ziele in der Security.

Wo sehen Sie noch Handlungsbedarf in Sachen Sicherheit im Hinblick auf die Zukunft?

Wandhöfer: Wenn man sich die Situation heute ansieht, sind die Unternehmen generell noch nicht gut genug aufgestellt, sei es in der Prävention, Detektion oder im Krisenmanagement. All das ist noch nicht auf dem Level, wo es heutzutage eigentlich sein müsste. Deshalb gibt es auch so viel Regulatorik.

Hinzu kommt, dass wir durch die KI-Nutzung von Kriminellen mehr und qualifiziertere Angriffe erleben werden. Deepfakes gibt es zwar heute schon, aber das wird künftig Alltag werden. Meiner Meinung nach besteht jedoch die Herausforderung nicht alleine darin, wie man auf Deepfakes oder Social Engineering reagiert, auch wenn das immer noch der Angriffsweg Nummer eins ist.

Stattdessen geht es um die Frage, wie ich mein Informationssicherheits-Management-System so aufstelle, dass es permanent in der Lage ist, besser zu werden. Dabei brauche ich ständig neue Mittel und Ressourcen. Es ist nicht so, dass ich heute ein Programm umsetze und dann endgültig fertig bin. Vielmehr geht der Prozess immer weiter. In dieser Hinsicht müssen Unternehmen noch wesentlich mehr tun.

Deutschland hat bei der Digitalisierung noch einmal den Startknopf gedrückt. Das führt dazu, dass das aktuelle Setup morgen schon gar nicht mehr ausreicht. Deshalb muss man sich auf Themen wie die Quantentechnologie vorbereiten.

Auch wissen wir heute noch nicht, welche Angriffstechniken es künftig geben wird und worauf wir uns einstellen müssen. Genau diese Anpassungsfähigkeit ist auch eine Eigenschaft von Resilienz. Wenn ich in einem Unternehmen krisenerprobt bin, fällt es mir wesentlich leichter, mich auf derartige Ereignisse einzustellen. Diese Anpassungsfähigkeit ist die Strategie, die sich Unternehmen erarbeiten und umsetzen müssen.

Sie Interessieren sich für die CISO-Perspektive? Dann lesen Sie auch:

Merck-CISO: „Eine Krisensituation erfordert klare Entscheidungen“

vgwort

ABONNIERE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.

Original Post url: https://www.csoonline.com/article/3995010/in-der-security-geht-es-vor-allem-um-resilienz.html

Category & Tags: Data and Information Security – Data and Information Security

Views: 0

LinkedIn
Twitter
Facebook
WhatsApp
Email

advisor pick´S post

Codrut Andrei
Secure Software Development Lifecycle Fundamentals by Codrut Andrei
Secure Software Development Lifecycle Fundamentals...
BUTTERWORTH-HEINEMANN
Security Operations Center Guidebook – A Practical Guide for a Successful SOC
Security Operations Center Guidebook –...
CISO Forum
CISO’s – First 100 Days Roadmap – Your success as a security leader is determined largely by your first 100 days in the role.
CISO’s – First 100 Days...
RedHat
State of Kubernetes Security Report 2022 by RedHat
State of Kubernetes Security Report...
National Cyber Security
Cyber Security Toolkit for Boards – Helping board members to get to grips with cyber security by NCSC
Cyber Security Toolkit for Boards...
Harvard Business Review
Boards Are Having the Wrong Conversations About Cybersecurity – Board interactions with the CISO are lacking – by Lucia Millica and Keri Pearlson – Harvard Business Review
Boards Are Having the Wrong...
Vendict
The 2024 CISO Burnout Report by Vendict
The 2024 CISO Burnout Report...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Marcos Jaimovich
The Silent Spectre Haunting Your Network: QPhishing, the CISO’s Unspoken Nightmare.
The Silent Spectre Haunting Your...
Marcos Jaimovich
Goodbye to Traditional: Why Conventional Cybersecurity Tools are No Longer Sufficient for the Future of Digital Threats ?
Goodbye to Traditional: Why Conventional...
Marcos Jaimovich
Why do we compare a SOC (Security Operations Center) with the cockpit of a commercial airplane? by Marcos Jaimovich
Why do we compare a...
Joas Antonio
Security Operations Center (SOC) – Tools for Operations Development by Joas Antonio
Security Operations Center (SOC) –...

LASTEST PUBLISHED POSTS

Cyberint
Retail Threat Landscape Report Q1-Q3 – November 2024 Summary by Cyberint a Check Point Company
Retail Threat Landscape Report Q1-Q3...
NCSC
Protecting Critical Supply Chains – A Guide to Securing your Supply Chain Ecosystem
Protecting Critical Supply Chains –...
Culture AI
Time to Adapt – The State of Human Risk Management in 2024 by Culture AI.
Time to Adapt – The...
National Cyber Security Centre
Engaging with Boards to improve the management of cyber security risk.
Engaging with Boards to improve...
Microsoft Security
2024 State of Multicloud Security Report by Microsoft Security
2024 State of Multicloud Security...
bugcrowd
Inside the Mind of a CISO 2024 The Evolving Roles of Security Leaders 2024 by bugcrowd
Inside the Mind of a...
Mohammad Alkhudari
Cybersecurity Strong Strategy step by step Guide collected by Mohammad Alkhudari 2024
Cybersecurity Strong Strategy step by...
Lacework
CISO’s Playbookto Cloud Security by Lacework
CISO’s Playbookto Cloud Security by...
MITRE - Carson Zimmerman
Ten Strategies of a World-Class Cybersecurity Operations Center by MITRE
Ten Strategies of a World-Class...
SILVERFRONT - AIG
Identity Has Become the Prime Target of Threat Actors by Silverfort AIG.
Identity Has Become the Prime...
CYZEA.IO
Enterprise Information Security
Enterprise Information Security
IGNITE Technologies
ENCRYPTED REVERSE
ENCRYPTED REVERSE

More Latest Published Posts

WORLD BANK GROUP
Global Cybersecurity Capacity Program
Global Cybersecurity Capacity Program
Gary Hinson
Getting started withsecurity metrics
Getting started withsecurity metrics
EDPS
Generative AI and the EUDPR.
Generative AI and the EUDPR.
Bright
2024 Guide to Application Security Testing Tools
2024 Guide to Application Security Testing Tools
HADESS
Hacker Culture
Hacker Culture
Quuensland Govermment
RISK ASSESSMENT PROCESS HANDBOOK
RISK ASSESSMENT PROCESS HANDBOOK
Ministry of MOS Security
HIPAA SIMPLIFIED
HIPAA SIMPLIFIED
Hacker Combat
How Are Passwords Cracked?
How Are Passwords Cracked?
CIS - Center for Internet Security
How to Plan a Cybersecurity Roadmap in Four Steps
How to Plan a Cybersecurity Roadmap in Four Steps
ACSC Australia
Information Security Manual
Information Security Manual
Kaspersky
Incident Response Playbook: Dark Web Breaches
Incident Response Playbook: Dark Web Breaches
ninjaOne
Endpoint Hardening Checklist
Endpoint Hardening Checklist
HADESS
Important Active Directory Attribute
Important Active Directory Attribute
ISA GLOBAL CYBERSECURITY ALLIANCE
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
IIoT System Implementation and Certification Based on ISA/IEC 62443 Standards
Rajneesh Gupta
IAM Security CHECKLIST
IAM Security CHECKLIST
sqrrl
Hunt Evil
Hunt Evil
Searchinform
How to protect personal data and comply with regulations
How to protect personal data and comply with regulations
Giuseppe Manco
Threat Intelligence Platforms
Threat Intelligence Platforms
CSA Cloud Security Alliance
Hardware Security Module(HSM) as a Service
Hardware Security Module(HSM) as a Service
IGNITE Technologies
CREDENTIAL DUMPING FAKE SERVICES
CREDENTIAL DUMPING FAKE SERVICES
IGNITE Technologies
A Detailed Guide on Covenant
A Detailed Guide on Covenant
NIST
Computer Security Incident Handling Guide
Computer Security Incident Handling Guide
IGNITE Technologies
DIGITAL FORENSIC FTK IMAGER
DIGITAL FORENSIC FTK IMAGER
Accedere
Cloud Security Assessment
Cloud Security Assessment
YL VENTURES
CISO Reporting Landscape 2024
CISO Reporting Landscape 2024
CISO Edition
Reporting Cyber Risk to Boards
Reporting Cyber Risk to Boards
CIOB
CIOB Artificial Intelligence (AI) Playbook 2024
CIOB Artificial Intelligence (AI) Playbook 2024
INCIBE & SPAIN GOVERNMENT
Nuevas normativas de 2024 de ciberseguridad para vehículos
Nuevas normativas de 2024 de ciberseguridad para vehículos