Payback
Welches Thema ist aus Ihrer Sicht aktuell das wichtigste in Sachen Cybersicherheit?
Sayed: Es gibt sicherlich mehrere relevante Themen, aber Informationssicherheit basiert nach wie vor auf den drei Säulen: Personal, Prozesse und Technologie. Diese sollten als Grundlage dienen, um Risiken zu identifizieren und zu priorisieren. Anschließend geht es darum, die richtigen Maßnahmen zu definieren und umzusetzen.
Man kann sich natürlich nicht zu hundert Prozent vor einem Sicherheitsvorfall schützten. Es bleibt immer ein Restrisiko. Deshalb muss man sich so gut wie möglich darauf vorbereiten.
Was ist denn bei der Vorbereitung besonders wichtig?
Sayed: Auch hier gibt es nicht das eine Tool, sondern der Prozess ist hier entscheidend. Der Incident-Prozess sollte nicht erst während eines Vorfalls etabliert werden. Denn dann ist es schon zu spät. Bereits zuvor müssen Fragen wie „Wer sind meine Ansprechpartner?“, „Wie reagiere ich, und wer trifft die Entscheidungen?“, geklärt sein. Unternehmen sollten dafür auf jeden Fall einen Plan im Haus haben. Zusätzlich muss im Vorfeld auch klar sein, wie kommuniziert werden soll, wenn die komplette Infrastruktur wegfällt.
Schockmaßnahmen erhöhen die Aufmerksamkeit
Awareness spielt dabei sicherlich auch eine wichtige Rolle. Wie sorgen Sie dafür in Ihrem Unternehmen?
Sayed: Wir setzen auf ein gemischtes Konzept. Zum einen haben wir Standardmaßnahmen, wie regelmäßige Schulungen für alle Mitarbeiter und testen die Aufmerksamkeit mit Phishing-Kampagnen. Auf der anderen Seite habe ich mir gemeinsam mit meinem Team und weiteren Kollegen auch etwas Spezielles überlegt und Schockmaßnahmen eingeführt. Ein Beispiel dafür ist, dass wir an einem Montagmorgen die Kaffeemaschine komplett abgeschaltet und mit einem Hinweis auf Ransomware versehen haben. Ein anderes Mal haben wir Arbeitsplätze mit gelbem Klebeband und der Aufschrift Security Vorfall gesperrt.
Darüber hinaus bieten wir noch Aktionen wie Live Hacking-Events und Escape Rooms an. Auch wenn Mitarbeiter dadurch nicht so viel inhaltlich lernen, erhöhen solche Maßnahmen die Aufmerksamkeit für Cyberangriffe.
Und wie gehen Sie damit um, wenn ein Mitarbeiter, trotz Schulung, versehentlich mal auf eine Phishing-Mail klickt?
Sayed: Mir geht es nicht darum, Mitarbeiter an den Pranger zu stellen. Stattdessen geht es darum, solche Kollegen weiterzubilden. Eine betroffene Person erhält zunächst einmal eine Aufforderung für ein zusätzliches Training. Dort wird sie geschult, worauf sie in Zukunft achten sollte. Ich glaube nicht, dass die Awareness durch Angst gesteigert werden kann. Ganz im Gegenteil. Meine Kollegen können jederzeit zu mir beziehungsweise meinem Team kommen, wenn sie eine Frage haben.
Lesetipp: Security Awareness Trainings – Schulungen richtig managen
Im Netz wird oft heftig über die Rolle des CISO im Unternehmen diskutiert. Viele sind der Meinung, dass der Bereich nicht mehr in die IT eingegliedert sein sollte. Wie sehen Sie das?
Sayed: Das sehe ich nicht so. Nach meiner Erfahrung funktioniert es gut, wenn die IT-Sicherheit als Teil der IT-Abteilung integriert ist. Bei uns arbeiten beide Bereiche als Team zusammen und tauschen Informationen aus. Wir verfolgen dabei alle das gleiche Ziel: uns als Unternehmen zu verbessern und zu schützen.
Auch sind viele Themen nicht nur in der Security angesiedelt. So werden oft Firewalls zum Beispiel von der IT betrieben. Deshalb ist die enge Zusammenarbeit sehr wichtig. Meiner Meinung nach wird hier ein Problem aufgemacht, das gar keines ist.
Also könnte man auch das Ganze umdrehen und sagen, dass Security und IT zusammengehören?
Sayed: Ich sehe hier kein wirkliches Problem. IT und IT-Sicherheit sind in vielen Unternehmen eng miteinander verbunden, aber es kommt letztlich auf den Kontext des Unternehmens an, wie diese Bereiche organisiert sind. Informationssicherheit hat natürlich auch Anforderungen, die über die reine IT hinausgehen, aber grundsätzlich ist es kein Problem, wenn die Sicherheit in die IT eingegliedert ist.
Studien belegen, dass die Schäden durch Cyberangriffe in Deutschland enorm zugenommen haben. Halten Sie in diesem Zusammenhang Cyberversicherungen für sinnvoll?
Sayed: Cyberversicherungen sind auf jeden Fall sinnvoll, aber sie sollten nicht die einzige Sicherheitsmaßnahme sein. Die Versicherungsanbieter schreiben in den entsprechenden Policen auch Basisvorkehrungen vor. Andernfalls werden die Kosten im Schadensfall nicht gedeckt.
Die Cyberversicherung sollte Teil einer größeren Security-Strategie sein. Das heißt, wenn ich die Risiken identifiziert und die Maßnahmen umgesetzt habe, dann bleibt trotzdem ein Restrisiko bestehen. Für dieses Restrisiko habe ich dann die Versicherung.
Ein weiterer Vorteil einer Cyberversicherung ist, dass die Anbieter oft Kontakte zu Forensikern und Pentestern haben. Das ist vor allem für den KMU-Bereich hilfreich.
Sie Interessieren sich für die CISO-Perspektive? Dann lesen Sie auch:
Condor-CISO im Interview: “Ich sehe NIS2 insgesamt positiv”
CISO bei KEB Automation “Security ist keine ‘One-Man-Show’, sondern ein Mannschaftsspiel”
