Das Thema in Zahlen
- 15 Millionen Meldungen über Schadprogramm-Infektionen berichtete das Bundesamt für Sicherheit in der Informationstechnik an deutsche Netzbetreiber.
- 20.174 Schwachstellen wurden im Jahr 2021 in Softwareprodukten entdeckt. Im Vergleich zum Vorjahr ein Anstieg um 10 Prozent.
- 69 Prozent aller Spammails ließen sich 2021 Cyber-Attacken zuordnen.
207 Tage war eine Landkreisverwaltung aus Sachsen-Anhalt nur eingeschränkt handlungsfähig. Einer der ersten deutschen IT-Katastrophenfälle nach einem Angriff auf die IT.
Quelle: https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html
Herr Fox, Sie sind seit fast 30 Jahren am Markt und beschäftigen sich mit der Informationssicherheit von großen und mittelständischen Unternehmen. Woraus speist sich die Hingabe für das Thema?
Ich bin von Herzen ein Netzwerker. Denn Vernetzung ist heutzutage das Bindemittel für alles. Ohne unsere Verbindungen zueinander entstehen keine Innovationen und kein Fortschritt. Und wenn es um Netzwerke geht, ist deren Sicherheit stets relevant.
In welchen Branchen ist die Komponente »Informationssicherheit« am relevantesten?
In Deutschland gibt es ein schönes Sprichwort: »Alle kochen mit dem gleichen Wasser.« Das passt zu dieser Frage perfekt. Jedes Unternehmen ist mittlerweile abhängig von IT. Vom Solo-Selbstständigen bis zum Konzern, von der Metropole bis in die tiefste Provinz: Durch eine mangelnde Informationssicherheit kann jede Organisation existenzielle Probleme bekommen. Wer seinen Computer mit dem Internet verbindet, wird damit angreifbar.
Oft wird Informationssicherheit allein mit IT gleichgesetzt. Warum ist das falsch?
Das ist nicht nur bei den Begriffen IT und Informationssicherheit ein Problem. Auch Cyber-Security wird oftmals als Synonym für die beiden Wörter benutzt. Dabei reden wir über drei grundsätzlich verschiedene Bedeutungen.
Die da wären?
Bei der IT-Security geht es hauptsächlich um Hardware und Software. Um Betriebssysteme, VPN-Tunnel, Netzwerkprotokolle, Firewalls oder das Patch-Management.
Cyber-Security ist die nächsthöhere Ebene: Sie behandelt Verschlüsselungsverfahren oder Bedrohungsmodelle – Prävention, Erkennung, Reaktion.
Was zahlreiche Unternehmen dramatisch unterschätzen: Es gibt neben externen Angriffen auch interne, die statistisch gesehen häufiger auftreten. Diese Attacken aus der eigenen Company sind besonders gefährlich. Deshalb ist ein breitflächiges Awareness-Training für die Mitarbeitenden wichtig. Was ist Spam? Was Malware? Worauf darf ich klicken?
Informationssicherheit ist dagegen der ganz große Brocken. Er umspannt die vorher genannten Begriffe. Weitere kommen dazu: Governance, Compliance, Regulatorik, Lieferketten- und Vertragsmanagement, Disaster Recovery und Business Continuity.
Welcher Aspekt der Informationssicherheit wird am häufigsten unterschätzt?
Einige Verantwortliche behaupten, dass Informationssicherheit die IT unterstützen sollte. Ein Irrglaube! Es ist anders herum: Die IT sollte die Informationssicherheit unterstützen. Als gutes Beispiel: Disaster Recovery ist und bleibt ein Business-, kein IT-Problem! Es ist erstaunlich, wie unvorbereitet Unternehmen und Branchen auf dieses Thema reagieren. Sie investieren zu wenig Aufmerksamkeit und zu geringe Ressourcen.
Der Begriff Disaster Recovery lässt sich leicht übersetzen. Aber was verbirgt sich dahinter?
Die Frage, was mit dem Geschäft passiert, wenn es beispielsweise zu einem breitflächigen Ausfall der IT kommt. Was wären die Folgen für Amazon, wenn die Plattform am Black Friday oder vor Weihnachten ausfällt? Welche Maßnahmen können das Problem lösen und den Schaden begrenzen? Eine gute Disaster Recovery entscheidet, wie wahrscheinlich Firmen Notlagen erleiden und diese überleben. Ein Risiko lässt sich selten komplett ausschließen, aber man kann es stark reduzieren.
Wie hat sich das Thema Informationssicherheit in den vergangenen drei Jahrzehnten verändert?
Heutzutage sprechen wir über ein ganz anderes Datenvolumen. Alle paar Jahre verzehnfacht sich die Informationsmenge. Die Verantwortlichen müssen deutlich mehr managen als früher.
Wie gelingt Ihnen das als Berater oder Interimsmanager?
Mit einem Zusammenspiel aus verbesserter Dokumentation, viel Erfahrung und einem effizienten Troubleshooting-Verfahren.
Troubleshooting bedeutet übersetzt Fehlerbehebung. Das klingt etwas banal für einen Lösungsansatz.
Große Probleme kann man meist nicht in einem Rutsch beheben. Das muss man einsehen. Also zerbreche ich sie in Krumen und behebe die Fehler im Kleinen. Das ist ein effizientes Vorgehen.
Sie haben Erfahrungen in diversen Bereichen gesammelt, bei Pharmaunternehmen, Versicherungen und Banken. Auch wenn die Informationssicherheit überall relevant ist: In welchen Branchen erkennen Sie den größten Nachholbedarf?
Daten sind das neue Gold. Daher werden ausnahmslos alle Bereiche attackiert. Kein Unternehmen kann sich von einem Nachholbedarf freisprechen. Es gibt aber Branchen, die sind deutlich besser gewappnet als andere. Zum Beispiel Banken und Versicherungen.
Die Finanzbranche wurde in den vergangenen Jahren von Skandalen durchzogen. Warum taugt ausgerechnet dieser viel gescholtene Sektor als Vorbild?
Es gibt in diesem Bereich schon seit langer Zeit regulatorische Zwänge. Banken müssen permanent neue Anforderungen erfüllen. Das sorgt dafür, dass ihre Schutzsysteme auf dem neuesten Stand sind. Dazu kommen neben den regulatorischen die moralischen und ethischen Aspekte. Banken, die vertrauenswürdig erscheinen wollen, müssen die Interessen und Werte ihrer Klienten schützen. Früher tat das der Wachdienst vor den einbruchsicheren Tresoren. Heute verlagert sich dieser Schutzauftrag in die digitale Welt. Daten sind, wie bereits erwähnt, das neue Heiligtum.
Regulatorische Zwänge sind ein Treiber von Verbesserungen – verstanden. Wie beeinflusst die geopolitische Lage die Entwicklungen?
Der Druck auf kritische Infrastrukturen hat sich erhöht. Es geht nicht nur um Angriffe, die zerstören wollen. Spionage und Informationsdiebstahl sind ähnlich große Risiken. Mittlerweile können hochbegabte 14-Jährige aus ihrem Kinderzimmer schlecht geschützte Firmen in erhebliche Nöte bringen. Alles, was sie brauchen, ist die Motivation und die richtige Software.
Im Kontext von »schlecht geschützt« lesen Interessierte einen Begriff häufiger: Cyber Debt. Was ist mit diesen Schulden gemeint?
Ich habe ein ganz alltägliches Beispiel: Meine Frau nutzt seit knapp sechs Jahren ein iPad. Apple versorgt das Gerät längst nicht mehr mit neuen Sicherheitsupdates. Sie möchte es aber behalten. »Es funktioniert ja noch.« Genauso denken viele Unternehmen, die keinen regulatorischen Druck spüren. Sie investieren nicht in People, Prozesse und Innovationen. Es wird gewartet, bis etwas auseinander kracht. Die Projekte, die nicht angeschoben werden, summieren sich zu einem Schuldenberg.
Das muss Sie als Experten wahnsinnig machen.
Sie wären überrascht, wie leichtsinnig selbst in großen Unternehmen gedacht wird. »Oh, ein IT-Problem, womöglich ein Virus. Der Computer ist kaputt. Ach, da kommt schon einer aus dem Keller, der aufräumt und dann funktioniert es wieder.« Genau dieses Denken und Nichtwissen verursacht langfristige Probleme.
Wie können Unternehmen ihren Schuldenstand erkennen?
Es geht um einen realistischen Snapshot, um eine Bestandsaufnahme.
Wie ist das Netzwerk aufgebaut? Wie sauber wurde dokumentiert? Der Teufel steckt, wie die Deutschen sagen, im Detail. Dazu kommt eine banale, aber entscheidende Frage: Was hat wirklich einen Wert? Alles, was wertvoll ist, sollte grundsätzlich als kritisches System gelten.
Wie finden Unternehmen das heraus?
Angenommen, es brennt bei Ihnen zu Hause. Was retten Sie? Also außer der Familie und den Tieren. Die Möbel oder die Briefmarkensammlung? Sie müssen sich entscheiden! Diese Fragen sollten Unternehmen zum Beispiel auf ihre Strukturen beziehen. Was ist unverzichtbar? Was darf keinesfalls ausfallen? Ohne welche Anwendungen wären wir nicht handlungsfähig? So identifizieren Organisationen die Systeme, bei denen sie sofort den Schuldenstand hinterfragen müssen. Diese sogenannte Werteinventarisierung ist sehr wichtig.
Es gibt eine typische deutsche Antwort auf die Analogie mit dem Brand: Darum kümmert sich schon die Versicherung.
Wieder ein Irrglaube! Unternehmen wiegen sich zu oft in einer falschen Sicherheit. Ein ehemaliger Kunde von mir bezahlte jedes Jahr hohe Summen für eine Cyber-Security-Versicherung. Es wurde kaum etwas in Strukturen investiert, weil der Hintergedanke wirtschaftlich logisch erschien: Versicherungen sind günstiger als Investments.
Wo verbirgt sich das Aber?
Denken wir wieder an das brennende Haus. Wenn die Versicherung herausfindet, dass es keine Rauchmelder gab, erlischt deren Zahlungsverpflichtung. So ähnlich ist die Lage bei der Informationssicherheit. Nur weil man eine Police abschließt, heißt es lange nicht, dass man den Selbstschutz geflissentlich ignorieren darf. Einige Unternehmen sind an diesem Denkfehler gescheitert. Eben weil die Kompetenzen fehlten, die Cyber-Schulden zu hoch waren und sich die Rückstände nicht schnell genug abbauen ließen.
Wir sprechen sehr theoretisch. Fällt Ihnen ein Projekt ein, in dem Sie besonders skurrile Probleme mit Cyber-Schulden durchlebt haben?
Ich habe vor einiger Zeit ein erfolgreiches Unternehmen aus dem gehobenen Mittelstand interimsweise als Chief-Information-Officer beraten. 5.000 Mitarbeitende, mehr als 90 Standorte. Dieses erfolgreiche Unternehmen wurde fünf Jahre von einem großen Eigentümer aus dem Ausland verwaltet. Die Devise: sparen, sparen, sparen. Es sollte immer mehr mit weniger Leuten gelingen. Das sogenannte Life-Cycle-Management, das Bewahren von zeitgemäßen Strukturen, wurde aus Kostengründen verzögert. Und das machte sich in einer plötzlichen Krisenlage sofort bemerkbar.
Erzählen Sie mehr.
Ein Beispiel ist besonders einprägsam, eben weil es zeigt, wie schnell vermeintlich triviale Angelegenheiten zu einem ernsten Problem eskalieren können. Ich bekam damals einen Anruf. Eine Kollegin wies mich auf ein Problem hin, es ging um Druckerpatronen. Diese sind für das Unternehmen sehr wichtig, denn in den Standorten drucken die Mitarbeitenden fleißig. Durch einen Brand in der japanischen Kartuschen-Fabrik verzögerte sich die Lieferung. Dazu kam der Krieg in der Ukraine. Der Luftweg bot sich für die Fracht aus Japan nicht mehr an. Sie musste verschifft werden. Doch wer holt die Container am Hafen ab, wenn es an Lkw-Fahrerinnen und Fahrern mangelt? Es würde also dauern, bis Nachschub kommt. Die über die Jahre vernachlässigten, nicht ersetzen Drucker funktionieren jedoch nur mit diesem einen Fabrikat. Allein durch die frühe Warnung konnten wir die Folgen des Problems abmildern, indem wir viele Ressourcen in die Beschaffung investierten.
Drucker sind eher ein Symptom für verpennte Digitalisierung. Und kein Problem für die Informationssicherheit.
Tatsächlich ist die Sache problematischer. Wer kümmert sich? Die IT-Abteilung, weil Drucker streng genommen zu deren Aufgabengebiet gehören? Der Einkauf? Das Lieferketten-Management? Informationssicherheit ist kein Problem, dass sich auf ein thematisches Feld beschränkt. Sie verlangt jederzeit eine kooperative Zusammenarbeit über Abteilungsgrenzen. Und eine übergeordnete Verantwortung.
Wie steht es um die Kollaboration bezüglich der IT-Sicherheit?
Oft schwierig. Was passiert, wenn die IT fordert, dass alle Server für ein Update vom Netz müssen. Der Protest in den anderen Abteilungen ist groß, es wird mit Verlusten argumentiert. Meist gewinnt die Seite mit dem Geldbeutel – also das Business. Auch an diesem Punkt ist gutes Risikomanagement wichtig. Wenn klar ist, was ein möglicher Verlust der Informationssicherheit kosten kann, ist das ein wirksames Gegenargument.
Rivalitäten zwischen einzelnen Abteilungen in Unternehmen sind bekannt. Wie lässt sich dieser kooperative Geist erzeugen?
Indem man das Schwarze-Peter-Spiel vermeidet und begreift, dass man im selben Boot sitzt. Ich arbeite in meiner Beratung gerne mit leicht verständlichen Analogien wie dem Rettungsboot. 10 Leute sitzen darin. Alle haben ein Ruder, es gibt jedoch zehn verschiedene Schlagstile. Was passiert: Die Havarierten rudern unterschiedlich und das Boot rotiert. Dann steht ein Mensch auf und behauptet, dass er weiß, wie man paddelt. Wenn genügend Personen darauf vertrauen, sagen wir acht, geht es zumindest schon mal in eine Richtung. Es ist entscheidend, dass sich die Expertise in einem relevanten Thema durchsetzt.
Das klingt logisch – aber zu romantisch.
Es braucht Führung, die sagt, auf wen wann zu hören ist. Das zeichnet gutes Management aus. Es weiß nicht alles am besten, kann aber einschätzen, wer in welchem Thema die Richtung vorgeben sollte.
Wo wir beim Thema Durchsetzen sind: Wie kommen Sie als externer Berater in diesem Dickicht der Interessen zurecht?
Es ist für IT-Spezialistinnen und Spezialisten teilweise ein mühseliger Berufsalltag. Nicht umsonst wird zuletzt häufiger über das Thema Burn-out im Kontext der Informationssicherheit diskutiert. Die Verantwortung der Spezialistinnen und Spezialisten ist hoch, die Ressourcen dagegen begrenzt. Besonders was den Entscheidungsfreiraum anbelangt. Dazu gibt es mit dem Staff vereinzelt Probleme. Externe Expertinnen und Experten werden als Aufsehende wahrgenommen, die Verbote aussprechen oder noch mehr Pflichten auf den Teller der Angestellten häufen. Unter diesem Vorurteil leidet die Akzeptanz.
Wie erzeugen Sie statt Distanz die notwendige Nähe?
Ich muss Kompetenz ausstrahlen, ohne dass sie aufgesetzt oder arrogant wirkt. Für mich ist wichtig, dass ich gut über das Unternehmen und die Aufgabe informiert bin. Dann kann ich die richtigen Fragen stellen. Die sind zu Beginn wichtig, weil ich mit ihnen mein Interesse an anderen Personen und gleichzeitig Fachkenntnis ausdrücke.
Ihre Zeit in Organisationen ist begrenzt. Wie wichtig ist neben dem Machen das »Enablen«?
Das Thema Informationssicherheit lässt sich nicht wie ein normales Projekt starten und abschließen. Es geht um eine permanente Verbesserung der Sicherheitslage. Es ist eine kontinuierliche Aufgabe. Dafür braucht es fortlaufende Optimierungsprozesse. Trotzdem ist ein durchdachtes Fundament sehr sinnhaft. Zu diesem gehören grundlegende Strukturen, die das Thema Informationssicherheit personell und prozessual über Abteilungsgrenzen abbilden. In meiner Funktion als externer Berater oder Interimsmanager will ich zunächst diese Ausgangslage schaffen. Danach muss ich die internen Beschäftigten befähigen, damit diese auf dem Fundament langfristig etwas aufbauen.
Warum sind Sie trotz der Herausforderungen immer selbstständig geblieben?
Nicht, weil es so einfach ist. Es gibt wirklich sehr frustrierende Situationen. Besonders dann, wenn Firmen einen teuer einkaufen, aber nicht wirklich an Bewegung interessiert sind. Ich möchte aber bewegen, bin persönlich am Erfolg interessiert. Ich will kein Berater sein, der die Augen schließt, den Mund hält und die Hand ausstreckt. Was manche auch unterschätzen: Wenn ein Projekt richtig gut läuft, ich eine Bindung zu den Personen im Unternehmen aufbaue, ist der Abschied schwer. Vor allem weil ich weiß, dass ich demnächst wieder bei null anfange.
Das klingt jetzt nicht unbedingt wie eine Eloge auf Ihre Selbstständigkeit.
Ich schätzte das, was ich tue, trotz der beschriebenen Nachteile sehr. Um noch eine Analogie zu bringen: Ich esse sehr gerne chinesisch. Aber wenn ich das jeden Tag tue, wird mir langweilig. So geht es mir mit meinen Projekten. Es gibt grundsätzlich drei Phasen: Change, Build und Run. Ich persönlich initiiere gerne den Wandel und gestalte ihn aus. Danach benötige ich eine neue Aufgabe. Genau diese Option bietet mir meine Selbstständigkeit. In Amerika würde man mich als Mover-und-Shaker-Typ bezeichnen.
Beeinflusst Ihre Herkunft die Qualität Ihrer Beratung?
Ja, ich kann amerikanisch denken, also nicht unbedingt besser, aber anders. Wenn andere zu viele Probleme sehen, zu lange abwägen, setze ich – in den mir gesetzten Grenzen – rasch etwas um. Manchmal ist es zielführender, um Entschuldigung zu bitten, als eine Erlaubnis zu bekommen. Wenn es Nachfragen gibt, kann ich mich darauf berufen, dass ich »neu« bin.
Zum Abschluss: Ihre drei Tipps für Unternehmen, die nach diesem Interview beim Thema Informationssicherheit fiese Bauchschmerzen bekommen?
- Lassen Sie von externen Beratern und Beraterinnen ihren Schuldenstand überprüfen. Um zu wissen, wo sie stehen, braucht es eine neutrale Ist-Analyse.
- Informationssicherheit fängt beim Einzelnen an. Kommunizieren Sie klar und deutlich, was Sie von Ihren Mitarbeitenden erwarten. Das gilt auch für das Management!
- Für die Klarheit empfehle ich einfache Analogien. Egal welche Abteilungen in einem Unternehmen involviert sind: Beim Thema Informationssicherheit rudern alle im selben Boot. Verdeutlichen Sie das.
