"Wir nutzen Live-Hacking"

Seit dem 1. Juli besetzt Florian Jörgens die Position als Chief Information SecuritySecurity Officer (CISO) bei VorwerkVorwerk. Im Interview verrät er, wie er seine Rolle interpretiert, welche Wege er sieht, das Thema Informationssicherheit spannend zu gestalten - und warum künstliche Intelligenzkünstliche Intelligenz (KI) mit Blick auf die Cyber Security ein zweischneidiges Schwert ist. Top-500-Firmenprofil für Vorwerk & Co. KG Alles zu Künstliche Intelligenz auf CIO.de Alles zu Security auf CIO.de

Herr Jörgens, was sind Ihre Aufgaben als CISO von Vorwerk?

Jörgens: Per Definition ist der CISO ganzheitlich verantwortlich für das Thema Informationssicherheit, also für den Schutz von analogen und digitalen Informationen. Zu den klassischen Aufgaben zählen die Weiterentwicklung einer konzernweiten Informationssicherheits-Strategie, die Ergänzung vorhandener Richtlinien und das Umsetzen fortlaufender Schulungen aller Mitarbeiter im Unternehmen. Für mich besonders spannend ist die Verknüpfung zu verschiedenen Teams innerhalb des Unternehmens - wie zum Beispiel Produktion, Einkauf, Vertrieb oder Personalwesen.

Welche Aspekte sind Ihnen bei der Weiterentwicklung der Informationssicherheits-Strategie am wichtigsten?

Jörgens: Oberstes Ziel ist es, die wirklich sensiblen Daten innerhalb des Unternehmens zu schützen. Um dieses Ziel zu erreichen, gilt es bestehende Maßnahmen ständig weiterzuentwickeln. Ein Weg zum Beispiel ist es, Informationen anhand eines Vier-Stufen-Modells zu bewerten, um sie anschließend zu klassifizieren. Dabei werden die jeweiligen Informationen einer von vier Kategorien - öffentlich, intern, vertraulich oder geheim - zugeordnet, um deren Sensibilität besser einschätzen zu können.

Schutzmaßnahmen können dabei sowohl technischer Natur sein - etwa ein Anti-Viren-Scanner oder ein System zum Schutz von mobilen Endgeräten - als auch organisatorischer oder prozessualer. Am Ende gilt es zu entscheiden, welche Schutzmaßnahmen beziehungsweise welche Kombination aus diesen sich am besten für das eigene Unternehmen eignen.

Aufmerksame Mitarbeiter erschweren Angreifern die Arbeit

Sie sprechen von Organisation und Prozessen. Welche Rolle spielt der Faktor Mensch beim Thema Cybersicherheit?

Jörgens: Angreifer haben grundsätzlich zwei Optionen bei der Auswahl ihrer Ziele: Systeme oder Anwender. Der Großteil von Cyberangriffen benötigt eine Interaktion mit einem Anwender. Das bedeutet im Umkehrschluss, dass Mitarbeiterinnen und Mitarbeiter als Sicherheitsfaktor besonders wichtig sind und dass hier der größte Hebel liegt.

Eine 100-prozentige Sicherheit ist für Unternehmen aufgrund dessen nicht erreichbar. Ziel muss es also sein, Angreifer von außen durch viele kleine Hürden von ihrem Vorhaben abzubringen. Aufmerksame Mitarbeiter, die Auffälligkeiten frühzeitig kritisch hinterfragen, diese melden und über aktuelle Angriffsmethoden informiert sind, leisten einen enorm wichtigen Beitrag zum Schutz ihres Unternehmens.

Wie gelingt es Ihnen, im Unternehmen Aufmerksamkeit für das Thema Cyber Security zu gewinnen?

Jörgens: Durch eine möglichst spannende Aufbereitung der Thematik. Wir nutzen beispielsweise Live-Hacking-Termine, um bei den Mitarbeitern ein Bewusstsein für potenzielle Risiken zu schaffen und diese zu veranschaulichen. Denn was klar sein muss: Für Unternehmen ist es heute keine Frage mehr, ob, sondern nur wann und in welcher Intensität sie Ziel eines Cyber-Angriffs werden.

Wer einmal gesehen hat, wie leicht ein Notebook mit Schadsoftware übernommen oder ein Passwort geknackt werden kann, wird wachsamer. Ergänzend lässt sich das gewonnene Wissen auch im privaten Umfeld einsetzen. Auch dort werden Phishing-Mails empfangen, Identitäten gestohlen und Accounts geknackt.

Sie interessieren sich für die Perspektive des CISOs? Dann lesen Sie auch:

• Interview mit David Thornewill von Essen, Group CISO der Deutschen Post DHL

• Warum Allianz CISO Fabian Topp die Charter of Trust wichtig findet

• IT-Sicherheit bei Otto - CISO Ralf Kleinfeld im Gespräch

• Notfall-Management - ein CISO berichtet aus der Praxis

Vorwerk-Produkte werden immer digitaler und sind Teil des Internet of Things. Welche Aspekte muss der CISO hier beachten?

Jörgens: Ein gutes Verständnis der Risiken und Offenheit für eine konstruktive Zusammenarbeit sind auch hier der Schlüssel. Wir möchten das Business bestmöglich unterstützen. Unsere Kunden vertrauen uns und unseren Angeboten auch deshalb, weil sie sicher sind. Unser Motto lautet Security by Design, es meint, dass Sicherheit von Anfang an mitgedacht wird. Dazu stimmen wir uns eng mit den Kollegen in Forschung & Entwicklung ab, damit deren Ideen in sichere Produkte überführt werden können. Und das ist auch ein Grund dafür, warum die Arbeit in unserem Team für IT-Professionals so herausfordernd und interessant ist.

Welche Soft-Skills sind für die CISO-Rolle am wichtigsten - und wieviel technisches Know-how benötigt er?

Jörgens: Für mich persönlich ist ein informationstechnischer Hintergrund eine Grundvoraussetzung für meinen Job. Ein Großteil von Unternehmensinformationen wird durch die stetig wachsende Digitalisierung auf Servern gespeichert. Um als Sicherheitsverantwortlicher die eigene Funktion bestmöglich ausüben zu können, ist ein breites Basiswissen im Bereich Informatik meiner Meinung nach unumgänglich.

Ergänzend sollte man die Belange der Fachbereiche verstehen. Informationssicherheit ist kein Selbstzweck, sondern stützt immer die Strategie des Business. Die gemeinschaftliche Zusammenarbeit Hand in Hand mit verschiedenen Teams ist deshalb auf jeden Fall entscheidend, um das Sicherheitsniveau des Unternehmens noch weiter zu steigern.

Aktuelle Maßnahmen zur Informationssicherheit werden eher selten gegen die Gefahren von morgen wirken. Wie können Sie als CISO eine vorwärts gerichtete Informationssicherheit im Unternehmen etablieren?

Jörgens: In der Praxis erleben wir eher, dass die erfolgreichen Angriffsmethoden der letzten Jahrzehnte bestehen bleiben und sich lediglich in Nuancen weiterentwickeln. Makroviren in E-Mail-Anhängen, manipulierte USB-Sticks oder Social Engineering funktionieren immer noch. Demnach sind auch die Gefahren von morgen oft dieselben wie die von gestern. Wir sind allerdings heute viel stärker auf funktionierende Systeme angewiesen.

Um auf dem aktuellen Stand zu bleiben, müssen wir uns beständig informieren und weiterbilden. Wir haben deshalb neben öffentlichen Nachrichtenportalen auch Foren und Datenbanken im Blick, in denen sich HackerHacker über neue Schwachstellen oder Angriffsszenarien austauschen. Ergänzend ist der Austausch mit anderen CISOs aus meiner Sicht besonders hilfreich. Wir alle möchten sicherstellen, dass unsere Unternehmen geschützt sind. Daher ist ein interdisziplinärer Austausch über Unternehmensgrenzen hinweg sehr wertvoll. Alles zu Hacker auf CIO.de

Auch die Angreifer nutzen KI

Kann künstliche Intelligenz die Informationssicherheit erhöhen?

Jörgens: Künstliche Intelligenz ist ein zweischneidiges Schwert. Die Technologie unterstützt uns einerseits dabei, Angriffe gezielter und früher zu erkennen. Andererseits machen sich aber auch Angreifer diesen technologischen Ansatz zu Nutze. Mit zunehmender Besorgnis betrachten wir derzeit die Entwicklung sogenannter "Deepfake"-Angriffe. Dabei werden Medieninhalte wie Fotos, Audio und Video durch Nutzung neuronaler Netze abgeändert und verfälscht. Ein Beispiel: plötzlich klingelt das Telefon und der vermeintliche CFO stößt eine Überweisung auf ein Auslandskonto an. Die genutzten Audiodateien wurden vorher zusammengeschnitten und lassen keine Unterscheidung zum Menschen zu.

Es findet ein Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern statt. Umso wichtiger ist es, dass unsere Mitarbeiter uns täglich dabei unterstützen, das Unternehmen bestmöglich zu schützen. Daher informieren wir regelmäßig auf unterschiedlichen Wegen - über unser Intranet, in persönlichen Gesprächen und im Rahmen von Veranstaltungen - über aktuelle Risiken. (hv)