Dass Informationen schützenswert sind, muss immer wieder fest im Bewusstsein der Mitarbeiter verankert werden

Dieser Beitrag wurde unter Allgemein, News abgelegt am von .


Interview mit Florian Jörgens, Chief Information Security Officer (CISO) bei der LANXESS Deutschland GmbH, über einheitliche IT-Sicherheitsstrategien in einem global operierenden Konzern

Wie kann es bei einem global operierenden Konzern mit Standorten in mehreren Ländern gelingen, eine einheitliche IT-Sicherheitsstrategie aufzubauen?

Unsere Sicherheitsstrategie folgt global einheitlichen Prinzipien, allerdings lassen wir bei der Umsetzung regionale Besonderheiten nicht außer Acht. Es macht schließlich einen Unterschied, ob wir IT-Sicherheitsmaßnahmen in Deutschland, China, Indien oder Brasilien implementieren. Wichtig ist uns, alle Standorte zu einem einheitlichen Sicherheitsverständnis zu bringen. Selbst kleine Veränderungen zeigen dabei einen großen Effekt: Abgeschlossene Türen, Berechtigungskonzepte und ein bisschen mehr Sensibilität bei den Mitarbeitern haben zwar einzeln betrachtet nur geringe Wirkung, machen es aber in der Summe einem Angreifer deutlich schwerer.

Wie lässt sich die IT-Sicherheit in einem Konzern mit vielen Tochtergesellschaften dauerhaft auf hohem Niveau halten?

Informationssicherheit ist kein Projekt oder Produkt, das in einer Einmalaktion implementiert werden kann. Dass Informationen schützenswert sind, muss immer wieder fest im Bewusstsein der Mitarbeiter verankert werden. Bei Lanxess etwa absolviert jeder neue Mitarbeiter ein E-Learning zum Thema Informationssicherheit. Daneben haben wir in allen Geschäfts- und Verwaltungsbereichen Koordinatoren implementiert. Diese Mitarbeiter sind unsere Botschafter in Sachen Informationssicherheit und die zentralen Ansprechpartner für ihre Kollegen zu diesem Thema. Die Koordinatoren berichten uns über neue Projekte in ihren Bereichen wie die geplante Einführung von Applikationen oder Dienstleister-Wechsel und leiten uns Fragen aus der Belegschaft weiter. Darüber hinaus sorgen sie für die Umsetzung unserer Richtlinien.

Um mögliche Schwachstellen zu erkennen, sind Penetrations-Tests und Audits unumgänglich. Wie kann KI diese Prozesse optimieren?

Grundsätzlich sehe ich in der Verwendung von Künstlicher Intelligenz für IT-Sicherheit großes Potential. KI kann dabei unterstützen, die Audit-Tätigkeit weg von Stichproben hin zu einer 24/7- Überwachung zu bringen. Dabei werden Datensätze überprüft, Muster erkannt und Anomalien gemeldet. Mit jedem neuen Prüflauf lernt die KI dazu und imitiert das Verhalten des menschlichen Prüfers, betrachtet dabei allerdings alle Transaktionen und Events gleichzeitig. Als ehemaliger IT-Auditor faszinieren mich diese Möglichkeiten besonders.

Wenn es um Penetrations-Tests geht, sehe ich derzeit noch wenige Möglichkeiten. Penetrations-Tests erfordern neben fachlichem Wissen auch Kreativität im Umgang mit unvorhergesehenen Ereignissen. Hier ist der Mensch noch im Vorteil.

Außerdem gibt es auf Seiten der Angreifer für die Nutzung von KI derzeit keine Notwendigkeit: Erfolgreiche Angriffsmethoden haben sich in den letzten Jahrzehnten nicht weiterentwickelt – Makroviren in E-Mail Anhängen, USB-Sticks vor dem Firmengebäude oder Social Engineering funktionieren immer noch.

Wie wichtig ist der Einsatz von externem Knowhow bei der konzernweiten IT-Sicherheit? Und ergeben sich durch diese Berater nicht neue, menschliche Sicherheitslücken?

Hier muss man differenzieren. Gerade für kleine und mittelständische Unternehmen ist es durchaus sinnvoll, bestimmte Aufgabenbereiche etwa als „Managed Service“ an externe Spezialisten auszulagern. Zu den Leistungen zählen beispielweise Rechenzentren, Security Operations Center und gegebenenfalls sogar die Netzwerk-Administration.

Dennoch sollte man sich bewusst sein, dass zwar die Verantwortlichkeit, aber nicht die Verantwortung an sich delegierbar ist. Selbstverständlich müssen Unternehmen auch ihre Vertragspartner wie Zulieferer und Dienstleister kontrollieren, sobald diese mit internen Informationen arbeiten. Dazu braucht es entsprechende Service Level Agreements, Rollen- und Rechte-Konzepte nach dem „Need to know“ Prinzip sowie regelmäßige Audits auf die Einhaltung der unternehmenseigenen Sicherheitsvorgaben. Durch die Einführung der DSGVO wurde das noch notwendiger. Die Verantwortung für interne Informationen bleibt im eigenen Unternehmen.

Erlauben Sie uns noch die abschließende Frage: Nutzen Sie die „Corona-App“ der Bunderegierung?

Da die App die Corona-Eindämmung nur dann unterstützen kann, wenn sie auf möglichst vielen Geräten genutzt wird, empfiehlt Lanxess allen Mitarbeitern in Deutschland die Verwendung.

Florian Jörgens ist seit März 2019 der Chief Information Security Officer der LANXESS AG in Köln und damit ganzheitlich für das Thema Informationssicherheit des Konzerns verantwortlich. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.

2002 begann er seinen Einstieg in die Informatik mit einer Ausbildung zum Informationstechnischen Assistent. Nach einer zweiten Ausbildung als Fachinformatiker für Systemintegration bei der Deutschen Telekom AG arbeitete er vier Jahre bei der T-Systems International GmbH in der Anwendungs- und Systembetreuung, wo er parallel seinen Bachelor of Science in Wirtschaftsinformatik an der FOM Düsseldorf erlangte. Nach einem Wechsel in die IT-Beratung von PricewaterhouseCoopers und dem berufsbegleitenden Abschluss des Master of Science in IT-Management arbeitete Florian Jörgens knapp drei Jahre bei E.ON in Essen als Manager und war dort verantwortlich für die Informationssicherheit des gesamten deutschen Vertriebs.