Interview mit Frank Fischer, Leiter Informationssicherheit und Corporate InfoSec Officer (CISO) der Deutschen Bahn AG, über die Bedeutung von Cybersicherheit für den unternehmerischen Erfolg.

Dieser Beitrag wurde unter Allgemein, News abgelegt am von .


„Im Ernstfall muss sich die Informationssicherheit wie ein Immunsystem verhalten können.“

Redaktion: Gerhard Walter, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Ein Chief Information Security Officer (CISO) muss sein Unternehmen gegen aufziehende Cyber-Sturmfronten wetterfest machen. Auf welche Aspekte muss der CISO beim Aufbau der unternehmenseigenen Cyber-/Informationssicherheits-Strategie unbedingt achten?
Hier sind natürlich eine ganze Reihe von Themen zu berücksichtigen. Vorab muss man sagen, dass es keine perfekte Strategie gibt, sondern nur einen intelligenten, situativen und über Zeit proaktiven Umgang mit der Informationssicherheit. Das Grundprinzip muss sein, die Widerstandsfähigkeit (Cyber Resilience) des eigenen Unternehmens kontinuierlich zu erhöhen. Es ist wichtig, regelmäßig eine Bestandsaufnahme zu machen. Dazu gehören die Einschätzung und Bewertung des Status Quo sowie potentieller Risiken. Dafür ist es natürlich unerlässlich, dass man die eigenen Businessabläufe genau kennt. Eine Gesamtstrategie muss sowohl Mitarbeiter und Prozesse als auch Anwendungen und Infrastrukturen im Blick haben. Die Priorisierung der Maßnahmen ergibt sich risikoorientiert. Neben der Grundlagenarbeit ist auch ein Blick nach vorn erforderlich. In Zeiten zunehmender Agilität in nahezu allen Unternehmensbereichen benötigen wir stabile Leitplanken, die es einerseits erlauben, Geschäftsprozesse flexibel anzupassen und andererseits den größtmöglichen Schutz für Daten und Abläufe sicherstellen.

Welche Rolle spielt die entsprechende Cyber-/Informationssicherheits-Organisation für den unternehmerischen Erfolg? Vor allem wenn das Unternehmen – wie die Deutsche Bahn – sehr groß ist…
Das Thema Informationssicherheit wird im Zuge der fortschreitenden Digitalisierung natürlich immer wichtiger. Es geht darum, Risiken rechtzeitig zu erkennen, frühzeitig Gegenmaßnahmen in Stellung zu bringen und auf Vorfälle schnell und entschieden reagieren zu können. Das ist entscheidend für alle Unternehmen unabhängig von ihrer Größe und Mitarbeiterzahl.

Welche Rolle spielt die Produktionstechnologie in der Festlegung der Cyber-/Informationssicherheits-Strategie, wie geht man hier mit den zum Teil sehr langen Lebenszyklus von Anlagen und Fahrzeugen um?
Security muss wie eine stabile Schale schützen, die sich um ein empfindliches Objekt legt. Wir sind schon eine ganze Weile dabei, Vorgaben für Ausschreibungen und künftige Projekte zu erarbeiten, um künftige Lösungen von vornherein widerstandsfähiger zu machen, quasi „by-design“. Der Blick geht dabei Jahre nach vorn, da öffentliche Verfahren und Projekte oft einen umfangreichen Zulassungsweg zurücklegen müssen. Durch die Vorschriften des IT-Sicherheitsgesetzes hat bereits vor Jahren ein grundsätzliches Umdenken stattgefunden, das sich in aktuellen Anlagen und Fahrzeugen bereits niederschlägt. Parallel sind wir in enger Abstimmung mit Behörden auf nationaler und internationaler Ebene, um entsprechende Mechanismen bereits im Zulassungsansatz zu berücksichtigen. Letztlich spielt hier auch die internationale Vernetzung eine große Rolle, insbesondere im europäischen Eisenbahnverkehr, weil nationale Grenzen zunehmend in den Hintergrund treten und sich Verkehrsunternehmen und Infrastrukturbetreiber zusammentun, um Risiken früher zu erkennen und schneller untereinander auszutauschen.

Inwiefern kann die Cyber-/Informationssicherheits-Organisation sowohl zum Motor der Digitalisierung als auch zum Schutzwall vor Cyberangriffen werden?
Cyber Security muss sich immer am Geschäft ausrichten. Die Lösungen müssen zukunftsfähig sein und dürfen nicht nur bestehende Risiken adressieren, sondern sie müssen auch möglichst flexibel auf zukünftige Herausforderungen adaptierbar sein, um damit unempfindlicher in einer hochdynamischen Umgebung zu werden. Das ist programmatische Anpassungsfähigkeit. Wandel wird dabei zum Grundprinzip.

Aktuelle Maßnahmen zur Informationssicherheit werden mit großer Wahrscheinlichkeit nicht gegen die Gefahren von morgen wirken. Wie kann der CISO eine vorwärts gerichtete Informationssicherheit im Unternehmen etablieren? Und welche Rolle kann dabei der Einsatz Künstlicher Intelligenz einnehmen?
Wie bereits angedeutet muss ich heute schon die Informationssicherheit wandlungsfähig aufstellen. Das fängt im Kopf der Experten und der Mitarbeiter an. Lassen Sie uns also erst einmal von der kollektiven Intelligenz der Informationssicherheits-Organisation sprechen. Wir wissen nicht, wie künftige Risiken aussehen. Wir wissen aber, dass wir uns im Bedarfsfall extrem schnell darauf einstellen müssen. Das kann man mit einem Tänzer vergleichen, der auf den Zehenspitzen steht, um schnelle Wendungen zu tanzen. Sobald er in Rücklage gerät, wird es schwieriger, wenn nicht unmöglich, eine Figur oder eine unerwartete Situation zu bewältigen. Deshalb müssen wir eine Organisationsform finden, die eng mit dem Business kooperiert, aber gleichzeitig auf den Zehenspitzen steht und damit schnell auf Veränderungen reagieren kann. Wir stellen deswegen Mitarbeiter auch mehr nach Mindset als nach bloßer Expertise ein. Dazu gehört ein Umfeld, in dem wir horizontal in Communities führen, um möglichst viele Potentiale unserer Mitarbeiter zu heben und zu einer schlagkräftigen Mannschaft zusammenzuführen. Im Ernstfall muss sich die Informationssicherheit wie ein Immunsystem verhalten können – schnelle Mobilisierung, hohe Adaptionsfähigkeit, wirkungsvolle Immunantwort. Je organischer das geschieht, umso effektiver kann eine Organisation geschützt werden.

Daneben gilt es alle zur Verfügung stehenden und sich entwickelnden technischen Möglichkeiten zu nutzen. Dafür muss die die Informationssicherheit den Freiheitsgrad haben, diese Lösungen und Vorgehensweisen in einer globalen Community zu erkennen, zu entwickeln und schnell in Einsatz zu bringen, auch wenn diese noch nicht durch große Anbieter zur Verfügung gestellt werden. Dazu gehören auch sich entwickelnde „Features“ wie die Quantenkryptographie und natürlich auch Entwicklungen der KI-Forschung.

Erlauben Sie uns noch die abschließende Frage: Nutzen Sie die „Corona-App“ der Bunderegierung?
Natürlich, sie ist mein ständiger Begleiter.

Frank Fischer ist der Leiter Informationssicherheit und CISO der Deutschen Bahn AG. In dieser Funktion führt er darüber hinaus das Cyber-Sicherheitsprogramm des Bahnkonzerns seit Oktober 2018. Vor seiner Tätigkeit bei der DB AG war er von 2014 bis 2018 CISO der Deutschen Börse AG und von 2010 bis 2014 Managing Director der deutschsprachigen Accenture Security Beratung. Vor dieser Zeit besaß er verschiedene internationale Leitungsfunktionen im Security Umfeld. Frank Fischer hat mehr als 20 Jahre Erfahrung in den Bereichen der Informationssicherheit, Cyber Security und IT-Transformation.