IT-Sicherheit muss für jede Person, die einen PC oder ein Handy verwendet, so selbstverständlich und wichtig sein, wie das richtige Verhalten im Straßenverkehr.
Cyber Security ist in aller Munde, nicht nur wegen der neuen EU-Richtlinie NIS2. Warum genau JETZT der richtige Zeitpunkt für einen Paradigmenwechsel in Sachen IT-Sicherheitsbewusstsein gekommen ist, erklärt uns der next level Experte Walter Sedlacek in diesem Interview.
Mit der neuen EU-Richtlinie NIS2, die seit Oktober 2024 umgesetzt werden muss, sind zusätzliche Herausforderungen und Verpflichtungen im Bereich Cyber Security auf uns zugekommen. Die zweite Auflage der „Richtlinie zu Netzwerk- und Informationssicherheit“ (NIS2) gilt für Unternehmen mit mehr als 50 Mitarbeitenden und einem Umsatz von mehr als 10 Millionen Euro in 18 definierten Sektoren. Die Zugehörigkeit zu den „Essential Entities“ oder „Important Entities“ bestimmt den Umfang der staatlichen Aufsicht und mögliche Sanktionen.
Für viele Unternehmer:innen klingt das nach Auflagen und lästigen Verpflichtungen. Aber – und so sieht es auch unser Interviewpartner Walter Sedlacek – die zweite Auflage der „Richtlinie zu Netzwerk- und Informationssicherheit“ (NIS2) bietet auch die Chance, das Thema nachhaltiger in den Köpfen zu verankern. Schließlich geht es alle an, also jeden einzelnen von uns.
Mag. Walter Sedlacek, MSc, MBA ist Managing Director von next level consulting APAC und damit für den Consulting-Ausbau in der Asien-Pazifik-Region verantwortlich. Das Herz des studierten Physikers schlägt aber vor allem für ein Thema: Die Cyber Security Beratung von Organisationen. Seine umfassende und tiefgreifende Erfahrung stammt aus der Umsetzung eines globalen Cyber Security Programms in 52 Ländern für einen internationalen IT-Dienstleister sowie der Beratung einer NIS/NIS2 Implementierung für ein globales Unternehmen mit Sitz in Österreich. Seine Leidenschaft für das Thema spürt man in jedem seiner Sätze und man tut gut daran, zumindest die folgenden Kernfragen in diesem Zusammenhang zu kennen, bevor man ein Gespräch mit ihm – oder anderen IT-Security-Expert:innen – führt:
- Wer muss sich um IT-Security kümmern?
- Was ist ein Security Framework und ein Security Audit?
- Was ist NIS2 und was müssen betroffene Unternehmen tun?
Aber keine Sorge, wenn Sie nur Bahnhof verstehen. Walter hat ein hohes Sendungsbewusstsein und auch die Geduld, um die Bedeutung dieses wichtigen Themas in unseren Köpfen zu verankern. Nach diesem Interview sind Sie sattelfest und bestehen garantiert den IT-Security-Führerschein – zumindest für ein Fahrrad.
Interview mit Mag. Walter Sedlacek
Hallo Walter, wie schwierig ist es, die Menschen in den Organisationen für das Thema IT-Security zu sensibilisieren bzw. zu interessieren?
Um die Wahrnehmung aus Sicht der Security-Expert:innen zu verdeutlichen, beginne ich vielleicht mit einem – zugegebenermaßen makabren – Witz aus der Branche: „Was ist der Unterschied zwischen einem Security Officer und einem Terroristen? Ein Terrorist hat Sympathisanten.“
In der Praxis ist es leider so, dass ein Security-Officer keine Sympathisanten hat. Denn erstens greift man als Security Officer die Budgets der Manager und damit deren Boni an, und zweitens eckt man immer irgendwo an. Das ist wie beim Zahnarzt – da geht auch keine:r gern hin.
Ich habe ein Interview mit dir aus dem Jahr 2017 in der Zeitschrift REPORT gefunden, in dem du zusammengefasst folgende einfachen Empfehlungen für die IT-Sicherheit in Unternehmen gegeben hast:
„Es sollten nur noch ausreichend gewartete PCs ans Netz gehen dürfen. Und der wichtigste Sicherheitsfaktor ist immer noch der User – dieser sollte einen gewissen Hausverstand haben, wachsam und skeptisch sein.“
Jetzt, sieben Jahre später, frage ich dich: Bist du glücklich oder enttäuscht über die Entwicklung der Cyber Security in den Unternehmen?
Glücklich oder enttäuscht, das wäre zu emotional betrachtet. Etwas glücklich, wenn man so will, bin ich darüber, dass der Gesetzgeber, insbesondere die Europäische Union mit ihren sehr strengen NIS2-Richtlinien die Unternehmen zwingt, sich mit dem Thema auseinanderzusetzen. Aber was ich beobachte: Die gesamte IT macht in weiten Teilen immer noch nicht die einfachsten Basics!
Über welche Basics reden wir hier konkret?
Wir sprechen hier von elementaren Dingen wie Incident Management, Problem Management, Change Management – also wirklich Prozesse, die schon sehr gut entwickelt wären. Denn darauf baut die ganze Cyber Security auf und das ist in vielen Bereichen in den Unternehmen oder in der Industrie noch nicht ausreichend verstanden oder umgesetzt. Das heißt, es geht schon voran, aber nicht schnell genug.
Warum kommt Cyber Security in den Organisationen nicht schneller voran? Jedes große Unternehmen hat doch eine IT-Abteilung…
Die IT kümmert sich zu wenig um diese Themen. Wenn man Cyber Security hört, dann denkt man meist an Hacker:innen aus China oder Russland, die großen Schaden anrichten. Das gibt es alles. Aber das Augenmerk sollte sich auf die elementarsten, oft sehr einfachen Dinge richten. Und die werden immer noch ignoriert.
Woran liegt das?
Die IT-Abteilungen sind in den meisten Fällen sowohl vom Know-How als auch von der Technologie her gut ausgestattet. Allerdings haben diese Abteilungen naturgemäß immer sehr viel zu tun und die Cyber Security steht dabei oft ganz am Ende der Aufgabenliste und wird daher selten abgearbeitet.
Aber auch dort, wo die IT-Abteilungen genügend Zeit und freies Geleit haben, ist das Thema Cyber Security in einer Organisation lange noch nicht in trockenen Tüchern. Denn IT-Security kann nicht von einzelnen Personen oder Abteilungen alleine umgesetzt werden. Man kann nicht einfach eine Abteilung mit gut bezahlten Expert:innen besetzen und erwarten, dass das Thema Cyber Security damit erledigt ist.
Wie kann sich eine Organisation für Cyber Security rüsten?
Ein Unternehmen muss in allen Bereichen – organisatorisch, prozessual und technisch –Cyber Security affin sein und entsprechende Maßnahmen müssen gemeinsam umgesetzt werden. Denn das Thema geht alle an und die Sicherheit ist immer so stark wie das schwächste Glied!
Man kann sich das wie ein Haus vorstellen: Wenn ich mit aller Raffinesse vorne eine starke Tür einbaue, viele Schlössern dran habe und alle Fenster vergittere, aber hinten eine Tür sperrangelweit offen bleibt, nützt das alles nichts. Man kann also noch so viel in die Technik investieren – wenn man nicht auf die Prozesse achtet, nützt alles nichts. Potenzielle Angreifer suchen immer das schwächste Glied. Wenn sie merken, dass technisch nichts geht, versuchen sie es über die Prozesse; wenn das nicht geht, versuchen sie es über die Organisation.
Wie verankert man die Bedeutung von Cyber Security in den Unternehmen?
Cyber Security muss in der Organisation so hoch angesiedelt und verankert sein, dass die IT mit einem Security Beauftragten auf Stabsebene, auf Vorstandsebene in der Organisation diese Themen bespricht. Es liegt auf der Hand, dass auch Druck ausgeübt werden muss, damit die IT Security ihren hohen Stellenwert in der Organisation entsprechend leben kann! Nur wenn alles gleich sicher wird, wenn die IT-Abteilung die Cyber Security in die gesamte Organisation trägt, macht das Ganze Sinn.
Was muss bzw. sollte man unbedingt wissen, um beim Thema Cyber Security in Unternehmen mitreden zu können?
5 TAKE-AWAYS
- Wer muss sich um IT Security kümmern?
Alle und jede:r Einzelne innerhalb einer Organisation! Denn das Wichtigste ist, dass man Security als ganzheitliches Thema über das gesamte Unternehmen betrachtet. Dass man in einer Organisation die IT-Security nicht nur einer eigenen, kleinen Abteilung überlässt, die das dann schon machen wird. Das funktioniert nur gut, wenn es alle machen. Das ist ähnlich wie beim Thema Compliance. Vor 20 Jahren war das noch nicht auf der Tagesordnung, aber heute ist es jedem geläufig und über die ganze Organisation hinweg wichtig, dass man sich regelkonform verhält, was Bestechung, Korruption und solche Dinge angeht. Dieses Compliance-Thema ist auch nur möglich, wenn es alle machen und man es nicht einer kleinen Abteilung überlässt, das umzusetzen. - Was ist ein Security Framework?
Ein Cyber Security Framework besteht aus einer Reihe von Richtlinien, die Standards zur Definition der Prozesse und Verfahren festlegen, die eine Organisation zur Bewertung, Überwachung und Minderung von Cyber-Sicherheitsrisiken anwenden muss. Ein Cyber-Sicherheitsrahmenwerk bietet eine gemeinsame Sprache und eine Reihe von Standards für Sicherheitsverantwortliche in verschiedenen Ländern und Branchen, um ihre Sicherheitsmaßnahmen und die ihrer Lieferanten zu verstehen. - Was ist ein Security Audit?
Ein Security Audit ist eine externe Überprüfung und Prüfung, ob die Unternehmens-IT mit einem definierten Regelwerk konform ist, d.h. dem Regelwerk folgt. Zum Beispiel kann das Regelwerk vorschreiben, dass man eine 2-Faktor-Authentifizierung braucht, um auf das Netzwerk zugreifen zu können: Das heißt, ich muss etwas wissen, ein Passwort zum Beispiel, und ich muss etwas haben, ein Telefon zum Beispiel, wo ich einen Zugriff mit einem Klick bestätige. Das wäre Teil eines Regelwerk. Und ein Auditor wird dann überprüfen, ob alle diese Logins korrekt implementiert sind. - Was ist das Besondere an NIS2?
Was NIS2 ist, haben wir weiter oben in diesem Interview erklärt. Das Besondere an NIS2 ist unter anderem, dass Cyber Security nun auch nachweislich auf der Führungsebene, also im Top-Management, verankert sein muss. Außerdem muss ein Information Security Management System (ISMS) betrieben werden, in dem es auch ein Risikomanagement gibt, das die Risiken bewertet. - Was ist für NIS2 zu tun?
Es muss ein Regelwerk, ein Framework geschaffen werden - ein sogenanntes ISMS, Information Security Management System - das sicherstellt, dass die Sicherheit eingehalten wird. Man muss sich verstärkt um das Risikomanagement kümmern und dabei auch die Supply Chain, also die Lieferkette, mit einbeziehen, damit auch alle Lieferanten NIS2-konform arbeiten. Man muss die IT-Sicherheit technisch, operativ und organisatorisch umsetzen - und da sind wir wieder bei Punkt 1, nämlich der ganzheitlichen, holistischen Betrachtung: Man muss die Mitarbeiter:innen schulen, man muss allen klarmachen, was sie dürfen und was nicht - also zum Beispiel das Öffnen von Mailanhängen sehr kritisch hinterfragen. Man muss ein Verhalten für den Notfall festlegen, also wenn etwas passiert, dass die Mitarbeiter:innen wissen, was sie zu tun haben, wohin sie sich wenden können und so weiter.
Was sind die häufigsten Fehler, die Unternehmen bei der Umsetzung von Cyber Security-Maßnahmen machen?
Dass sie nicht ganzheitlich, holistisch denken, dass sie immer nur kleine Bereiche sicher machen - zum Beispiel die Technik. Da hat jemand ein kleines Unternehmen und kauft sich eine teure Firewall, die er zwischen das Internet und sein Netzwerk stellt und denkt, damit ist alles sicher. Ist es aber nicht! Das ist der größte Fehler, den ich beobachte, dass man es nicht ganzheitlich sieht, sondern nur Flickschusterei betreibt, was natürlich den Angreifer freut, weil er die Löcher findet.
Natürlich ist es für Nicht-Expert:innen nicht einfach, das Ganze holistisch zu sehen. Aber genau dafür gibt es die Frameworks, also Richtliniensammlungen, die helfen, das Ganze holistisch zu sehen. Die bekannteste ist die ISO 27000 Richtlinie, die schon ziemlich alt ist und auch schon viele Probleme hat, aber sie sieht das ziemlich ganzheitlich. Natürlich gibt es inzwischen viel modernere Richtlinien und Frameworks, die viel dichter sind.
Wie geht man am besten an das Thema heran, wenn man noch keine Erfahrung damit hat und auch keine internen oder externen Expert:innen an der Hand hat? Viele Unternehmen wissen noch gar nicht genau, wo ihre Lücken sind.
Am Anfang steht eine Ist-Analyse. Man muss wissen, wo man steht. Aber das ist im Projektmanagement generell so. Man muss wissen, wo man steht, wie alles zusammenpassen soll und wie man zu einem definierten Ziel kommt. Dann muss man sich auf ein Framework einigen, also nach welcher Policy, nach welchem Standard will man sicher sein? Ich muss ja auch im Straßenverkehr ein Regelwerk haben, ich muss wissen, dass ich bei Rot stehen bleibe, dass ich bei Grün fahre, dass ich rechts fahre und nicht links und so weiter. In der IT-Sicherheit gibt es fünf bis zehn gängige Regelwerke. Ich habe vorhin einen ISO-Standard genannt, es gibt NIS2 und noch einige andere.
Wie wird die Wirksamkeit einer Cyber Security-Strategie in einem Unternehmen überprüft?
Wir überprüfen die Einhaltung des Frameworks durch ein externes Audit – und das muss unbedingt ein externer Auditor sein, denn ein interner ist oft betriebsblind! Diese Person schaut sich die Controls an, schaut sich Beispiele an, macht Stichproben und kann dann eben feststellen, ob ein Unternehmen gegen sein Framework „sicher“ ist.
Wann oder wie weiß ein Unternehmen, ob es ausreichend gegen Cyberkriminalität vorbereitet ist?
Wir nennen den Zustand, den Unternehmen in Bezug auf Cybersicherheit einnehmen sollten, „Always Ready for Audit“. Das bedeutet, dass man immer in Übereinstimmung mit seinem definierten Sicherheitsrahmen ist. Das ist immer ein proaktives Verhalten: Man reduziert mit Cyber Security das Risiko, dass es zu IT-Sicherheitsvorfällen kommt, und da NIS2 sehr stark auf Risikomanagement abzielt, wird es damit auch einen guten Erfolg haben, weil man dann eben das Risiko messen kann und unter ein gewisses Niveau drücken muss.
Wie sicher können sich Unternehmen dann wirklich fühlen?
IT-Security ist immer nur die Minimierung eines Risikos auf ein bestimmtes Niveau; man wird es unter normalen Umständen nie ganz los, es wird immer ein Restrisiko bleiben. Aber die Idee dahinter ist, dass man das IT-Sicherheitsrisiko auf ein nachvollziehbares Minimum reduziert, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.
Wie geht man mit Menschen um, die zwar betroffen sind, sich aber nicht auskennen und auch nicht interessieren? Wie kann man sie sensibilisieren und abholen?
Das ist eigentlich vor allem deshalb schwierig, weil IT-Sicherheit bei den meisten Menschen immer ganz unten auf der Agenda steht. Die beste Sensibilisierung - und da hatte ich einige Coachingaufträge - ist ein Vorfall: Es ist etwas passiert. Es wurde viel Geld vernichtet und Reputation verloren. So etwas steht selten in der Zeitung, aber es passiert ständig. Wenn so etwas passiert, dann ist Feuer am Dach, dann gibt es Budgets, dann wird es auch im obersten Management wahrgenommen, dann bewegt sich etwas. Dann will man so schnell wie möglich einen Berater haben, der beraten kann und der die Sache wieder ins Lot bringt. Das haben wir über next level ein paar Mal gemacht und das hat gut funktioniert. Wenn so etwas (noch) nicht passiert ist, ist es schwierig. Es ist auch schwierig, jemandem, der ein Haus hat, das noch nie gebrannt hat, eine sehr teure Feuerversicherung zu verkaufen.
Wie können Unternehmen sicherstellen, dass ihre Mitarbeiter:innen auf die neuen Cyber Securitybedrohungen vorbereitet sind?
Es gibt verschiedene Möglichkeiten, Mitarbeiter:innen zu schulen. Es reicht leider nicht immer aus, nur darauf hinzuweisen, keine unbekannten Anhänge zu öffnen. Man kann das in Videos packen und zeigen, was passiert, wenn man einen Virenanhang öffnet, was die Folgen sind. Es gibt auch Gamification, das heißt, man setzt Leute vor infizierte Rechner und lässt sie selbst erleben, was passiert. Es gibt auch Quizmöglichkeiten, die man nach einer Schulung macht.
Jeder Mensch ist anders, lernt anders und deshalb muss man das Ganze aus verschiedenen Blickwinkeln betrachten, den Mitarbeiter:innen verschiedene Möglichkeiten bieten und irgendwo wird der/die eine oder andere schon anbeißen. Meine wichtigste Erfahrung ist: Du musst die Methode an die Zuhörer:innen, an die Mitarbeiter:innen anpassen - und das ist auch sehr stark kulturspezifisch. Aber wie gesagt, man kann das Risiko nur minimieren, ausschließen kann man es natürlich nicht.
Welche Bedeutung hat ein Security Framework in einem Unternehmen, das agile und iterative Prozesse einsetzt? Lässt sich ein stabiles Sicherheitsframework mit der Flexibilität und den schnellen Iterationszyklen agiler Teams vereinbaren?
Diese Frage ist davon unabhängig. Ein Sicherheitsprojekt muss ein Wasserfallprojekt sein, weil das Ziel völlig klar und vordefiniert ist. Ich weiß, wo ich hin will, also wende ich die Wasserfall-Projektmanagementmethode an. Und natürlich kann man daneben alle möglichen agilen Projekte fahren und auch eine agile Organisation bedienen, das hat nichts mit Security zu tun, das ist losgelöst vom Geschäftsmodell des Unternehmens.
Bitte erkläre uns in diesem Zusammenhang den „Wasserfallprozess“ genauer.
Wasserfallprozess bedeutet hier, ich habe ein Security Framework, ein Regelwerk, das ich einhalten will, das ich erfüllen will. Ich weiß genau, wo ich hin will. Ich überlege mir, wo ich jetzt stehe, überlege mir, wo die Lücken sind und fülle sie mit Arbeitspaketen, um sie zu schließen. Diese sortiere ich dann in einem Projektstrukturplan und lasse sie über ein Projektmanagement umsetzen.
Lassen sich Trends in der Cyber-Sicherheit erkennen? Und wie können Unternehmen proaktiv darauf reagieren?
Wenn man von einem Trend sprechen will, dann ist es die Tatsache, dass wir mehr Regeln und mehr Tools haben - und das ist positiv. Es gibt immer bessere Frameworks, bessere Regelwerke. Im Jahr 2011 gab es nur das ISO 27000 Framework, dann kam NIS1 [nur für kritische Infrastrukturen; Anm. d. Red.]. Es gibt auch angepasste Frameworks, zum Beispiel für Industrie oder Pharma, es gibt ein Regelwerk für den Zahlungsverkehr im Internet und so weiter.
Ein weiterer Trend ist, dass der Gesetzgeber die Unternehmen dazu bringt, Cyber Security nach vorgegebenen Standards zu betreiben, die Regeln einzuhalten und das auch zu überprüfen. Also das ist schon ein Trend, den man begrüßen kann.
Welche Tipps würdest du uns zum Thema IT-Sicherheit abschließend mit auf den Weg geben?
Gerade jetzt ist ein sehr guter Zeitpunkt, sich mit dem Thema Cyber Security zu beschäftigen. Erstens, weil Unternehmen seit Oktober 2024 die NIS2-Vorgaben umsetzen müssen, um Strafen zu vermeiden. Und zweitens als Wettbewerbsvorteil, weil andere das nicht machen.
Unternehmen müssen Cyber Security ganzheitlich, holistisch betrachten. Das ist der Hauptfehler, weil das Thema jeden von uns betrifft.
Vielen Dank für das Interview!
Die Reise beginnt hier
Wir senden Ihnen regelmäßig Neues zu den Themen Projekt-, Prozess-, Change- und Agile Management.
