Nachfolgend finden Sie ein Interview mit Aldo Rodenhäuser, Partner und Mitbegründer der Arxio AG – einem Beratungsunternehmen, das sich ausschliesslich auf Cyber- und Informationssicherheit spezialisiert hat. Aldo ist seit eineinhalb Jahrzehnten im Bereich Informationssicherheit tätig, insbesondere in den Bereichen Identitäts- und Zugriffsmanagement, Sicherheitsarchitektur und -design sowie Unternehmenssicherheit auf der Grundlage von ISMS und NIST CSF. Wenn er nicht gerade mit Informationssicherheit beschäftigt ist, reist Aldo ins Ausland, um die Informationen dort zu verstehen, d. h. die lokale Kultur, die Menschen und das Essen kennenzulernen.
1. Wie sind Sie zum ersten Mal mit Informationssicherheit in Berührung gekommen, Aldo? Können Sie uns ein Projekt oder eine Inspiration nennen, die Sie zu Ihrem Engagement veranlasst hat?
Ich würde sagen, das erste echte Informationssicherheitsprojekt war ein Auftrag vor etwas mehr als 15 Jahren bei einem grossen Finanzinstitut, bei dem wir eine Lösung zur Kundenauthentifizierung entwarfen, deren Komponenten geografisch verteilt waren. Es war ein sehr spannendes Projekt, da es die Gestaltung kryptografischer Protokolle, die Sicherheitsarchitektur, die Definition der Verwendung von Hardware-Sicherheitsmodulen usw. umfasste und wir im Grunde jedes Bit und Byte dokumentieren mussten, um die Genehmigung des Ministeriums des Landes zu erhalten, in dem sich die Kunden authentifizieren sollten.
Natürlich war Informationssicherheit auch schon vorher ein Thema, als ich Software für die Regierung und den Finanzsektor entwickelte. Aber dieses Projekt war der entscheidende Punkt, um mich auf Informationssicherheit zu konzentrieren.
2. Als Sicherheitsenthusiast: Bitte teilen Sie uns mit, was Sie motiviert, jeden Tag im Bereich der Informationssicherheit weiter voranzukommen.
Gute Frage – ich denke, es gibt viele verschiedene Faktoren.
Informationssicherheit ist ein Bereich, der sich Tag für Tag weiterentwickelt. Dementsprechend ist er äußerst vielfältig, jeder Tag sieht anders aus und es gibt immer wieder neue Herausforderungen zu meistern. Es ist ein bisschen wie beim Reisen: Man kann so lange reisen, wie man möchte, und denken, dass man heute alles gesehen hat. Aber dann, morgen, wird man wieder mit einer völlig neuen Situation konfrontiert. Es ist also alles andere als ein monotoner Job.
Aber der für mich wahrscheinlich wichtigste Punkt ist das interdisziplinäre Denken und Handeln, das unbedingt notwendig ist. Es reicht nicht aus, „nur“ über fundierte Kenntnisse im Bereich Informationssicherheit zu verfügen, sondern man muss auch in der Lage sein, alle Beteiligten zu verstehen – sei es den Geschäftsführer, den Betrieb, den Projektleiter, den Entwickler oder sogar das Marketing. Nur dann wird eine angemessene Lösung gefunden und das Projekt ist erfolgreich. Dadurch wird man oft zum Herzstück eines Projekts, was die Arbeit unglaublich spannend macht.
Und nicht zuletzt ist es sicherlich auch ein gewisses dissoziatives Denken. Denn um eine Lösung zu entwerfen oder gar zu bewerten, muss man sich in die kreative Denkweise der Angreifer hineinversetzen.
Kurz gesagt würde ich die Gründe für die Motivation also vielleicht wie folgt zusammenfassen: Es ist abwechslungsreich, herausfordernd, kreativ, es trägt zu einer besseren Welt bei und es ist befriedigend, wenn ein Produkt oder ein Unternehmen die nächste Sicherheitsstufe erreicht und alle Beteiligten zufrieden sind.
3. Was sind Ihrer Meinung nach die besten Schritte, die kleine und mittlere Unternehmen unternehmen können, um das Sicherheitsbewusstsein zu schärfen?
In erster Linie muss das Thema von der obersten Führungsebene unterstützt und gelebt werden. Dementsprechend sollte ein Budget für Cybersicherheit bereitgestellt, eine Strategie definiert und ein Fahrplan für das weitere Vorgehen entwickelt werden. Auf diese Weise ist es möglich, dass das Thema Sicherheit kontinuierlich angegangen wird.
Die Verantwortlichen könnten darüber nachdenken, welche Vermögenswerte geschützt werden müssen, welche Fähigkeiten dafür erforderlich sind und wie diese Fähigkeiten umgesetzt werden können – unter Berücksichtigung bereits bestehender Massnahmen kann der Fahrplan abgeleitet werden.
Natürlich kann der Ansatz umso pragmatischer sein, je weniger das Unternehmen von der IT abhängig ist und je kleiner das Unternehmen ist.
Aus unseren Bewertungen geht hervor, dass viele kleine und mittelständische Unternehmen noch nicht alle Kernthemen abdecken, wie z. B. die Ernennung einer verantwortlichen Person für die Informationssicherheit, regelmässige Sensibilisierungsschulungen für Mitarbeiter, eine angemessene Backup-Strategie, die Planung von Maßnahmen bei Vorfällen oder die Einführung von Sicherheitserklärungen für den gesamten Produktlebenszyklus.
4. Warum ist es wichtig, in eine hervorragende Cybersicherheitskultur zu investieren?
Wie bereits erwähnt, ist Cybersicherheit keine einmalige Angelegenheit. Ihr eigenes Unternehmen verändert sich ständig, ebenso wie die Angreifer. Das bedeutet, dass sich die Angriffsvektoren im Laufe der Zeit ändern und daher die Umsetzung des Cybersicherheitsplans kontinuierlich überwacht und angepasst werden muss und jeder Mitarbeiter dazu beitragen muss. Eine solche Kontinuität wird nur erreicht, wenn eine Cybersicherheitskultur etabliert wurde.
5. Welche bedeutenden Veränderungen sehen Sie in den nächsten 3 bis 5 Jahren auf dem Markt für Informationssicherheit?
Einerseits werden sich Angreifer weiter professionalisieren, andererseits wird die Home-Office- oder Work-from-Anywhere-Kultur bis zu einem gewissen Grad beibehalten. Cloud-Infrastrukturen werden noch intensiver genutzt als heute, insbesondere auch für sensible Daten. Dies hat Auswirkungen darauf, wie wir unsere Datenbestände schützen müssen. Konzepte wie Zero-Trust und KI-basierte Sicherheitsanalysen werden weiterentwickelt, um das erforderliche Sicherheitsniveau zu erreichen.
Die Digitalisierung ist heute noch lange nicht abgeschlossen – in den nächsten Jahren werden noch viele weitere Anwendungen über das Internet erreichbar sein. Dies gilt insbesondere auch für Geräte des Internets der Dinge (IoT), die heute in vielen Fällen nicht ausreichend gesichert sind – dies könnte eine wahre Freude für die Gegner sein, da es einen echten Einfluss auf unser tägliches Leben haben wird.
Die breite Öffentlichkeit wird sich hoffentlich des Themas Informationssicherheit stärker bewusst werden. Ich gehe davon aus, dass Kunden nach Zertifizierungen oder zumindest nach entsprechenden Bewertungsergebnissen fragen werden. Infolgedessen wird die Sicherheit besser gemessen werden und es könnten sich Sicherheitskennzeichnungen entwickeln.
Der Markt für Informationssicherheit hat also gerade erst begonnen, sich zu entwickeln.
6. Wie sehen zukünftige Karrieren im Bereich Informationssicherheit aus? Gibt es Strategien, die Sie verraten möchten, um eine Karriere in dieser Branche zukunftssicher zu machen?
Meiner Meinung nach gibt es nicht „den“ Karriereweg. Viele sehr gute Sicherheitsexperten haben früher etwas ganz anderes gemacht und sind bewusst oder unbewusst in das Thema hineingerutscht. Allen gemeinsam ist jedoch, dass sie sich auf den Grundlagen der Informationssicherheit und möglicherweise der Kryptographie weitergebildet haben.
7. Letzte Frage: Welchen Rat würden Sie unseren jungen Lesern geben, die ihre Träume auf dem Sicherheitsmarkt verwirklichen wollen?
Es ist wie bei allen Berufen: Das Wichtigste ist, dass man Spass am Fach hat, und das Zweitwichtigste ist, wie ich bereits sagte, das Verständnis der Grundlagen – meiner Meinung nach erfordert dies eine Ausbildung an einer Fachhochschule oder Universität im Bereich Cybersicherheit oder verwandten Bereichen. In Kombination mit sozialer Kompetenz wird dies unweigerlich zu einem geschätzten Experten führen.
Neben der Stiftung geben die Studien auch einen Überblick über das breite Thema Informationssicherheit. Es lohnt sich, sich zunächst auf ein bestimmtes Thema zu konzentrieren – einerseits horizontal im Sinne des Bereichs (z. B. IAM, Software-Sicherheit, IRP, ISMS usw.) und andererseits vertikal im Sinne dessen, ob man eher an Strategien arbeiten, Lösungen entwerfen, Lösungen umsetzen oder Lösungen bewerten möchte (z. B. Durchführung von Bewertungen oder Penetrationstests). Danach können Sie sich nach Belieben ausbreiten.
Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Do you think you are a good fit to participate in our Sicherheit Experten Interviewreihe? Kontakt mit uns auf, um weitere Informationen zu erhalten.