Wir haben kürzlich ein Interview mit André Maeder geführt, der seit 20 Jahren im Bereich Cybersicherheit tätig ist und derzeit als CISO am Projekt „Justitia 4.0“ arbeitet. Das Projekt hat nichts Geringeres zum Ziel als die Digitalisierung des Schweizer Justizsystems. Wie Sie sich vorstellen können, gibt es aus Sicht der Informationssicherheit und des Datenschutzes zahlreiche Möglichkeiten und Notwendigkeiten. Sein umfassender Hintergrund als IT-Experte, der in verschiedenen Branchen gearbeitet hat, hilft ebenso wie seine breite Ausbildung und Weiterbildung, um den Anspruch des Projekts zu unterstützen: „Für ein sicheres digitales Justizsystem – damit der Weg zur Justiz nicht mehr über Papierberge führt“.
1. Zunächst einmal vielen Dank, dass du an dieser Kampagne teilnimmst, Andre. Wie bist du zum ersten Mal mit Informationssicherheit in Berührung gekommen? Könntest du uns ein Projekt oder eine Inspiration nennen, die dich zu deinem Engagement veranlasst hat?
Ich habe mich 2013 zum ersten Mal mit Informationssicherheit beschäftigt, als ich in der Pharmaindustrie tätig war. Als IT-Projektmanager wurde mir eine umfangreiche Initiative zur Stärkung der Cybersicherheit und der Prozesse zur kontinuierlichen Behebung von Schwachstellen übertragen.
Das Projekt sollte die Ziele des IT-Personals beeinflussen, und ich habe einen IT-Sicherheitsexperten hinzugezogen, der mich bei den technischen Aspekten des Projektmanagements im Bereich Cybersicherheit unterstützt. Beides ermöglichte mir einen erfolgreichen Einstieg in das Thema Informationssicherheit. Es weckte auch mein Interesse, mich auch nach Abschluss des einjährigen Projekts weiter mit dem Thema zu beschäftigen. Dies gelang mir, indem ich in eine Position als leitender IT-Prüfer mit Schwerpunkt auf Cybersicherheit und Datenschutz wechselte, bevor ich meine derzeitige Position übernahm.
2. Wir haben festgestellt, dass Sie derzeit als Chief Information Security Officer (CISO) tätig sind. Könnten Sie uns bitte sagen, welche grossen Herausforderungen Sie in dieser Position reizen?
Für CISOs im Allgemeinen besteht meiner Meinung nach eine grosse Herausforderung in der Geschwindigkeit des Wandels in Bezug auf Bedrohungen, neue und geänderte Vorschriften und das Benutzerverhalten. Als CISO in einem Projekt gibt es einige spezifische Schlüsselherausforderungen im Zusammenhang mit der Einhaltung des Zeitplans auf sichere Weise und dem Tempo, in dem Fragen auftauchen und beantwortet werden müssen.
3. Was sind Ihrer Meinung nach die wichtigsten Fähigkeiten, die ein CISO haben sollte?
Ein Muss ist der Wille zum kontinuierlichen Lernen, sowohl am Arbeitsplatz als auch in der Institution. Darüber hinaus ist es für einen CISO unerlässlich, überzeugend und ausdrucksstark zu kommunizieren, wenn es um die Festlegung von Prioritäten geht.
4. Tatsächlich stellen Insider-Bedrohungen für Organisationen in vielen Branchen ein massives Problem dar, insbesondere jetzt, wo neue Regelungen für die Arbeit im Homeoffice gelten. Wie können Organisationen diese Bedrohungen stoppen und verhindern?
Organisationen können die Wahrscheinlichkeit und die Auswirkungen von Insider-Bedrohungen verringern. Es ist ein mehrschichtiger Ansatz erforderlich, der von der obersten Führungsebene bis hin zu durchgesetzten und detaillierten Zugriffskontrollen reicht. Es muss klar sein, dass eine Schädigung der Organisation in keiner Weise akzeptiert und folglich sanktioniert wird. Sensibilisierungsschulungen und Stichproben sind hilfreiche Instrumente, wenn sie auf positive Weise eingesetzt werden (diejenigen beglückwünschen, die den Phishing-Test gefunden haben, und nur auf statistischer Ebene über diejenigen berichten, die versagt haben).
Um die Wertsachen einer Organisation zu schützen, ist es erforderlich, modernste Technologie einzusetzen, um einen effektiven und effizienten Schutz zu gewährleisten. Dazu gehört auch die Behandlung von Risiken im Zusammenhang mit der Telearbeit.
5. Welchen Rat würden Sie anderen CISOs geben, wenn es darum geht, anderen Stakeholdern die Rentabilität von Sicherheitsinvestitionen zu vermitteln?
Diese Kommunikation ist ein Schlüsselelement auf der Tagesordnung jedes CISOs. Zunächst muss man verstehen, wie viel die Beteiligten über Cybersicherheit wissen. Die Berechnung von Sicherheitsinvestitionen basiert unter anderem auf der vereinbarten Risikobereitschaft.
Wenn dies nicht definiert ist und/oder kein kontinuierlicher Genehmigungsprozess vorhanden ist, müssen Sie die relevanten Interessengruppen dazu befähigen. Sobald dies erreicht ist, müssen Sie die geplanten Ausgaben in der gesamten Risikolandschaft kommunizieren. Ich empfehle, dafür die fünf Funktionen des NIST CFS zu verwenden. Stellen Sie sicher, dass verstanden wird, dass auch Mittel für die Reaktion auf erfolgreiche Angriffe erforderlich sind.
Die Prognose des ROI in einer Projektumgebung bringt zusätzliche Komplexität mit sich, da die Umstände noch unbeständiger sind als in einer stabilen Organisation/Situation. Positiv zu vermerken ist, dass Änderungen auf finanzieller und technischer Seite in Projekten in der Regel schneller vorgenommen werden können.
6. Wie sehen zukünftige Karrieren im Bereich Informationssicherheit aus? Gibt es Strategien, die Sie verraten möchten, um eine Karriere in dieser Branche zukunftssicher zu machen?
In der IT im Allgemeinen und in der Informationssicherheit im Besonderen gab es schon immer Menschen mit unterschiedlichem Hintergrund in verwandten Rollen. Ich sehe das als Stärke und würde daher bei der Suche nach Experten für die Zukunft nicht den Fokus auf die Herkunft legen.
Wie bereits im Interview erwähnt, ist kontinuierliches Lernen eine wesentliche Fähigkeit für eine Karriere im Sicherheitsbereich. Für mich gehören dazu Kommunikations- und Zuhörfähigkeiten. Es bedeutet auch, dass man ein natürliches Interesse daran haben muss, ein Netzwerk von Menschen und Organisationen aufzubauen und zu unterstützen. Oh, und Lesen sollte man mögen, man muss an all die behördlichen Papiere denken …
Insgesamt bestand meine eigene Strategie darin, eine Karriere in einer Position anzustreben, die nicht zu Gedanken über die Vereinbarkeit von Beruf und Privatleben führt, sondern eher zu einer Integration von Beruf und Privatleben: Ich arbeite an Themen, die mich persönlich und aufrichtig interessieren.
7. Welche bedeutenden Veränderungen sehen Sie in den nächsten 5 Jahren auf dem Markt für Informationssicherheit?
Die Bedeutung der Informationssicherheit und damit auch der Fachleute in diesem Bereich wird weiter zunehmen und noch relevanter werden.
Ich sehe eine starke Tendenz, rein technische Abhilfemaßnahmen für Informationssicherheitsrisiken zu suchen. Diese sind zwar wichtig und werden es immer sein, aber ich glaube auch, dass die persönliche Note und das persönliche Verhalten ein Revival erleben werden. Der Versuch, das schwächste Glied technisch zu stärken, hat seine Grenzen, und so vertraue ich darauf, dass der Markt für Informationssicherheit in den kommenden Jahren expandieren und mehr zwischenmenschliche Themen abdecken wird.
Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Glauben Sie, dass Sie gut in unsere Interviewreihe mit Sicherheitsexperten passen? Nehmen Sie Kontakt mit uns auf, um weitere Informationen zu erhalten.
