Sehen Sie sich unten eines unserer jüngsten Interviews mit Laura Voicu an, die als Principal Information Security Assurance Professional bei Elastic tätig ist. Laura hat einen Doktortitel in Datenmanagement und hatte zuvor verschiedene Positionen inne, die sich um Daten, Sicherheit und die Schnittstelle zwischen beiden drehten: Unternehmensdatenarchitektur und -verwaltung, Datenverarbeitung, KI und robotergesteuerte Prozessautomatisierung, Sicherheitsarchitektur und Quantifizierung von Cyberrisiken. Sie interessiert sich leidenschaftlich für (Big) Data und maschinelles Lernen und konzentriert sich derzeit auf die Erforschung des Einsatzes von Data Science und maschinellem Lernen zur Verbesserung der Informationssicherheit.

Interviewreihe mit Sicherheitsexperten


1. Zunächst einmal vielen Dank, dass du an dieser Kampagne teilnimmst, Laura. Können Sie uns etwas über Ihren beruflichen Hintergrund und Ihre Interessengebiete erzählen?

Vielen Dank für diese Gelegenheit, es ist mir eine Freude, Teil dieser Kampagne zu sein. Mein Weg zu einer Karriere im Bereich Informationssicherheit ist nicht gerade typisch, würde ich sagen, und ich hoffe, dass meine Erfahrungen anderen, insbesondere Frauen, dabei helfen werden, ihren Weg in diesem Bereich zu finden.

Zahlen und die Arbeit mit Daten haben mich schon immer fasziniert. Ich habe einen Doktortitel in Datenmanagement und habe während des grössten Teils meiner Karriere in Positionen gearbeitet, die sich um Daten drehten: Unternehmensdatenarchitektur und -verwaltung, Datenverarbeitung, KI und robotergesteuerte Prozessautomatisierung, bevor ich offiziell ins kalte Wasser sprang und eine exklusive Position im Bereich Informationssicherheit übernahm.

In meiner ersten Position im Bereich Informationssicherheit war ich für die Einführung von Verfahren zur Quantifizierung von Cyberrisiken auf der Grundlage von FAIR (Factor Analysis of Information Risk) verantwortlich. Es war herausfordernd und lohnend zugleich, und das nicht unbedingt wegen der technischen Aspekte, sondern weil es bedeutete, interdisziplinär über verschiedene Einheiten hinweg zu arbeiten und zu lernen, sich wohl dabei zu fühlen, unbequeme Fragen zu stellen.

Der Rest ist sozusagen Geschichte. Ich bin dem Security Assurance Team bei Elastic beigetreten und bleibe meinen Wurzeln treu, indem ich mich in meiner täglichen Arbeit mit Themen an der Schnittstelle von Sicherheit und Daten beschäftige.
Derzeit ist mein Lieblingsthema die Erforschung der verschiedenen Möglichkeiten, wie wir Datenwissenschaft und maschinelles Lernen nutzen können, um die Gewährleistung der Informationssicherheit zu automatisieren und zu verbessern.


2. Wir haben festgestellt, dass Sie derzeit als leitender Experte für Informationssicherheit tätig sind. Was sind Ihrer Meinung nach die wichtigsten Fähigkeiten, sowohl technische als auch soziale Kompetenzen, die in dieser Rolle dringend benötigt werden?


Ich bin fest davon überzeugt, dass wir in jeder Rolle im Bereich Informationssicherheit mehr als nur technische Fähigkeiten benötigen. Es gibt viele gute Ratschläge zu den technischen Fähigkeiten, die in der Welt der Informationssicherheit benötigt werden. Aber Soft Skills können durchaus wertvoller sein als technische Fähigkeiten. Als Sicherheitsexperten müssen wir mit Menschen kommunizieren. Informationssicherheit ist eine gemeinsame Verantwortung im gesamten Unternehmen. Unsere Aufgabe ist es, auf allen Ebenen zusammenzuarbeiten, um eine Kultur der Sicherheit zu fördern. Wir müssen sicherstellen, dass Sicherheitsrichtlinien nicht nur vorhanden sind, sondern auch befolgt werden.

Kritisches Denken ist etwas, das jeder will, aber es ist schwierig, es klar zu definieren. Meiner Meinung nach bedeutet kritisches Denken, mit dem Ergebnis zu beginnen, das man erreichen möchte, und einen logischen Weg zu diesem Ergebnis zu finden. Im Fall der Informationssicherheit ist das Ergebnis der Schutz von Unternehmensvermögen und -prozessen. Alles, was wir tun, sollte dieses Endziel unterstützen. Wenn nicht, kann es beseitigt werden.

Zu guter Letzt sind wir als Sicherheitsexperten hier, um dem Unternehmen zum Erfolg zu verhelfen und es zum Erfolg zu befähigen – das ist das Entscheidende, und diese Einstellung ist äußerst wichtig.


3. Einer Ihrer Interessensbereiche umfasst KI und die Automatisierung von Robotikprozessen. Was halten Sie von den Sicherheitsproblemen, die KI- und Automatisierungssysteme haben können?

Automatisierung und KI sind die Zukunft der Sicherheit und verändern diesen Bereich bereits (zum Guten oder zum Schlechten). Aber die KI-Algorithmen, auf die wir uns verlassen, haben auch ein Problem: Aufgrund der Art und Weise, wie sie lernen, können sie von einem Gegner angegriffen und kontrolliert werden. KI-Angriffe unterscheiden sich von den typischen Problemen der Informationssicherheit, mit denen Unternehmen bisher konfrontiert waren.

Diese KI-Angriffe sind keine Fehler im Code, die behoben werden können – sie sind im Kern der KI-Algorithmen verankert. Lassen Sie mich kurz erklären, was ich damit meine: Ein KI-Angriff ist die gezielte Manipulation eines KI-Algorithmus mit dem Ziel, eine Fehlfunktion zu verursachen. Diese Angriffe können verschiedene Formen annehmen, die unterschiedliche Schwachstellen in den zugrunde liegenden Algorithmen ausnutzen:

Eingabeangriffe: Manipulation der Daten, die in das KI-System eingespeist werden, um die Ausgabe des Systems zu verändern und dem Ziel des Angreifers zu dienen. Im Kern kann jedes KI-System auf eine einfache Maschine reduziert werden – es nimmt eine Eingabe entgegen, führt einige Berechnungen durch und gibt eine Ausgabe zurück. Durch die Manipulation der Eingabe können Angreifer die Ausgabe des Systems beeinflussen.

Vergiftungsangriffe: Verfälschung des Trainingsprozesses, während dessen das KI-System erstellt wird, sodass das resultierende System auf eine vom Angreifer gewünschte Weise versagt. Eine direkte Möglichkeit, einen Vergiftungsangriff auszuführen, besteht darin, die während des Trainingsprozesses verwendeten Daten zu verfälschen.

Um diese KI-Schwachstellen auszunutzen, ist kein „Hacking“ des Zielsystems im herkömmlichen Sinne erforderlich. Hierbei handelt es sich um eine neue Art von Problemen, die mit den vorhandenen Instrumenten für Informationssicherheit und Richtlinien nicht gelöst werden können. Um dieses Problem anzugehen, sind neue Ansätze und Lösungen erforderlich.


4. Was war die wichtigste Lektion, die Sie im Jahr 2021 bisher durch Ihre Arbeit im Bereich Informationssicherheit gelernt haben?

Ich denke, die wichtigste Lektion ist, einen risikobasierten Ansatz für die Sicherheit zu verfolgen. Die Einhaltung von Vorschriften allein kann unsere Daten nicht schützen. Jede Branche hat ihre eigenen spezifischen und versteckten Risiken, sodass es nicht ausreicht, sich auf die Einhaltung der Vorschriften und die Erfüllung aller Standardvorschriften zu konzentrieren, um die sensibelsten Daten zu schützen. Wir müssen auf die tatsächlichen Risiken achten, denen wir ausgesetzt sind, und darauf, wie sie sich auf das Endergebnis auswirken.

Jedes Unternehmen, das tägliche Bewertungen des Risikos durch verschiedene Sicherheitsbedrohungen erstellen und diese mit einer täglichen Überprüfung des Zustands seiner Kontrollen kombinieren kann, wird in der Lage sein, schneller zu handeln, um Ressourcen neu zuzuweisen und seine Investitionen in die Informationssicherheit in einzelnen Geschäftsbereichen anzupassen, um das Risiko zu reduzieren – im Einklang mit festgelegten Risikotoleranzen.


5. Wie bleiben Sie über Branchennachrichten und Updates zu Informationssicherheit und Technologie auf dem Laufenden? Teilen Sie uns gerne die Quellen und Websites mit.

Es ist nicht immer einfach, in Fragen der Informationssicherheit auf dem neuesten Stand zu bleiben, auch wenn es einfach erscheint. Es gibt eine Flut von Informationen und das Wichtigste ist, in der Lage zu sein, das wirklich Relevante zu erkennen. Es wird immer etwas Interessantes entwickelt, über das ich Bescheid wissen möchte, sowie Themen, über die ich gerne mehr erfahren würde.

Ein qualitativ hochwertiges Netzwerk aus LinkedIn-Kontakten und -Kollegen ist eine häufige Quelle für den Austausch relevanter Informationen. Unsere Teams bei Elastic verlassen sich beispielsweise sehr auf Chats und viele Neuigkeiten und Entwicklungen in der Sicherheitswelt werden in dem einen oder anderen Chatroom geteilt und diskutiert. Ich kann auch die NewsBites-Reihe von SANS empfehlen.


6. Sicherheit ist ein ständiger Kampf, da die Nachfrage nach qualifizierten Fachkräften weiter steigt und das Angebot übersteigt. Wie ist die Situation heute?

Das Problem mit den Talenten ist nicht neu. Informationssicherheit ist offensichtlich ein Jobsektor der Zukunft. Das sind die guten Nachrichten. Das sind auch die schlechten Nachrichten. Der Hauptgrund, warum es sich um einen Beruf der Zukunft handelt, ist, dass die Sicherheitsrisiken einer zunehmend vernetzten Welt immer grösser werden und sich weiterentwickeln. Hacker und Kriminelle werden weiterhin hinter unseren Daten und unserem geistigen Eigentum her sein. Ohne die richtigen Leute und die richtigen Werkzeuge wird dieses Problem weiter wachsen.

Manchmal frage ich mich jedoch, ob es sich um eine Qualifikationslücke oder eine Personallücke handelt? Wenn wir über die Qualifikationslücke sprechen, sprechen wir dann davon, dass wir Menschen brauchen, die bereits über die Qualifikationen verfügen, oder dass wir Menschen brauchen, die die Qualifikationen erst noch erlernen müssen? Ich glaube, dass Sicherheit in der Verantwortung aller liegt, und obwohl es definitiv eine Reihe sehr spezialisierter Fähigkeiten gibt, die benötigt werden, können viele Kontrollen von Personen durchgeführt werden, die bereits im Unternehmen tätig sind.

Wenn wir unseren Mitarbeitern die Möglichkeit geben, diese Verantwortung zu übernehmen, werden sie engagierter und motivierter sein und gleichzeitig eine Kultur der Informationssicherheit aufbauen. Und wir sollten nicht vergessen, Schulungen zur Sensibilisierung für Sicherheit durchzuführen. Ein Unternehmen, das aus sicherheitsbewussten Menschen besteht, ist effektiver als ein kleines Team, das sich abmüht, die Last der Sicherung eines gesamten Unternehmens zu schultern.


7. Unsere letzte Frage: Was würden Sie einer Gruppe junger Frauen sagen, die aufgrund mangelnder Kenntnisse oder mangelnder Programmiererfahrung eine Karriere in der Welt der Informationssicherheit nicht in Betracht gezogen haben?

Ich würde sagen: Sei belastbar, finde deinen eigenen Weg und lass dich niemals vom Männer-Frauen-Verhältnis in der Technologiebranche einschüchtern. Legen Sie einen starken Akzent auf übertragbare Fähigkeiten wie eine Leidenschaft für Sicherheit, die Neugier, herauszufinden, wie Dinge funktionieren, und unkonventionelles Denken. Informationssicherheit ist ein weites Feld.

Wir müssen diese Tatsache besser bewerben. Wenn Sie möchten, können Sie auch mit einem anderen Hintergrund wie Psychologie, Analytik, Kommunikation usw. bei Infosec arbeiten (die Liste ist nicht vollständig. Ich sollte es wissen!).

Mein Rat ist, selbstbewusst zu bleiben, was die Fähigkeiten angeht, die Sie mitbringen, und ebenso selbstbewusst zu sein, was Ihre Gedanken angeht. Sicherheit ist ein wirklich spannender Arbeitsbereich mit vielen abwechslungsreichen Möglichkeiten.

Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit und des Schutzes von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Glauben Sie, dass Sie gut in unsere Interviewreihe mit Sicherheitsexperten passen würden? Kontaktieren Sie uns für weitere Informationen.